Rendez-vous compte, la masse de courriels malveillants que nous recevons chaque jour a augmenté de plus de 300 % en un anet celle des malwares de plus de 400 % selon ce rapport. Ce n’est pas seulement inconfortable, mais grave puisque 94 % des cyberattaques ont pu se déployer, suite à la diffusion d’un de ces courriels malveillants.
Cyberattaques : 94% des « réussites » ont exploité la faiblesse humaine
Publié le 30 mai 2022 ...
Mais que fait la technique ?
En d’autres termes, la quasi-totalité des cyberattaques qui se déclenchent dans nos organisations est dues à une « défaillance » humaine.
La première réaction que nous devons avoir — à mon sens — est d’arrêter de tout miser sur la technologie, y compris sur ces solutions qui utilisent de plus en plus l’intelligence artificielle puisqu’elles ne permettent pas de bloquer la plupart des attaques que nous subissons.
Disons-le autrement, si les algorithmes utilisés par nombre de ces solutions avaient été efficaces dans la lutte cyber, nous n’aurions jamais connu une telle augmentation des attaques cyber et, encore moins, un tel taux de déploiements dans les profondeurs de nos systèmes informatiques.
De la naïveté, aux biais cognitifs
Un certain nombre de pièges cyber ‘‘fonctionnent’’ encore en se jouant de notre naïveté, mais cela renvoie plus aux attaques que subissent des personnes éloignées de la communication généraliste faite autour de ce problème. Des personnes éloignées et/ou âgées.
Beaucoup plus nombreux sont ceux qui nous trompent grâce à ce que l’on nomme des biais cognitifs.
Ces biais, si nous les connaissons tous plus ou moins, sont hélas connus et utilisés par les hackeurs. Ces derniers ne sont pas tous diplômés en psychologie, mais ils utilisent des recettes adossées à ces biais et duplicables à l’infini. Il ne leur reste qu’à les habiller en fonction de l’actualité, de la saison (soldes, vacances, cadeaux de Noël, etc.).
Ces biais, si nous les connaissons tous plus ou moins, sont hélas connus et utilisés par les hackeurs. Ces derniers ne sont pas tous diplômés en psychologie, mais ils utilisent des recettes adossées à ces biais et duplicables à l’infini. Il ne leur reste qu’à les habiller en fonction de l’actualité, de la saison (soldes, vacances, cadeaux de Noël, etc.). |
Premier biais utilisé, la curiosité.
C’est un peu comme la gourmandise. Nous savons que ce n’est pas forcément très bien, mais le plaisir immédiat que l’on ressent à céder à la tentation est tel qu’il est difficile de résister.
Le problème est que le fait d’avoir cette satisfaction à portée de main nous fait oublier les mises en garde répétées, les règles connues et les risques encourus si nous sommes curieux. Les hackeurs le savent et vont en jouer. « Venez vite voir si … », « Cliquez sur ce lien si vous voulez savoir ce qui… » sont des messages dont on sait que souvent ils ne débouchent sur rien d’intéressant, de crédible ou de scientifiquement prouvé. Et pourtant notre curiosité va nous amener à ignorer toute rationalité et nous faire glisser dans un tunnel où aucune réalité ne nous touchera.
Deuxième biais, l’appât du gain.
La perspective de gagner un VTT hors de prix, ou à la loterie, sont de formidables moteurs qui nous font perdre conscience de la réalité, de certaines réalités. Comment croire en effet que chaque jour, ou chaque semaine, nous sommes l’heureux gagnant de l’un de ces cadeaux ? Une telle interrogation cède hélas vite le pas devant le fol espoir. Et puis, qu’est-ce que l’on risque à cliquer sur un lien ? Qui n’a jamais eu envie de gagner, le problème est que cette envie, le temps d’un clic fait taire toute rationalité en nous…
Autres sources de défaillances
Lors d’un prochain article, nous évoquerons le stress, car c’est un puissant facteur de vulnérabilité. À cette occasion, nous reviendrons sur l’effet tunnel, cet effet qui, dans certaines situations, nous rend aveugles aux risques.
Quelles solutions ?
Dans un premier temps, il nous faut éviter d’être trop confiants et nous le sommes tous, parce que nous croyons ‘‘savoir’’, par exemple. Et puis, c’est tellement facile d’éviter — chacun dans ses missions — de faire des efforts, de douter à chaque courriel venant d’un inconnu parce que notre entreprise a investi dans un système de protection de haut niveau.
Ensuite, les erreurs des autres, les pièges dans lesquels sont tombés des concurrents, ou des collègues doivent être décortiqués, explicités. L’objectif n’est pas de montrer du doigt tel ou tel, mais d’identifier avec quelle facilité, tout un chacun peut se faire piéger.
Travailler sur les biais cognitifs est une autre voie intéressante, car cela va ramener à chacun à ses faiblesses, qu’il ne s’agit pas — encore une fois — de brocarder — mais juste de replacer dans le contexte d’une cyberattaque et de ses conséquences.
Pour ne pas être systématiquement dans un registre négatif, les organisations peuvent chercher à générer de l’émulation, en valorisant celle ou celui qui a déjoué et décortiqué telle attaque et comment…
En d’autres termes, la lutte contre les cyberattaques doit être l’affaire de tous et toute situation permettant de renforcer sensibilisation et bonnes pratiques doit être utilisée, et ce quel que soit le niveau de protection du système d’information et surtout si nous sommes équipés d’un système a priori très performant. Rappelez les chiffres écrasants que je vous donnais en introduction…