Close
  • Français
  • English

Sciences humaines et cyber-sécurité, un enjeu d’avenir (par Cecilia PINEAU, CEO & Founder CY MIND)

Le numérique a envahi nos environnements personnels et professionnels, ce qui a fondamentalement changé nos modes de travail, nos interactions sociales et notre perception du réel. De nombreux progrès technologiques ont eu lieu ces dernières années dans le domaine de la cybersécurité, et donc théoriquement ces environnements devraient être de plus en plus sécurisés. Or, contrairement à ces attendus, « les attaques dans le cyber-espace sont de plus en plus fréquentes et sophistiquées, la défense ne suffit plus à assurer la survie des organisations»[1] face à cette cybercriminalité croissante.

Selon de récentes études, 60 à 90% des incidents cyber seraient dus à des failles humaines. Au regard de ces chiffres alarmants et des risques économiques et stratégiques encourus, il devient urgent et nécessaire de repenser la cybersécurité. Non plus seulement en termes de solutions techniques mais aussi en termes de «solutions humaines». Décloisonner la question de la cybersécurité pour renforcer la résilience – rapidité selon laquelle l’organisation serait capable de repérer, analyser, et réagir à un incident cyber qui pourrait être améliorée par une approche multidisciplinaire, en impliquant et encourageant les démarches de professionnels de la psychologie afin de « mieux comprendre pourquoi les collaborateurs sont victimes de piratage et comment ils peuvent être encouragés à utiliser leurs compétences et capacités pour la protection des cyber-systèmes »[2].

Les insuccès récurrents des campagnes de sensibilisation nous prouvent[3] qu’un simple transfert de connaissances est très nettement insuffisant pour initier un changement profond des mentalités (mindsets) et des cyber-comportements. L’humain ayant une tendance naturelle à résister au changement. De plus en terme de cybersécurité, les auto-évaluations des bonnes pratiques sont souvent  biaisées par l’effet «Dunning Kruger». Biais cognitif selon lequel les moins qualifiés dans un domaine surestiment leurs compétences et les plus qualifiés sous-estiment leur niveau de compétences.

Aucune organisation n’est aujourd’hui à l’abri d’une attaque cyber. Et il semble évident qu’après la protection des datas, le prochain défi en cybersécurité se situera autour du versant humain. Comprendre les aspects socio-psychologiques d’un incident de cybersécurité afin de les atténuer, voire les éviter, mieux cerner les enjeux et fondamentaux humains au niveau individuel, collectif et organisationnel, apporter des « solutions humaines » ad hoc aux organisations en terme de prévention, formation et traitement des incidents cyber pour une cyber-résilience performante et une continuité d’activité.

En conclusion, à l’avenir «une meilleure connaissance de la psychologie par les praticiens et les étudiants de la cybersécurité (versant technique) pourrait les aider à mieux comprendre et à aborder certains aspects de la cybersécurité versant humain. Les domaines pertinents de la psychologie qui peuvent être enseignés comprennent la psychologie sociale, la dynamique de groupe, la confiance, les différences individuelles et le rôle des émotions lors de l’utilisation des systèmes sociotechniques (et comment cela peut être lié à une mauvaise prise de décision et à un comportement à risque). La livraison de ce contenu ne peut pas être facile. Il peut y avoir des différences dans les approches pédagogiques, épistémologiques et ontologiques dans la façon dont le matériel est typiquement enseigné dans les départements de psychologie par rapport aux départements d’informatique. Néanmoins, il est nécessaire d’accroître la synergie entre les disciplines »[4], de créer des dialogues pluridisciplinaires forts et des passerelles afin de repenser la cybersécurité dans sa globalité en intégrant le versant humain.

[1] 30 janvier 2018 n° 2017/02/CGE/SR la cyber résilience

[2] Behaviour Change: Cybersecurity ; Dr John McAlaney, Associate Professor Jacqui Taylor & Helen Thackray Department of Psychology, Faculty of Science and Technology, Bournemouth University

[3] Cyber Security Awareness Campaigns: Why do they fail to change behaviour? (https://arxiv.org/abs/1901.02672) de janvier 2019

[4] Taylor, J. et al. (2017). Teaching psychological principles to cybersecurity students. In 2017 IEEE Global Engineering Education Conference (EDUCON).