Alors que les experts considèrent l’humain comme l’une des plus grandes faiblesses de la cybersécurité, la psychologie pourrait-elle être la clé d’une défense plus efficace contre les cybermenaces ? C’est en tout cas la promesse de la cyberpsychologie.
L’humain, le talon d’Achille de la sécurité des entreprises et des organisations
Le plus souvent, les cyberattaques commencent par les humains plutôt qu’avec la technologie. Dans son rapport d’enquête de 2023 sur les violations de données, la société américaine de cybersécurité Verizon, révèle que l’humain est impliqué dans 74 % des incidents. En 2020, ce taux d’implication était de plus de 90 %.
Human error is often at the center of cybersecurity breaches. Find out why in the #DBIR #VerizonBusiness https://t.co/hcYiHRUTFG pic.twitter.com/KdFFaeuKga
— Verizon Business (@VerizonBusiness) July 5, 2023
« Les personnes étant impliquées soit par erreur, soit par abus de privilèges, soit par l’utilisation d’informations d’identification volées ou par l’ingénierie sociale », expliquent les chercheurs. Les hackers l’ont bien compris, l’humain reste un maillon faible.
D’ailleurs, selon le Docteur Erik J. Huffman, technologue et chercheur en cybersécurité, les gens restent à ce jour « la plus grande vulnérabilité sur tous les réseaux de la planète ». Dans la mesure du possible, les hackers préfèrent « pirater les humains ». C’est plus facile que de défier la technologie.
Comprendre pourquoi et comment un incident se produit
La liste des erreurs qui pourraient conduire à une faille de cybersécurité est longue et, pour la plupart, entièrement évitable. Mais pourquoi autant d’erreurs ? C’est là qu’intervient la cyberpsychologie. Pour le Dr Huffman, l’équipe de cybersécurité doit évaluer la menace en cherchant à comprendre pourquoi un utilisateur de l’organisation pourrait être amené à faire cette erreur.
L’erreur la plus fréquente reste clairement le fait de cliquer sur un lien malveillant dans une attaque de phishing et de smishing sans chercher à vérifier l’authenticité de l’expéditeur. Ces attaques d’ingénierie sociale exploitent souvent l’impulsivité des cibles.
Why cyberpsychology is such an important part of effective cybersecurity https://t.co/kLfkG8HySh #CyberSecurity #Technology #Hacker #Cyberpsychology #AttackSolutions pic.twitter.com/o4pnc54adl
— AttackSolutions, Inc. (@attacksolutions) July 5, 2023
Dans une attaque de phishing qui implique un faux message du « PDG » demandant d’effectuer une tâche urgente par exemple, la cible néglige de vérifier de manière adéquate la source du message et fait confiance à la nature haut placé de l’expéditeur. C’est typique de l’humain soumis au cycle stimulus/réponse.
Pour avoir étudié en profondeur les traits psychologiques qui rendent les gens « vulnérables au piratage », le Dr Huffman évoque d’autres traits de personnalité en plus de l’impulsivité. Il évoque notamment l’extraversion, l’amabilité, la conscience, la stabilité émotionnelle et l’ouverture à de nouvelles expériences.
Cyberpsychologie : penser comme un hacker pour une meilleure cybersécurité
La cyberpsychologie est l’étude interdisciplinaire de la psychologie du cyberespace et de ceux qui utilisent les outils de cet écosystème. Cette discipline explore de nombreux domaines comme l’effet de désinhibition en ligne, de la déviance numérique ou encore de la cybersécurité.
Les conceptualisations psychologiques du cybercomportement peuvent informer les chercheurs, les praticiens et les décideurs en cybersécurité sur les motivations et les vulnérabilités psychologiques des hackers comme des cibles. Pour les cibles, la pensée des hackers aide à façonner la stratégie de sécurité.
La cyberpsychologie permet de favoriser une meilleure compréhension de la manière de développer et de mettre en œuvre des outils, des mesures, des politiques et une législation efficaces en matière de cybersécurité.
- Partager l'article :