a man working with his female co-workers on a single table

Formation des employés à la cybersécurité : Comment enseigner des contre-stratégies basées sur le comportement

Author headshotLindsey Turk
Author headshotDr. Brooke Struck
Author headshotDan Pilat
read time - icon

0 min read

May 25, 2022

85% des piratages exploitent nos comportements fondamentaux

Alors que la plupart des gens pensent que les piratages consistent à attaquer une ligne de code ou à deviner correctement un mot de passe, la réalité est qu'environ 85 % des cyberattaques dans le monde se produisent parce que les pirates informatiques comprennent nos comportements fondamentaux - tels que la confiance et la curiosité - et les exploitent par le biais d'escroqueries soigneusement conçues.1 Cette manipulation psychologique, dont l'objectif final est d'amener les victimes à partager des informations ou à effectuer une action, est appelée ingénierie sociale.2 Il est essentiel de comprendre pourquoi elle fonctionne pour empêcher qu'elle n'aboutisse.

Un examen plus approfondi des stratégies de persuasion

Les pirates informatiques, conscients de nos propensions comportementales, exploitent notre câblage pour obtenir des informations. Même les employés les plus expérimentés et les mieux formés en matière de cybersécurité peuvent devenir des victimes s'ils n'ont pas conscience de la manière dont leurs réflexes et leurs habitudes peuvent être utilisés contre eux.

La définition la plus largement acceptée des stratégies de persuasion comprend un large éventail de comportements fondamentaux que les mauvais acteurs utilisent pour manipuler notre nature de créatures sociales.3 Selon cette définition, il existe six composantes : la réciprocité, la conformité/preuve sociale, la sympathie, la rareté, l'engagement et l'autorité.3

Six stratégies de persuasion utilisées par les pirates informatiques

  1. Les pirates informatiques exploitent la réciprocité pour profiter de notre nature qui nous pousse à donner quelque chose en retour lorsque nous nous sentons redevables envers quelqu'un.
  2. Nous avons également tendance à rechercher la conformité en imitant le comportement des autres.
  3. De même, les cybercriminels essaient de se faire passer pour la victime, car nous avons tendance à aimer les personnes qui nous ressemblent.
  4. Lorsque des articles sont rares, les gens considèrent que le produit ou le service a plus de valeur et est plus désirable que les autres.
  5. Les individus s'engagent généralement à tenir leurs promesses, de sorte que lorsque les pirates informatiques les contraignent à faire une promesse, ils peuvent généralement avoir confiance dans le fait que leur cible la tiendra.
  6. Enfin, les gens ont tendance à obéir aux demandes de ceux qui ont de l'autorité sur eux.

References

  1. Verizon 2021 Data Breach Investigations Report (Rapport d'enquête sur les violations de données). (2021). Verizon. verizon.com/dbir
  2. Mitnick, K. D. et Simon, W. L. (2011). The Art of Deception : Contrôler l'élément humain de la sécurité. John Wiley & Sons.
  3. Cialdini, R. (2009). Influence : La psychologie de la persuasion. Harper Collins.
  4. Gobet, F., Richman, H., Staszewski, J. et Simon, H. A. (1997). Goals, Representations, and Strategies in a Concept Attainment Task : The EPAM Model. In D. L. Medin (Ed.), Psychology of Learning and Motivation (Vol. 37, pp. 265-290). Academic Press. https://doi.org/10.1016/S0079-7421(08)60504-6
  5. La théorie sociale à HBS : les deux FO de McGinnis. (2004, 10 mai). The Harbus. https://harbus.org/2004/social-theory-at-hbs-2749/
  6. Buglass, S. L., Binder, J. F., Betts, L. R. et Underwood, J. D. M. (2017). Motivateurs de la vulnérabilité en ligne : L'impact de l'utilisation des sites de réseaux sociaux et du FOMO. Computers in Human Behavior, 66, 248-255. https://doi.org/10.1016/j.chb.2016.09.055
  7. Hadlington, L., Binder, J. et Stanulewicz, N. (2020). Fear of Missing Out Predicts Employee Information Security Awareness Above Personality Traits, Age, and Gender. Cyberpsychology, Behavior, and Social Networking, 23(7), 459-464. https://doi.org/10.1089/cyber.2019.0703
  8. Gundu, T. (2019, 13 mai). Reconnaître et réduire l'écart entre savoir et faire dans la conformité des employés à la cybersécurité. Conférence internationale sur la cyberguerre et la sécurité, Stellenbosch, Afrique du Sud.
  9. Schaab, P., Beckers, K. et Pape, S. (2017). Mécanismes de défense de l'ingénierie sociale et stratégies de formation pour les contrecarrer. Information & Computer Security, 25(2), 206-222. https://doi.org/10.1108/ICS-04-2017-0022
  10. Bullée, J.-W. H., Montoya, L., Pieters, W., Junger, M. et Hartel, P. H. (2015). L'expérience de persuasion et de sensibilisation à la sécurité : Reducing the success of social engineering attacks. Journal of Experimental Criminology, 11(1), 97-115. https://doi.org/10.1007/s11292-014-9222-7
  11. Briñol, P., Rucker, D. D. et Petty, R. E. (2015). Théories naïves sur la persuasion : Implications for information processing and consumer attitude change. International Journal of Advertising, 34(1), 85-106. https://doi.org/10.1080/02650487.2014.997080
  12. Alutaybi, A., Al-Thani, D., McAlaney, J. et Ali, R. (2020). Combattre la peur de manquer (FoMO) sur les médias sociaux : La méthode FoMO-R. International Journal of Environmental Research and Public Health, 17(17), 6128. https://doi.org/10.3390/ijerph17176128
  13. Caldwell, T. (2016). Making security awareness training work (Faire fonctionner la formation à la sensibilisation à la sécurité). Computer Fraud & Security, 8-14. https://doi.org/10.1016/S1361-3723(15)30046-4
  14. Blau, A., Alhadeff, A., Stern, M., Stinson, S. et Wright, J. (2017). Pensée profonde : A Cybersecurity Story. ideas42. https://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf

About the Authors

Lindsey Turk's portrait

Lindsey Turk

Lindsey Turk est Summer Content Associate au Decision Lab. Elle est titulaire d'un master d'études professionnelles en économie et gestion appliquées de l'université de Cornell et d'une licence en psychologie de l'université de Boston. Au cours des dernières années, elle a acquis de l'expérience dans les domaines du service à la clientèle, du conseil, de la recherche et de la communication dans divers secteurs. Avant de travailler au Decision Lab, Lindsey a été consultante auprès du Département d'État américain, dans le cadre de son initiative internationale de lutte contre le VIH, le PEPFAR. À Cornell, elle a également travaillé avec une entreprise de produits diététiques au Kenya afin d'améliorer l'accès à des aliments sains et cite cette opportunité comme étant ce qui a cimenté son intérêt pour l'utilisation des sciences comportementales à des fins utiles.

Brooke Struck portrait

Dr. Brooke Struck

Brooke Struck est directeur de recherche au Decision Lab. Il est une voix internationalement reconnue dans le domaine des sciences comportementales appliquées, représentant le travail de TDL dans des médias tels que Forbes, Vox, Huffington Post et Bloomberg, ainsi que dans des sites canadiens tels que le Globe & Mail, CBC et Global Media. M. Struck anime le podcast de TDL "The Decision Corner" et s'adresse régulièrement à des professionnels en exercice dans des secteurs allant de la finance à la santé et au bien-être, en passant par la technologie et l'intelligence artificielle.

Dan Pilat's portrait

Dan Pilat

Dan est cofondateur et directeur général du Decision Lab. Il est l'auteur du best-seller Intention - un livre qu'il a écrit avec Wiley sur l'application consciente de la science comportementale dans les organisations. Dan a une expérience de la prise de décision organisationnelle, avec une licence en systèmes de décision et d'information de l'Université McGill. Il a travaillé sur l'architecture comportementale au niveau de l'entreprise chez TD Securities et BMO Capital Markets, où il a conseillé la direction sur la mise en œuvre de systèmes traitant des milliards de dollars par semaine. Poussé par un appétit pour les dernières technologies, Dan a créé un cours sur l'intelligence économique et a donné des conférences à l'Université McGill. Il a également appliqué la science du comportement à des sujets tels que la réalité augmentée et virtuelle.

Read Next

people holding their phones
Insight

Le problème de la post-vérité

Pourquoi le climat moral actuel semble-t-il si explosif ? Dans notre monde hyperconnecté et numérisé, un essai de l'époque victorienne fournit des conseils étonnamment pertinents.

Automation job design
Insight

Cinq façons de concevoir un meilleur emploi pour vous-même

Les ordinateurs peuvent gagner aux échecs, mais les humains peuvent gagner au travail, même si l'automatisation augmente de façon exponentielle. Grâce à la conception des emplois, nous pouvons créer des emplois plus qualifiés et plus motivants, ce qui rendra l'avenir du travail moins robotique et plus humain.

Notes illustration

Vous souhaitez savoir comment les sciences du comportement peuvent aider votre organisation ?

Contactez nous