Depuis plusieurs années, les experts en cybersécurité et gestion de crise cyber ont compris que les impacts d’une cyberattaque n’étaient plus seulement économiques, techniques ou réputationnels, mais également psychologiques. Aujourd’hui, la plupart des cyberattaques résultent de failles humaines. En effet, selon une étude réalisé en 2018 par le cabinet Deloitte auprès de ses clients, « 63% des incidents de sécurité proviennent d’employé actif au sein des effectifs » intentionnels ou non. Avec le développement croissant de solutions technologiques innovantes permettant de détecter et repousser toute sorte d’intrusion, les cyberattaquants ont bien compris qu’il était beaucoup plus facile d’exploiter les vulnérabilités humaines que les vulnérabilités technologiques, faisant des victimes leurs complices involontaires.
La double menace : En quoi les cyberattaques par ingénierie sociale sont des attaques psychologiques ?
Si les attaques de nature technologique peuvent être contrées par des solutions de protection, les attaques par ingénierie sociale sont beaucoup plus difficile à prévenir.
Le cerveau humain est un organe dont les fonctions ne sont pas entièrement connues et qui possède une structure très singulière. Il se compose en deux parties distinctes :
- Une partie instinctive qui nous permet de prendre des décisions rapides ;
- Une partie plus réfléchie qui nous permet de prendre des décisions rationnelles et logiques.
Malgré leurs rôles différents, ces deux parties se complètent et permettent de prendre des décisions et d’agir dans la vie quotidienne. Cependant il est important de noter que notre pensée instinctive peut parfois nous nuire, notamment en ce qui concerne la cybersécurité. Quand le cerveau devient la cible et que les attaquants exploitent ses vulnérabilités, on parle de « biais cognitifs ». Ces fameux biais cognitifs constituent une déviation de la pensée s’abstenant ainsi de toute logique ou de rationalité.
Les attaquants avertis savent que les techniques d’ingénierie sociale ont plus d’impact lorsqu’elles font appel aux émotions humaines. Les cybercriminels ont fréquemment recours à ces tactiques d’ingénierie sociale afin d’obtenir diverses informations personnelles, telles que des identifiants de connexion, des numéros de carte de crédit, de compte bancaire ou de sécurité sociale. Ce premier pas est souvent la première étape vers une cyberattaque de plus grande ampleur . A titre d’exemple, un cybercriminel peut manipuler une victime pour qu’elle divulgue son nom d’utilisateur et son mot de passe, puis exploiter ces informations pour introduire un ransomware dans le réseau de l’employeur de la victime.
Dans le cas d’une campagne de phishing, la victime reçoit de faux e-mails, d’apparence légitimes, l’invitant à saisir mot de passe, identifiants, numéro de carte bancaire, etc. La personne piégée peut ressentir une certaine honte et culpabilité. Elle se perçoit comme responsable de la situation dans laquelle se trouve l’entreprise. Cette porte d’entrée repose sur une manipulation de la victime qui est amenée à cliquer sur un lien vers un site malveillant. Sur le plan psychologique et émotionnel, l’image et l’estime de soi sont fortement impactés. Selon les personnalités, les réactions peuvent être complètement différentes : peur, honte, gêne, colère, etc.
Le moyen pour prévenir de l'ingénierie sociale : la cybersécurité cognitive
L’origine des cyberattaques par ingénierie sociale est de nature neurocognitive. La solution pour lutter efficacement contre ce phénomène réside dans la compréhension et l’analyse des biais cognitifs utilisés par les attaquants pour piéger psychologiquement leurs victimes, on parle de cybersécurité cognitive ou encore de neuro-cybersécurité.
Afin de constituer une défense adaptée et résiliente contre les cyberattaques d’ingénierie sociale, il est nécessaire de comprendre de manière plus approfondie les vulnérabilités cognitives exploitée par les attaquants.
Quels sont les biais cognitifs couramment utilisés par les cyberattaquants ?
- La tentation de l’appât du gain : Dans un mail de phishing, les utilisateurs peuvent être incités à cliquer sur un lien quelconque leur permettant soi-disant de gagner de l’argent. Ceux qui cliquent, se font piéger par leurs propres désirs et leurs propres émotions liés à la tentation de gagner facilement de l’argent. En réalité, de nombreuses études ont démontré que la recherche d’un gain active principalement deux régions cérébrales clés : l’amygdale cérébrale, qui est le centre des émotions du cerveau, et le circuit de récompense, notamment le noyau accumbens, responsable de la sensation de plaisir.
- La curiosité et l’indiscrétion : Un salarié reçoit un mail prétendant être une notification importante concernant une enquête interne en cours au sein de l’entreprise. Le message indique qu’il est nécessaire de cliquer sur un lien pour accéder aux détails de l’enquête et connaître les mesures à prendre pour coopérer. Intrigué et soucieux de son implication dans une telle enquête, le salarié cède à la curiosité et clique sur le lien. La curiosité est une attitude complexe qui est orientée vers l’information : les individus curieux cherchent à découvrir ce qu’ils ne connaissent pas encore (ce qui est logique). Selon George Loewenstein, la curiosité émerge lorsque nous prenons conscience d’une « absence » ou d’un « vide » dans nos connaissances. Cette lacune crée un sentiment de déficience qui motive à combler ses lacunes en termes de savoir.
- Le stress : Un salarié reçoit un mail urgent prétendument du PDG, l’exhortant à effectuer une transaction financière immédiate en raison d’une crise imminente. Sous l’effet du stress, le salarié contourne les procédures de vérification habituelles et transfère des fonds vers un compte spécifié par l’attaquant. C’est ce qu’on appelle l’effet tunnel attentionnel où l’attention est hyper-focalisée sur le texte du mail mais qui conduit à ignorer une adresse suspecte ou à passer à côté d’alertes périphériques.
Le causalité cognitive des attaques n’est plus aussi ignorée qu’auparavant, cependant il y a encore un grand travail d’analyse à réaliser sur ce qui rend un individu psychologiquement vulnérable aux cyberattaques d’ingénierie sociale. La « naïveté » de certains collaborateurs ou éventuellement leur « corruption » ou intention délibérée de porter préjudice à leur entreprise ne sont pas des explications suffisantes pour décortiquer les mécanismes utilisés par les attaquants. Il est primordial de bien saisir la dimension « psychologique » des pièges cognitifs que ces pirates informatiques mettent en place, afin de diagnostiquer avec précision et d’améliorer la prévention. Cette compréhension des éléments psychologiques est cruciale, car elle permet de comprendre les raisons pour lesquelles un salarié choisit ou non de cliquer sur un e-mail malveillant.
Ce qu'il faut retenir
En tant qu’être humain, nous sommes confrontés à nos propres faiblesses psychologiques et sommes avant tout victime de notre état psychologique et mental avant et pendant l’attaque : fort niveau de stress, baisse du seuil de vigilance, etc.
Certaines crises cyber peuvent impacter les collaborateurs et les organisations durablement et nécessitent un accompagnement professionnel pour comprendre, décrypter, accepter ce qui s’est passé. Au delà des personnes trompées par les attaquants, ce type de crise peut mettre à mal des équipes et rend difficile la reprise de l’activité.
Même si une cyberattaque n’est plus seulement l’affaire du RSSI et de la DSI, les équipes techniques sont aux premières lignes de ce type d’incident et sont confrontées à des problématiques opérationnelles qui impactent les équipes métiers. Dans la gestion de crise cyber, il y a de nombreuses étapes où l’intervention humaine est essentielle. Par conséquent, il est crucial de préparer les dirigeants et les collaborateurs de manière optimale à ce genre de situation.
Cette préparation passe notamment par des formations et des exercices de gestion de crise cyber, qui permettent aux collaborateurs de rentrer en immersion totale et de faire face aux impacts directs et indirects d’une crise cyber. Au-delà de l’existence de méthodologies et d’outils dédiés, le succès d’une gestion de crise dépend avant tout de la capacité des équipes à s’organiser et à agir dans un environnement déstructuré. Alcyconie travaille de pair avec des experts en sciences sociales et comportementales pour proposer des formations et interventions dédiées : prise de décision dans l’incertitude, gestion du stress, décryptage des biais cognitifs individuels et collectifs à l’œuvre face une situation de crise. Afin d’être prêt le jour-J, Alcyconie propose des entraînements et exercices de gestion de crise cyber qui prennent en compte la dimension humaine, primordiale tant d’un point de vue de l’interaction entre décisionnaires que dans la communication interne et externe de la crise.
