La cybersécurité cognitive, discipline la plus à même de protéger les organisations des hackers

La cybersécurité cognitive, discipline la plus à même de protéger les organisations des hackers


En février 2021, l’État annonçait un plan de lutte contre les cyber-menaces d’un milliard d’euros pour répondre à la hausse du nombre de cyberattaques touchant les organisations françaises. Malgré des budgets dédiés à la cybersécurité en augmentation, 52% des PME ont été victimes d’au moins une cyberattaque en 2021.

Si les attaques de nature technologique peuvent être contrées par des solutions de protection, les attaques par ingénierie sociale sont beaucoup plus difficiles à prévenir et leur augmentation est inquiétante. Les collaborateurs sont habilement manipulés par les hackers et sont la cause de l’aboutissement des cyberattaques dans plus de 90% des cas.

Et pourtant, malgré cette réalité, la plupart des organisations ne misent que sur la technologie et font passer au second plan le facteur humain, faille principale des organisations. Pour avoir une chance d’enrayer la courbe exponentielle des cyberattaques, un changement de paradigme doit s’opérer pour enfin aborder la cybersécurité sous un angle neuroscientifique.

Trois facteurs cognitifs sont principalement exploités par les hackers

Les cyberattaques par ingénierie sociale sont des attaques informatiques qui exploitent les failles et les faiblesses psychologiques et humaines en tentant de persuader un individu (une victime) à agir comme prévu, selon un scénario malicieux et efficace à la fois. Ces attaques informatiques exploitent les faiblesses des interactions humaines et des constructions comportementales et culturelles. 

Elles se produisent sous de nombreuses formes comme le « phishing », les « fraudes au Président », ou encore les « sock puppets » sur les réseaux sociaux. Trois facteurs sont identifiés comme influant sur la vulnérabilité des collaborateurs : le stress, la baisse de vigilance et la charge de travail trop élevée.

Ces facteurs conduisent le collaborateur à un effet de “tunneling attentionnel” : l’attention est portée visuellement sur une partie des éléments qui sont proposés à l’écran et le collaborateur sera moins attentif à d’autres éléments qui pourraient l’alerter comme l’orthographe. Ces attaques sont souvent personnalisées en fonction des centres d’intérêt du collaborateur et son historique numérique.

Identifier les biais cognitifs de chaque collaborateur pour former efficacement

Peu de recherches ont été menées sur l’approche cognitive de la « cyber-malveillance ». Pourtant, elles permettraient d’accélérer la compréhension des mécanismes neurologiques et psychologiques qui nous font tomber dans le piège des cyberattaques. Un champ entier s’ouvre à l’étude des biais cognitifs en jeu pour analyser et évaluer les profils des individus et leurs traits de personnalité. 

Une fois ces profils identifiés (« psychotypes »), la sensibilisation et la formation des collaborateurs pourraient être individualisées afin d’être plus efficaces. Exploitant les failles neurocognitives de chaque individu, elles se matérialiseront sous la forme de simulations d’attaques par e-mail ultra-personnalisées, construites souvent avec les données personnelles présentes sur Internet. Une fois tombé dans le piège, le collaborateur sera beaucoup plus réceptif à l’apprentissage. Il pourra suivre une formation condensée et contextuelle qui reprendra les éléments de l’attaque en lui expliquant notamment les raisons « psychologiques » pour lesquelles, il n’est pas parvenu à la déjouer.

En 1974, les recherches en psychologie et économie de Kahneman & Tversky donnent naissance à la Behavioural Economics. En 2004, les études de McClure et Read Montague, neuroscientifiques, révolutionnent le marketing traditionnel en découvrant le neuromarketing, décliné par la suite en neuro-communication, neuro-publicité, neuro-finance, etc.

En 2022, nous assistons à un changement de paradigme majeur dans le domaine de la cybersécurité dont découle une nouvelle discipline : la cybersécurité cognitive. Tout comme dans les domaines de l’économie, du marketing et de la finance, la neuroscience est aujourd’hui la discipline scientifique la plus à même de faire évoluer le secteur de la cybersécurité pour mieux protéger les collaborateurs et rendre les organisations moins vulnérables et plus résilientes.








Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.