Longtemps confié aux directions informatiques, le risque cyber est devenu un enjeu stratégique et managérial. Des approches innovantes voient le jour. La capacité de défense des entreprises est renforcée au point que cette dernière devienne un véritable atout concurrentiel. Cependant, un paradoxe subsiste au sein du management des risques cyber. Même un éditeur de logiciel de sécurité comme IBM déclare que 90 % des cyber-incidents sont d’origine humaine. Les utilisateurs incarnent le maillon le plus faible de la chaîne de cybersécurité, tout en étant le moins pris en compte. Ce paradoxe prend racine dans la manière dont les organisations abordent la cybersécurité. Ainsi, les entreprises implémentent principalement des processus et des formations à visées techniques, sans réellement prendre en considération l’interaction Homme-Machine. Or la conception d’un système ne prenant pas en compte le facteur humain ne peut comporter que des fragilités. En appliquant le prisme des sciences comportementales aux défis de la cybersécurité, les entreprises peuvent identifier de nouvelles façons d’aborder le management des risques cybers. Aujourd’hui, les entreprises intègrent les comportements des salariés comme des menaces internes potentielles et leur stratégie pour y faire face consiste à détecter les salariés qui enfreignent les règles relatives à l’accès aux données et à leur utilisation. Ce type de politique en termes de management des risques n’atténue pas de manière proactive la menace avant que l’action ne se produise. En effet, l’entreprise est souvent avertie lorsque le problème a déjà eu lieu. La clé pour identifier et accompagner les employés avant qu’un incident ne se produise est de se concentrer autant sur la compréhension du comportement humain que sur le renforcement des défenses technologiques.
Dans cette optique, il convient de positionner les comportements à risques des utilisateurs dans le modèle traditionnel de management du risque. Ce dernier repose sur les piliers suivants:
(1) les actifs (ce qui doit être protégé) ;
(2) les vulnérabilités (les failles, ce qui manque de solutions)
(3) les menaces (ce qui exploite les vulnérabilités).
On peut alors identifier trois types de comportements utilisateurs : les comportements non-intentionnels (quand l’utilisateur est celui qui doit être protégé), les comportements intentionnels sans volonté de nuire (quand l’utilisateur augmente le risque de vulnérabilités) et les comportements intentionnels malveillants (quand l’utilisateur crée volontairement de nouvelles menaces).
Réussir à prévenir les comportements non-intentionnels
Les comportements non-intentionnels sont le canal de transmission entre la cyber-attaque et l’entreprise cible. Via les techniques d’ingénierie sociale (pratique de manipulation psychologique à des fins d’escroquerie), les cybercriminels vont « hacker » le cerveau de l’utilisateur (qui se présente ici comme victime) pour obtenir qu’il se conforme à leurs demandes. Au niveau cognitif, ce phénomène correspond à un détournement amygdalien. Les attaquants vont s’efforcer de créer un sentiment de peur, d’anxiété, d’urgence, de panique, visant à convaincre l’utilisateur d’agir de manière impulsive (comportements dysfonctionnels). Une des attaques les plus fructueuses reste à ce jour « l’arnaque au président ». Le cabinet expert-comptable CDER en a fait les frais en février dernier avec une escroquerie chiffrée à 14,7 millions d’euros. Il s’agit d’un chiffre record en Europe. « C’est un véritable lavage de cerveau dont a été victime la responsable comptable qui a effectué les virements » a déclaré l’avocat de CDER.
Les salariés sensibles à l’ingénierie sociale sont le plus souvent des utilisateurs « novices » en cybersécurité auxquels les entreprises vont chercher à proposer des formations. Afin d’éviter ces risques, il convient de combiner une meilleure connaissance des techniques des agresseurs avec des stratégies de réduction de l’intensité émotionnelle perçue. La communication interne reste également un outil clé sur l’identification des risques, des pratiques et des procédures d’urgence.
Réduire les comportements de contournements des règles sécuritaires
Les comportements intentionnels sans volonté de nuire renvoient à l’ensemble des comportements contournant délibérément les règles sécuritaires, sans intention de nuire aux parties prenantes de l’organisation. Ils peuvent être réalisés par des experts en informatique en réponse à une politique d’hygiène de sécurité stricte ou lors de l’implémentation de nouveaux protocoles/outils sécuritaires. Les salariés doivent de manière répétée, dès qu’il y a besoin d’accéder à un système critique retourner au Bastion et passer par des processus d’authentification forte (
Multi-Factor Authentication). Ces environnements de travail entraînent des difficultés dans la réalisation des tâches par manque d’accès à certaines fonctionnalités et viennent augmenter la dimension agentique du salarié et sa perte de contrôle et d’autonomie. Par ailleurs, le maintien d’un niveau élevé de vigilance et de sensibilisation à la sécurité génère également une « fatigue de la sécurité ». Cette fatigue peut conduire à la fois à des négligences dangereuses pour la santé générale d’une organisation et à des comportements plus intentionnels comme la création et l’ouverture d’accès privilégiés en dehors de ce protocole sécuritaire.
Prévenir ces comportements revient par conséquent à réduire la fatigue sécuritaire perçue, en soutenant la pensée systématique des utilisateurs lors de l’évaluation combinée des « coûts et avantages » en matière de conformité et de non-conformité. Dans ce domaine, à l’appui de la théorie de l’évitement des menaces technologiques, il est possible de dégager plusieurs éléments à prendre en compte pour l’utilisateur, à savoir: les critères de facilité et d’utilité en situation de conformité mais également les bénéfices attendus en situation de non-conformité, afin de mieux cerner les risques potentiels de contournements de règles sanitaires.
Détecter et Prévenir les comportements malveillants
Quand ils ne relèvent pas de l’hacktivisme, les comportements malveillants renvoient à des représailles organisationnelles directes, telles que le vol, le sabotage, la destruction de bien, l’altération de la réputation de l’entreprise… Ces comportements sont le fruit de la traduction d’un sentiment de colère (injustice, frustration…). Ils sont perpétrés par des salariés dits « initiés » ayant généralement une forte expertise technique ou des process internes de l’organisation. L’entreprise Cisco Systems Inc. a récemment subi la représaille orchestrée par un de ses anciens ingénieurs. Ce dernier a déployé un code supprimant 456 machines virtuelles pour Webex Teams, l’outil de réunion vidéo et de collaboration de Cisco, supprimant plus de 16 000 comptes Webex Team. Cisco a dû ainsi dépenser 1,4 million de dollars pour réparer les dommages et rembourser plus d’un million de dollars aux clients concernés. Cet exemple met en lumière les limites de « l’offboarding» et la nécessité d’être vigilant aux pratiques managériales mises en place au sein de la structure, afin de réduire au maximum le niveau de colère et le risque de passage à l’acte. La prévention des comportements de cyber malveillance en tant que représailles organisationnelles peut s’appuyer sur les recherches conduites depuis plusieurs décennies en psychologie organisationnelle. Les principaux leviers identifiés à ce jour pour réduire le passage à l’acte des salariés sont la mise en place d’un climat et d’un leadership exemplaire, juste et éthique. Les travaux menés sur ce sujet sont également des outils clés dans la détection des comportements des initiés. En effet, il est reconnu que l’intensité des comportements de représailles est progressive. Ainsi avant de réaliser des comportements de malveillance il est très probable qu’un salarié réalise des comportements avec un impact moindre qui puissent être détectables par l’entreprise.
Conclusion
Il existe une relation symbiotique entre les disciplines de l’informatique et de la psychologie : les psychologues ont aidé par de nombreuses manières, à comprendre la façon dont les systèmes informatiques sont développés et utilisés. De plus, l’utilisation des outils informatiques a également aidé les psychologues à modéliser et à étudier les processus cognitifs et sociaux des utilisateurs. Ainsi, pour concevoir, développer, mettre en œuvre et évaluer des systèmes informatiques sécurisés, les cyber-défenseurs comme les dirigeants doivent comprendre les concepts et les méthodes de recherche en psychologie. Pour comprendre les risques potentiels des systèmes sociotechniques, les experts en cybersécurité doivent appréhender et prendre en compte la façon dont les utilisateurs perçoivent, se souviennent, ressentent, pensent et résolvent les problèmes. Il est également important de prendre en considération les différences individuelles des utilisateurs et les comportements sociaux pour parvenir à une interaction efficace entre les personnes et les systèmes informatiques. La compréhension de ces sujets psychologiques doit permettre d’envisager les capacités et les limites potentielles des utilisateurs de systèmes informatiques et les aider à concevoir des systèmes efficaces pour tous les types d’utilisateurs.
Notes:
(1) Article d’Olivier Meier, Professeur des Universités, réalisé en collaboration avec
Jeanne Le Roy, enseignante-chercheuse (Observatoire ASAP), spécialisée dans le champ du comportement organisationnel et de la cybersécurité.