stress cybersecurite biais cognitifs

Cybersécurité : le stress des salariés augmente le risque de cyberattaques

Contrairement à ce qu’ils pensent, la grande majorité des salariés français sont incapables de détecter les mails frauduleux et les tentatives de phishing. C’est ce que révèle une étude menée par OpinionWay pour Mailinblack, qui met aussi en lumière l’impact de biais cognitifs comme le stress dans la vulnérabilité aux cyberattaques. Ainsi, les neurosciences pourraient jouer un rôle majeur dans la cybersécurité.

La grande majorité des salariés français pensent être capables de détecter les cyberattaques contre leur entreprise. Lors d’une étude menée par OpinionWay auprès d’un échantillon de plus de 1000 personnes, 88% des participants ont estimé être suffisamment vigilants face aux mails suspects. Très confiants, 67% estiment même que la détection d’emails frauduleux est facile.

Cet enjeu tient à coeur les salariés, puisque 79% des interrogés déclarent qu’ils ressentiraient une très forte culpabilité en cas de responsabilité dans un piratage. Pour l’heure, 65% d’entre eux n’ont jamais eu le sentiment de mettre leur entreprise en danger.

Toutefois, toujours dans le cadre de cette enquête, l’entreprise de cybersécurité marseillaise Mailinblack a mis les salariés à l’épreuve en leur demandant d’identifier quatre mails frauduleux parmi une sélection de six messages. Or, seuls 3% ont passé le avec succès.

La moitié des salariés français ont de mauvaises pratiques en termes de cybersécurité

chiffres biais cognitifs cybersecurite

En réalité, 53% éprouvent des difficultés à comprendre le jargon de la sécurité informatique. Pire encore : 31% n’appliquent même pas les consignes de sécurité mises en place par leur entreprise et 26% cliquent sur des liens dans un email sans prendre la peine d’en vérifier la provenance.

En outre, 58% des sondés font un usage croisé de leurs outils personnels et professionnels. Un chiffre qui a explosé depuis la démocratisation du télétravail avec la crise sanitaire. Et 46% utilisent un même identifiant de connexion ou mot de passe au travail dans leur vie personnelle !

Toutes ces pratiques sont formellement déconseillées par l’ANSSI dans une démarche de cybersécurité responsable. La perception des salariés de leurs propres compétences en cybersécurité est donc considérablement éloignée de la réalité.

Comment expliquer ce phénomène alarmant ? Afin de mieux comprendre, OpinionWay et Mailinblack ont aussi tenté de décrypter les habitudes en matière d’utilisation des outils numériques.

Comme l’explique Thomas Kerjean, directeur général de Mailinblack, « les résultats de ce sondage renforcent nos convictions quant à la nécessité de sensibiliser et de former l’ensemble des collaborateurs, notamment ceux qui n’en ressentent pas le besoin ». Une fois de plus, cette étude confirme l’importance d’une généralisation de la formation à la cybersécurité.

La fatigue psychologique rend moins vigilant face au phishing

YouTube video

Toutefois, les résultats de l’enquête mettent en lumière un autre phénomène : « Ils nous apprennent également que les conditions de travail ont une influence sur les capacités cognitives des salariés, les rendant ainsi plus ou moins vulnérables aux cyberattaques ».

En effet, la technologie n’est plus suffisante pour contrer les cyberattaques. De nos jours, les hackers sont devenus des professionnels et exploitent les biais cognitifs et instincts primaires des collaborateurs pour les prendre au piège.

Parmi les cyberattaques menées avec succès, neuf sur dix sont causées par une erreur humaine. Et si le manque de connaissances n’était pas la seule cause d’un hameçonnage réussi ?

Selon Bruno Teboul, DEA de Sciences Cognitives à l’École polytechnique, Docteur en Sciences du Management (PSL) et chercheur en Sciences Cognitives et Économie Comportementale, les neurosciences cognitives pourraient permettre de comprendre les différents mécanismes menant au « clic » d’un salarié ouvrant la porte aux hackers pour déployer un malware.

Comme il le souligne, « 87% des sondés déclarent gérer souvent plusieurs tâches simultanément et 78% disent avoir une charge de travail élevée. Ceci a des conséquences cognitives : augmentation du niveau de stress (57% des répondants se disent stressés) et génération de cortisol par le cerveau. Si le stress est prolongé, cela se traduira par une baisse de la vigilance – et donc par une plus grande vulnérabilité aux cyberattaques ».

Quels biais cognitifs augmentent la cyber-vulnérabilité ?

biais cognitifs cybersecurite

Ainsi, le niveau de stress des salariés semble corrélé à leur propension à tomber dans un piège de Phishing par manque de vigilance. Cette conclusion rejoint celles de l’étude menée par Bruno Teboul sur l’approche cognitive des cyberattaques par ingénierie sociale.

Dans cette étude, l’expert établissait un lien avec l’effet de « tunnel attentionnel » causé par un stress aigu. Ce phénomène provoque une focalisation totale sur les éléments liés à la cause du stress, et donc une inattention aux autres informations.

C’est précisément ce qui mène les salariés à se concentrer sur le texte d’un email, sans prêter attention à l’adresse suspecte de son expéditeur ou à d’autres signaux d’alerte comme un logo contrefait, une orthographe douteuse ou une URL inhabituelle.

Parmi les biais cognitifs exploités par les hackers, l’étude cite aussi la curiosité indiscrète, l’appât du gain et l’altruisme. En jouant sur ces mécanismes psychologiques, il est très facile de piéger une personne avec un message d’hameçonnage.

Mailinblack : des formations sur mesure basées sur des tests cognitifs

YouTube video

Les résultats de cette étude rejoignent aussi ceux des entraînements aux cyberattaques que Mailinblack propose aux collaborateurs via sa solution Cyber Coach (anciennement Phishing Coach) dédiée à la sensibilisation et à la formation des collaborateurs.

En analysant les résultats de ces tests, il est possible de mieux comprendre les comportements, les traits psychologiques des utilisateurs ciblés ou le contexte de l’attaque.

À partir de ces données, combinées aux neurosciences cognitives, Thomas Kerjean explique qu’il est possible d’améliorer les contenus de formation et de les personnaliser en fonction de facteurs cognitifs propres à chaque individu. Ceci permet d’optimiser l’apprentissage pour réduire leur exposition aux risques cyber comme le phishing ou les ransomwares.

Ainsi, le stress, la charge cognitive et la baisse de vigilance seraient trois vecteurs majeurs de vulnérabilité cognitive face aux risques de cyberattaques. On peut en conclure que le bien-être des employés est le ciment de la cybersécurité.

Il est donc indispensable pour les entreprises de parvenir à mesurer le risque cyber au sein de leur organisation. Afin de les y aider, Mailinblack propose un audit gratuit des vulnérabilités humaines. Ce service permet d’évaluer le niveau de vulnérabilité de vos collaborateurs, afin de prendre les mesures appropriées pour les entraîner à reconnaître les menaces informatiques.. Demandez un audit dès à présent en suivant ce lien !

https://www.youtube.com/watch?v=iZ96TozvIMA

Restez à la pointe de l'information avec LEBIGDATA.FR !

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Newsletter

La newsletter IA du futur

Rejoins nos 100 000 passionnés et experts et reçois en avant-première les dernières tendances de l’intelligence artificielle🔥