a man working with his female co-workers on a single table

Formation des employés à la cybersécurité : Comment enseigner des contre-stratégies basées sur le comportement

Author headshotLindsey Turk
Author headshotDr. Brooke Struck
Author headshotDan Pilat
read time - icon

0 min read

May 25, 2022

85% des piratages exploitent nos comportements fondamentaux

Alors que la plupart des gens pensent que les piratages consistent à attaquer une ligne de code ou à deviner correctement un mot de passe, la réalité est qu'environ 85 % des cyberattaques dans le monde se produisent parce que les pirates informatiques comprennent nos comportements fondamentaux - tels que la confiance et la curiosité - et les exploitent par le biais d'escroqueries soigneusement conçues.1 Cette manipulation psychologique, dont l'objectif final est d'amener les victimes à partager des informations ou à effectuer une action, est appelée ingénierie sociale.2 Il est essentiel de comprendre pourquoi elle fonctionne pour empêcher qu'elle n'aboutisse.

Un examen plus approfondi des stratégies de persuasion

Les pirates informatiques, conscients de nos propensions comportementales, exploitent notre câblage pour obtenir des informations. Même les employés les plus expérimentés et les mieux formés en matière de cybersécurité peuvent devenir des victimes s'ils n'ont pas conscience de la manière dont leurs réflexes et leurs habitudes peuvent être utilisés contre eux.

La définition la plus largement acceptée des stratégies de persuasion comprend un large éventail de comportements fondamentaux que les mauvais acteurs utilisent pour manipuler notre nature de créatures sociales.3 Selon cette définition, il existe six composantes : la réciprocité, la conformité/preuve sociale, la sympathie, la rareté, l'engagement et l'autorité.3

Six stratégies de persuasion utilisées par les pirates informatiques

  1. Les pirates informatiques exploitent la réciprocité pour profiter de notre nature qui nous pousse à donner quelque chose en retour lorsque nous nous sentons redevables envers quelqu'un.
  2. Nous avons également tendance à rechercher la conformité en imitant le comportement des autres.
  3. De même, les cybercriminels essaient de se faire passer pour la victime, car nous avons tendance à aimer les personnes qui nous ressemblent.
  4. Lorsque des articles sont rares, les gens considèrent que le produit ou le service a plus de valeur et est plus désirable que les autres.
  5. Les individus s'engagent généralement à tenir leurs promesses, de sorte que lorsque les pirates informatiques les contraignent à faire une promesse, ils peuvent généralement avoir confiance dans le fait que leur cible la tiendra.
  6. Enfin, les gens ont tendance à obéir aux demandes de ceux qui ont de l'autorité sur eux.

Pourquoi nous sommes victimes de l'ingénierie sociale : Rationalité limitée et FOMO

Si les criminels conçoivent leurs attaques en suivant les stratégies ci-dessus, c'est en partie parce que lorsque nous ne sommes pas conscients des raccourcis mentaux et des façons de réagir qui suivent, notre comportement devient plus prévisible.

Qu'est-ce que la rationalité limitée ?

Chaque jour, nous prenons des décisions qui sont limitées par les informations dont nous disposons - au mieux, ces données sont incomplètes et au pire, il s'agit de fausses croyances. Même si nous sommes bien informés sur un sujet, le fait de passer au crible nos connaissances pour prendre une décision éclairée peut être limité par notre capacité de traitement. Ces comportements résument le concept de rationalité limitée.4

Dans le contexte de la cybersécurité, cela signifie qu'un utilisateur peut savoir intellectuellement qu'il ne faut pas cliquer sur un courriel suspect, mais qu'il se fie uniquement à son jugement du moment - il a peut-être attendu un courriel stressant de l'école de son enfant et a laissé son anxiété l'emporter sur son meilleur jugement. Ce raisonnement, comme le montre le graphique ci-dessous, est entravé dans la rationalité limitée par des limites cognitives, la pression du temps ou le stress, et l'imperfection de l'information. Dans ce contexte, un employé peut être stressé par une échéance imminente ou un patron en colère, et le fait de voir un courriel qui semble être celui de son patron demandant des informations sur sa carte de crédit exploite sa capacité actuellement limitée à prendre des décisions rationnelles.

diagram of complex problems

FOMO : pas seulement pour les adolescents

Décrit pour la première fois dans un article d'opinion de l'auteur Dan Hernan, le terme FOMO (Fear of Missing Out) a gagné en popularité depuis sa publication en 2004.5 Il décrit le sentiment d'appréhension que l'on ressent lorsqu'on a l'impression de ne pas être impliqué dans des événements, des informations ou des expériences auxquels on voudrait participer. Lorsqu'ils sont en ligne, les internautes qui éprouvent des niveaux élevés de FOMO sont susceptibles de négliger les pratiques de cybersécurité afin de participer à ce qu'ils ont l'impression de manquer.6

Un pirate informatique peut donner l'impression que tout le monde fait quelque chose que vous ne faites pas : "82% de vos collègues se sont déjà inscrits, pourquoi ne le faites-vous pas ?". Il peut aussi faire croire que vous êtes pressé par le temps, par exemple : "Offre limitée dans le temps - inscrivez-vous maintenant".

Plus de FOMO, plus de risques pour la cybersécurité

Le FOMO a été associé à une augmentation des comportements à risque et à une plus grande vulnérabilité en ligne.6 Il a également fortement prédit une faible sensibilisation à la sécurité de l'information (ISA), même en contrôlant les données démographiques et les traits de personnalité.7 En outre, les personnes ayant des scores élevés de FOMO se sentent plus négatives à l'égard de l'ISA, ont une moins bonne connaissance de celle-ci et adoptent des comportements qui pourraient menacer la sécurité de leur organisation.7

Même s'il peut sembler impossible de cibler et de réduire cette peur, lorsque vous créez une formation axée sur la prise de conscience du rôle qu'elle joue dans la cybersécurité, vous préparez vos employés à être plus conscients d'eux-mêmes et moins susceptibles de faire preuve de FOMO ou de rationalité limitée.

Former des réflexes, pas seulement des connaissances

Une formation classique à la cybersécurité peut consister à demander à un employé de regarder une vidéo sur les cinq meilleures façons de protéger ses mots de passe, puis de répondre à un questionnaire. L'employé peut prendre conscience de la bonne chose à faire, mais il ne la fera peut-être pas. Cet exemple illustre l'écart entre savoir et faire, qui suggère qu'il existe des points faibles entre la prise de conscience, l'intention comportementale et le comportement réel.8 Les activités de sensibilisation et de formation augmentent les connaissances, mais celles-ci ne se traduisent pas toujours par des changements de comportement observables.8

Le rôle des heuristiques et des habitudes dans nos défenses

Une approche plus prometteuse consiste à créer des initiatives de formation continue axées sur la sensibilisation aux habitudes de chacun ; ce type d'apprentissage est également appelé connaissance de la persuasion.9 Dans une étude, la sensibilisation à la manière dont l'ingénierie sociale exploite notre comportement a permis de réduire la vulnérabilité aux piratages, améliorant ainsi la sécurité de l'organisation.10 Il existe une relation positive entre la résistance aux tentatives de persuasion et la connaissance de la persuasion, et les personnes qui ont été formées en conséquence sont mieux équipées pour réagir lorsqu'elles sont exposées à une escroquerie d'ingénierie sociale.11

Il a également été démontré qu'une formation axée sur la connaissance de soi permet de lutter contre la FOMO : lorsqu'un employé apprend pourquoi la FOMO se produit et comment elle est déclenchée, il développe une résilience qui l'aide à reconnaître ses émotions avant de réagir.12 En reconnaissant davantage la façon dont ses tendances cognitives sont exploitées, il comprend également les contre-mesures sociales et personnelles qui sont à sa disposition.12

Enseigner des contre-stratégies pour prévenir les piratages

L'une des façons de mettre en œuvre ce type de formation consiste à enseigner les principes psychologiques et les contre-stratégies pertinents.9 Pour faire comprendre ces points, il convient d'incorporer de courts scénarios ou des exercices pratiques afin de mettre en évidence les principes comportementaux dans la pratique.9 Une deuxième stratégie comprend des jeux de rôle réalistes dans lesquels les participants doivent prendre une décision similaire à plusieurs reprises.9 Bien qu'elle soit potentiellement plus efficace, cette stratégie demande également plus d'efforts et il est préférable de la limiter au personnel clé.9

Un effet secondaire positif de la connaissance de la persuasion : Des employés engagés

En axant la formation sur la manière dont les ingénieurs sociaux piratent notre comportement, plutôt que de rejeter la faute sur la victime, vous pouvez également favoriser une culture de l'éducation et du soutien plutôt que de la peur.13 Cela contribuera à maintenir l'engagement de votre personnel,13 ce qui constitue une protection contre le type de négligence qui conduit à des tentatives de piratage réussies.14 Au fur et à mesure que la technologie se développe et que les pirates deviennent plus avisés, là où la formation traditionnelle pourrait devenir obsolète, la formation axée sur le comportement ne sera jamais dépassée, car les pirates essaieront toujours d'exploiter notre nature humaine.

Toutes les organisations ne disposent pas d'une équipe interne possédant les connaissances comportementales nécessaires pour créer de tels programmes de formation. Le Decision Lab, s'appuyant sur son expertise en conseil et en sciences sociales, peut vous aider à créer des programmes de formation basés sur le comportement qui renforceront la cybersécurité de votre organisation.

Se protéger grâce à l'enseignement des sciences du comportement

Si les pirates qui utilisent l'ingénierie sociale semblent avoir un sixième sens lorsqu'il s'agit de savoir comment exploiter nos comportements, il existe heureusement des moyens de contourner leurs efforts. L'une des stratégies fondées sur des données probantes consiste à en apprendre davantage sur nos propres réflexes et sur les raisons pour lesquelles nous sommes victimes de piratages.

Pour vous tenir au courant de l'application des sciences du comportement à tous les aspects de la vie, abonnez-vous à la lettre d'information mensuelle du Decision Lab. Si vous souhaitez en savoir plus sur la préparation à la cybersécurité et sur d'autres stratégies, consultez Strengthen Your Strategy with Cybersecurity (Renforcer votre stratégie grâce à la cybersécurité), publié par The Decision Lab et le Boston Consulting Group.

Le Decision Lab est un cabinet de conseil comportemental qui utilise la science pour faire avancer le bien social. À l'ère numérique, la cybercriminalité est une menace pour chacun d'entre nous - et la cause première de la plupart des violations est l'erreur humaine. Nous travaillons avec certains des esprits les plus innovants en matière de cybersécurité pour aider les organisations à gérer ce risque en comprenant et en éliminant les sources de biais. Si vous souhaitez vous attaquer à ce problème ensemble, contactez-nous.

References

  1. Verizon 2021 Data Breach Investigations Report (Rapport d'enquête sur les violations de données). (2021). Verizon. verizon.com/dbir
  2. Mitnick, K. D. et Simon, W. L. (2011). The Art of Deception : Contrôler l'élément humain de la sécurité. John Wiley & Sons.
  3. Cialdini, R. (2009). Influence : La psychologie de la persuasion. Harper Collins.
  4. Gobet, F., Richman, H., Staszewski, J. et Simon, H. A. (1997). Goals, Representations, and Strategies in a Concept Attainment Task : The EPAM Model. In D. L. Medin (Ed.), Psychology of Learning and Motivation (Vol. 37, pp. 265-290). Academic Press. https://doi.org/10.1016/S0079-7421(08)60504-6
  5. La théorie sociale à HBS : les deux FO de McGinnis. (2004, 10 mai). The Harbus. https://harbus.org/2004/social-theory-at-hbs-2749/
  6. Buglass, S. L., Binder, J. F., Betts, L. R. et Underwood, J. D. M. (2017). Motivateurs de la vulnérabilité en ligne : L'impact de l'utilisation des sites de réseaux sociaux et du FOMO. Computers in Human Behavior, 66, 248-255. https://doi.org/10.1016/j.chb.2016.09.055
  7. Hadlington, L., Binder, J. et Stanulewicz, N. (2020). Fear of Missing Out Predicts Employee Information Security Awareness Above Personality Traits, Age, and Gender. Cyberpsychology, Behavior, and Social Networking, 23(7), 459-464. https://doi.org/10.1089/cyber.2019.0703
  8. Gundu, T. (2019, 13 mai). Reconnaître et réduire l'écart entre savoir et faire dans la conformité des employés à la cybersécurité. Conférence internationale sur la cyberguerre et la sécurité, Stellenbosch, Afrique du Sud.
  9. Schaab, P., Beckers, K. et Pape, S. (2017). Mécanismes de défense de l'ingénierie sociale et stratégies de formation pour les contrecarrer. Information & Computer Security, 25(2), 206-222. https://doi.org/10.1108/ICS-04-2017-0022
  10. Bullée, J.-W. H., Montoya, L., Pieters, W., Junger, M. et Hartel, P. H. (2015). L'expérience de persuasion et de sensibilisation à la sécurité : Reducing the success of social engineering attacks. Journal of Experimental Criminology, 11(1), 97-115. https://doi.org/10.1007/s11292-014-9222-7
  11. Briñol, P., Rucker, D. D. et Petty, R. E. (2015). Théories naïves sur la persuasion : Implications for information processing and consumer attitude change. International Journal of Advertising, 34(1), 85-106. https://doi.org/10.1080/02650487.2014.997080
  12. Alutaybi, A., Al-Thani, D., McAlaney, J. et Ali, R. (2020). Combattre la peur de manquer (FoMO) sur les médias sociaux : La méthode FoMO-R. International Journal of Environmental Research and Public Health, 17(17), 6128. https://doi.org/10.3390/ijerph17176128
  13. Caldwell, T. (2016). Making security awareness training work (Faire fonctionner la formation à la sensibilisation à la sécurité). Computer Fraud & Security, 8-14. https://doi.org/10.1016/S1361-3723(15)30046-4
  14. Blau, A., Alhadeff, A., Stern, M., Stinson, S. et Wright, J. (2017). Pensée profonde : A Cybersecurity Story. ideas42. https://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf

About the Authors

Lindsey Turk's portrait

Lindsey Turk

Lindsey Turk est Summer Content Associate au Decision Lab. Elle est titulaire d'un master d'études professionnelles en économie et gestion appliquées de l'université de Cornell et d'une licence en psychologie de l'université de Boston. Au cours des dernières années, elle a acquis de l'expérience dans les domaines du service à la clientèle, du conseil, de la recherche et de la communication dans divers secteurs. Avant de travailler au Decision Lab, Lindsey a été consultante auprès du Département d'État américain, dans le cadre de son initiative internationale de lutte contre le VIH, le PEPFAR. À Cornell, elle a également travaillé avec une entreprise de produits diététiques au Kenya afin d'améliorer l'accès à des aliments sains et cite cette opportunité comme étant ce qui a cimenté son intérêt pour l'utilisation des sciences comportementales à des fins utiles.

Brooke Struck portrait

Dr. Brooke Struck

Brooke Struck est directeur de recherche au Decision Lab. Il est une voix internationalement reconnue dans le domaine des sciences comportementales appliquées, représentant le travail de TDL dans des médias tels que Forbes, Vox, Huffington Post et Bloomberg, ainsi que dans des sites canadiens tels que le Globe & Mail, CBC et Global Media. M. Struck anime le podcast de TDL "The Decision Corner" et s'adresse régulièrement à des professionnels en exercice dans des secteurs allant de la finance à la santé et au bien-être, en passant par la technologie et l'intelligence artificielle.

Dan Pilat's portrait

Dan Pilat

Dan est cofondateur et directeur général du Decision Lab. Il est l'auteur du best-seller Intention - un livre qu'il a écrit avec Wiley sur l'application consciente de la science comportementale dans les organisations. Dan a une expérience de la prise de décision organisationnelle, avec une licence en systèmes de décision et d'information de l'Université McGill. Il a travaillé sur l'architecture comportementale au niveau de l'entreprise chez TD Securities et BMO Capital Markets, où il a conseillé la direction sur la mise en œuvre de systèmes traitant des milliards de dollars par semaine. Poussé par un appétit pour les dernières technologies, Dan a créé un cours sur l'intelligence économique et a donné des conférences à l'Université McGill. Il a également appliqué la science du comportement à des sujets tels que la réalité augmentée et virtuelle.

Read Next

Notes illustration

Vous souhaitez savoir comment les sciences du comportement peuvent aider votre organisation ?

Contactez nous