Verena Zimmermann est convaincue qu’il est insuffisant de considérer l’être humain uniquement comme un facteur de risque en matière de cybersécurité. Il faudrait plutôt utiliser les capacités particulières des utilisateurs de manière ciblée pour augmenter la cybersécurité.
Lorsqu’on parle de cybersécurité, beaucoup pensent d’abord à des technologies sophistiquées telles que des programmes de cryptage, des filtres de messagerie ou des programmes antivirus. Seulement, le meilleur programme de cryptage ne sert pas à grand-chose s’il n’est pas utilisé. Les mots de passe faibles sont certes un facteur de risque. Mais la raison n’en est pas forcément la paresse ou l’ignorance. Le cerveau humain n’est tout simplement pas conçu pour se souvenir d’au moins 50 mots de passe différents et aléatoires. Pourtant, dans le domaine de la cybersécurité, l’homme est souvent considéré comme le "maillon faible", le "risque" ou le "problème". Pour que la cybersécurité réussisse, l’interaction entre l’homme et la technologie est essentielle.
Réduire le facteur humain?
Par le passé, on a souvent tenté d’éliminer en grande partie le "facteur humain" en évitant totalement l’interaction avec les utilisateurs, en la limitant fortement ou en la réglementant. Des directives strictes, comme le changement mensuel du mot de passe, l’interdiction d’utiliser des clés USB ou l’automatisation des processus, en sont des exemples.
"La stratégie selon laquelle les gens s’adaptent simplement aux directives techniques n’a donc qu’un succès modéré".
Les directives de sécurité peuvent être utiles. Toutefois, lorsque les directives entrent en conflit avec les processus de travail quotidiens ou ne sont pas facilement applicables, les utilisateurs développent souvent des stratégies peu sûres pour les contourner. Par exemple, ils gardent leur mot de passe ouvert parce qu’il est difficile à retenir ou adaptent simplement un chiffre à la fin du mot de passe si des changements fréquents sont nécessaires. Malheureusement, ce comportement facilite souvent les attaques. La stratégie selon laquelle les personnes s’adaptent simplement aux exigences techniques n’est donc que moyennement efficace.
Les attaques ciblées sont de plus en plus fréquentes
Il est par ailleurs inquiétant de constater que le nombre et la qualité des cyberattaques visant le "facteur humain" augmentent. Par exemple, les attaques de phishing, qui tentent par l’ingénierie sociale d’amener les gens à télécharger des pièces jointes nuisibles ou à saisir leurs données d’accès secrètes sur des sites web falsifiés.
Il est donc temps pour la recherche en cybersécurité d’explorer de nouvelles voies. L’objectif des nouvelles approches de recherche est notamment d’améliorer l’adéquation entre l’homme et les solutions de sécurité. Ainsi, des alternatives de mots de passe à partir d’images ou des formations ludiques peuvent aider les utilisateurs à mieux prendre conscience des cybermenaces. Le fossé entre les exigences techniques et les capacités humaines devrait ainsi être mieux comblé.
Toutefois, il serait à mon avis encore plus judicieux de comprendre et d’utiliser l’être humain et ses capacités comme un potentiel inexploité.
Mieux utiliser le potentiel humain
Nous connaissons en fait ce potentiel grâce à la psychologie et à la recherche en matière de sécurité : les personnes sont très créatives, capables de s’adapter à de nouvelles situations et de prendre de bonnes décisions même dans l’incertitude. Jusqu’à présent, nous nous sommes principalement concentrés sur ce que les gens font de mal et avons essayé de l’empêcher. Mais si nous analysons aussi ce que les gens font de bien et pourquoi, nous pouvons développer de nouvelles approches pour la cybersécurité.
Le phishing en est un bon exemple : les chercheurs ont découvert que l’intuition humaine et la reconnaissance des formes, affinées par des années d’expérience, sont souvent supérieures aux algorithmes complexes pour détecter les tentatives de phishing subtiles. Ainsi, si nous comprenons pourquoi certaines personnes ne se contentent pas de détecter les e-mails de phishing, mais les signalent et en avertissent d’autres de manière proactive, nous pouvons étudier comment mieux aider les autres à accomplir cette tâche.
La grande flexibilité et la capacité d’adaptation des personnes pourraient jouer un rôle important dans le contexte actuel de menaces dynamiques. Si nous parvenons à établir une culture dans laquelle chaque individu se sent responsable - et est également motivé et habilité à agir en conséquence - nous pourrions apporter une contribution décisive à la cybersécurité. Il est temps de ne plus considérer l’homme comme le maillon faible, mais comme un facteur de sécurité précieux.
Verena Zimmermann est professeure assistante en sécurité, sphère privée et société à l’EPF de Zurich. Ses recherches portent sur les aspects humains de la sécurité informatique et de la protection des données.
Prof. Verena Zimmermann