Accueil
>
Ressources
>
Blog
>
Sciences cognitives et cybersécurité : comment protéger ses collaborateurs ?
Le rôle des biais cognitifs
La neurobiologie prouvait en 1862 la localisation cérébrale des fonctions psychologiques et découvrait peu après l’existence des cellules du cerveau (neurones et cellules gliales), mais c’est durant ces dernières années qu’elle a accompli, avec l’aide des sciences cognitives, des progrès considérables dans la compréhension des fondations neuronales des phénomènes cognitifs, comme la perception visuelle, le langage ou la mémoire.
Grâce aux techniques d’imagerie cérébrale inventées à partir de 1972 il a été possible de voir quelles parties du cerveau sont actives lorsqu’une personne pense ou accomplit une action spécifique. Les méthodes d’imagerie, comme l’imagerie par résonance magnétique fonctionnelle (ou IRMF) ou la TEP, enregistrent des changements physiologiques associés aux modifications du flux sanguin cérébral régional tandis que les méthodes magnétiques (MEG ou magnéto-encéphalographie) enregistrent les propriétés des champs magnétiques liés à l’activité neuronale.
Certaines méthodes sont très efficaces pour nous indiquer la localisation précise des régions du cerveau concernées par une activité mentale alors que d’autres méthodes fournissent plutôt des informations sur le décours temporel des activations, elles indiquent alors avec une précision de l’ordre de la milliseconde à quel moment se produit un évènement. Grâce au développement de ces nouvelles méthodes essentiellement non invasives, le programme des neurosciences s’est amplifié et les découvertes se sont multipliées de manière assez spectaculaire.
Mais bien sûr, les travaux de neuroimagerie qui furent particulièrement médiatisés ne suffisent pas à eux seuls pour comprendre réellement ce qui se passe au niveau cérébral d’un point de vue structural et fonctionnel. En effet, découvrir à quel endroit se produit un processus mental dans le cerveau ne revient pas à dire que l’on comprend parfaitement la dynamique matérielle des processus en jeu. L’exigence ultime des neurosciences est de comprendre l’ensemble des mécanismes cérébraux responsables de la pensée en partant du niveau des réseaux impliqués pour descendre jusqu’aux structures plus élémentaires de l’architecture cérébrale, les neurones et le codage neurochimique des transmissions synaptiques.
Les théories relatives aux biais cognitifs, aux heuristiques, aux émotions viennent compléter l’arsenal exploratoire des neurosciences cognitives. Arrêtons-nous sur quelques exemples de biais cognitifs bien décrits dans la littérature et qui sont responsables de nombre de nos erreurs commises et nous rendent ainsi plus vulnérables du point de vue du risque cyber :
- Le biais de surconfiance (effet Dunning Krueger) qui nous pousse à surestimer nos compétences dans certains domaines.
- Le biais de représentativité qui nous incite à porter un jugement à partir d’éléments peu ou pas représentatifs d’une situation
- Le biais d’autocomplaisance, qui représente la tendance à s’attribuer des réussites et à attribuer des échecs à des facteurs extérieurs
- Le biais de conformisme, qui nous pousse à penser et à agir comme les autres personnes de notre entourage
- …
Tous ces biais jouent un rôle dans la protection de votre structure mais aussi dans la vulnérabilité de vos équipes face aux cyberattaques. En effet, certains biais cognitifs comme le biais de surconfiance ou le biais de représentativité sont bien connus des hackers. Et ces derniers ne se privent pas de les utiliser pour piéger vos équipes à travers des emails frauduleux ou bien des attaques basées sur l’usurpation d’identité.
L’environnement de travail
Point clef dans le bien-être de vos collaborateurs au quotidien, l’environnement de travail peut être à la fois réduire le taux de vulnérabilité de vos équipes, mais également les exposer à un risque cyber plus important et un nombre d’erreur plus élevé. En effet, si vos collaborateurs ne se sentent pas à l’aise dans leur travail, pas suffisamment en confiance et sereins, ils seront plus à même de commettre des étourderies ou de cliquer sur des liens malveillants sans même en avoir conscience. Et cela en raison de trois facteurs psychologiques bien décrits dans la littérature neuroscientifique :
- L’hyperstress, qui représente un niveau de stress plus élevé que la moyenne pouvant avoir des répercussions sur la santé (mentale et physique) et même atteindre le bon fonctionnement de la cognition humaine.
- La surcharge cognitive, qui représente une situation dans laquelle notre cerveau est sollicité de manière excessive
- La tunnelisation attentionnelle, qui représente le fait de se focaliser entièrement sur un problème ou un seul aspect d’un problème et d’oublier le reste des éléments importants.
Et en sachant qu’un salarié sur deux serait concerné par le stress au travail et qu’un salarié sur quatre serait concerné par l’hyperstress : il est évident que vos collaborateurs sont en grande partie exposés au risque et à la vulnérabilité aux cyberattaques par ingénierie sociale, qui sont avant tout des « attaques psychologiques ».
Les traits de personnalité des collaborateurs
Nous vous l’expliquions dans nos précédents articles, la cybersécurité en entreprise n’est désormais plus simplement une histoire de technologie. En effet, une dimension psychologique existe et elle est même à l’origine du développement des cyberattaques par ingénierie sociale et par usurpation d’identité. Il ne s’agit plus seulement de tentatives d’intrusion dans des systèmes informatiques, mais bel et bien de ruse et de manipulation mentale et psychologique des victimes pour les pousser à commettre une erreur d’elles-mêmes. Et si la richesse de vos équipes se mesure à la variété de personnalité représentée, cela veut dire également qu’il existe autant de profils psychologiques plus ou moins sensibles et faillibles aux cyberattaques. C’est pourquoi, nous pouvons désormais évoquer des profils psychologiques moins vigilants, et donc plus faillibles aux cyberattaques comme suit :
- La personnalité en excès de confiance face à ses connaissances cyber, qui se sentira hors d’attente des emails frauduleux.
- La personnalité attirée par le gain, ou une récompense matérielle, financière, qui sera plus enclin à répondre à un faux email annonçant une victoire à une loterie par exemple
- La personnalité engagée, socialement qui pourra répondre plus facilement à un faux appel aux dons pour une cause humanitaire
- La personnalité curieuse, qui cliquera plus facilement sur les liens promettant des révélations, des informations secrètes ou confidentielles
- …
Vous l’aurez compris, il existe autant de profils psychologiques que de collaborateurs, et les hackers savent très bien comment s’adapter à chacun d’entre eux. Il faut donc dans un premier temps identifier les différentes personnalités constituantes de votre entreprise afin de pouvoir les former de manière adaptée et ciblée sur leurs faiblesses, leurs failles.
Pour ce faire, il existe de nombreux tests de personnalité comme l’évaluation MBTI (Myers Brigg Type Indicator) ou encore l’évaluation Framework Big 5, qui vous permettent d’identifier des traits de personnalités. Inspiré par ses deux méthodes Bruno Téboul, Ph.D, Advisor en Cybersécurité Cognitive chez Mailinblack, a développé une méthode innovante nommée « Neurocyber Framework ».
Cette dernière permet d’identifier un grand nombre de traits psychologiques grâce notamment à des questionnaires, qui ont pour but de déterminer quels sont les collaborateurs les plus vulnérables aux attaques par ingénierie sociale.
Vous souhaitez en savoir plus sur ces différentes méthodes ?
Comment y remédier ? La formation cybersécurité
Vous l’aurez compris en lisant les points précédents : l’humain est la cause principale des attaques informatiques. Mais ça n’est pas pour autant qu’il est impossible d’y remédier ?
En effet, un outil s’impose comme un véritable allié pour la sécurisation de votre entreprise et de ses données, il s’agit de la formation à la cybersécurité de vos équipes à la cybersécurité. Une fois éduqué aux bonnes pratiques cyber à adopter, aux cyberattaques ainsi qu’à leurs conséquences, mais également à la détection de ces dernières, vos employés deviendront des acteurs à part entière de la sécurisation de votre structure. Réduisant ainsi votre niveau de vulnérabilité et augmentant votre niveau de protection.
Mais alors comment faire pour former ses équipes ? Mailinblack vous propose, avec sa solution Cyber Coach, une formation basée sur la mise en situation au travers de simulation d’attaques de ransomware et de phishing réalistes, mais aussi basée sur l’apprentissage par répétition. Confrontant vos équipes à des exemples d’emails frauduleux actuels, Cyber Coach vise à éduquer au moment du clic fatal pour permettre aux personnes testées de mieux comprendre où ils ont été inattentifs et comment ne pas reproduire la même erreur. Pensée pour s’adapter à tous les profils et tous les niveaux de compréhension, notre solution propose des contenus de formations ludiques et variés pour permettre à vos collaborateurs d’avancer à leur rythme.
Vous souhaitez en savoir plus sur notre solution de sensibilisation à la cybersécurité, Cyber Coach ? Son fonctionnement ? Et sur les bénéfices liés à son utilisation ? Alors n’attendez plus et demandez votre démo dès maintenant !