[Le plein de cyber] Pourquoi l’humain reste la première des failles
Si les collaborateurs des entreprises sont de plus en plus conscients des enjeux de cybersécurité, ils sont encore une infime minorité à identifier tous les emails frauduleux qu’ils reçoivent, révèle une étude de la start-up Mailinblack. En cause notamment : un trop plein d’informations et du stress.
En septembre 2020, les Assises de la cybersécurité de Monaco avaient pour thème Back to fundamentals. Un retour aux fondamentaux que Guillaume Poupard, le président de l’Agence nationale de la sécurité des systèmes d'information (Anssi), expliquait ainsi : « Il y a une perception partagée autour du fait que les bases essentielles de la cybersécuirté ne sont pas là. Or si les fondamentaux ne sont pas en place, vous pouvez acheter toutes les solutions technologiques que vous voulez, ça ne fonctionnera pas. Le dernier mois de la cybersécurité était consacré au mot de passe. Vous allez me dire que c’est une technologie du passé. J’aimerais bien, mais on sait que nos adversaires se régalent à récupérer les mots de passe pour opérer. »
A chaque interview sur la cybersécurité, à chaque conférence, la formation et la sensibilisation des collaborateurs revient quasi-systématiquement dans la discussion. Mais les résultats ne sont pas forcément au rendez-vous.
C’est en tout cas ce que montre une publication de la start-up Mailinblack portant sur la prévention face aux emails frauduleux, très souvent utilisés par les cyberattaquants pour ouvrir la première brèche. Dans cette étude*, où six mails dont quatre frauduleux ont été soumis aux sondés, seuls 3% ont réussi à tous les identifier.
« Vulnérabilité neurocognitive »
Une contreperformance en décalage avec la prise de conscience affichée du risque : 88% des collaborateurs interrogés se déclarent être vigilants quant aux emails qu’ils reçoivent et 59% estiment maîtriser le sujet. En plus de rappeler que l’humain reste la première faille en cybersécurité, cette étude est intéressante dans l’explication qu’elle donne à ces chiffres d’apparence opposés.
« Le stress, la charge cognitive et la baisse de la vigilance, trois marqueurs identifiés dans l’étude, sont des vecteurs majeurs de vulnérabilité neurocognitive face aux risques de cyberattaques », pointe Bruno Teboul, chercheur en sciences cognitives et économie comportementale, cité dans l’étude. Et de détailler : « 87% des sondés déclarent gérer souvent plusieurs tâches simultanément et 78% disent avoir une charge de travail élevée. Ceci a des conséquences cognitives : augmentation du niveau de stress (57% des répondants se disent stressés) et génération de cortisol par le cerveau. Si le stress est prolongé, cela se traduira par une baisse de la vigilance - et donc par une plus grande vulnérabilité aux cyberattaques. »
Par baisse de vigilance, il faut par exemple comprendre « une hyper-concentration sur le texte de l'e-mail » et donc « l’ignorance d’une adresse suspecte ou d’alertes périphériques (logo, orthographe, syntaxe, URL, etc.) », détaille Bruno Teboul. Des processus neurologiques et cognitifs intéressants à prendre en compte dans les formations des salariés à la cybersécruité … et dans son organisation du travail.
* Cette étude a été réalisée par OpinionWay auprès d’un échantillon de 1010 personnes représentatif de la population française des salariés de bureau .