Selon le dernier Rapport d’investigations sur les violations de données publié par Verizon, 74 % des violations de données sont attribuables au facteur humain, un chiffre sidérant qui inclut les attaques par ingénierie sociale, les erreurs et les fausses manipulations. Cette situation lance un véritable défi aux professionnels de la cybersécurité et aux sociétés du monde entier. Les chercheurs d’IBM confirment ces résultats et classent les vols d’identifiants et l’hameçonnage – deux types de compromissions étroitement liées à des vulnérabilités humaines – au rang des deux principaux vecteurs d’attaque. La conclusion s’impose inévitablement : en matière de cybersécurité, les batailles se livrent aussi au niveau du facteur humain et il est urgent de renforcer ses défenses.
Manipulation du facteur humain : quelques exemples concrets d’attaques par ingénierie sociale
L’évolution des menaces cyber a eu des conséquences graves et coûteuses pour certaines entreprises dans le monde, y compris pour des géants comme Twilio, Cisco et Uber. Ceux-ci ont été pris au piège par des attaques d’ingénierie sociale astucieuses : c’est dire combien ces techniques peuvent être dangereuses.L’attaque qui a frappé le géant mondial du transport, Uber, en septembre 2022 a de quoi faire froid dans le dos. Il semble qu’un adolescent soit parvenu à contourner un processus MFA vulnérable en utilisant la tactique de l’homme du milieu. Il a ainsi eu accès à l’infrastructure interne d’Uber et aux données sensibles qu’elle contient.
Pourtant, malgré l’état inquiétant de cette situation, une lueur d’espoir s’est allumée. Lorsqu’il est bien informé et que sa vigilance est aiguisée, le facteur humain peut aussi opposer une solide résistance à ce type de cyberattaques. C’est notamment ce que souligne l’incident dont a été victime Reddit, début 2023 : après avoir été piégé par une attaque de phishing sophistiquée qui a déclenché une violation de données, un employé a eu le bon réflexe d’avertir immédiatement l’équipe de sécurité interne. En réagissant promptement, il a ainsi permis de supprimer l’accès du cybercriminel pour éviter qu’il ne fasse d’autres dommages. Sans ces mesures immédiates, les conséquences auraient pu être autrement plus graves.
Un urgent besoin en formations efficaces pour sensibiliser à la cybersécurité
L’augmentation fulgurante de ces cyberattaques sophistiquées souligne la nécessité impérieuse de développer, au sein des sociétés, une solide culture de la cybersécurité. Au cœur de ce processus, il est impératif de mettre en place une formation de sensibilisation qui fournisse au personnel les clés pour déceler les menaces, y répondre de manière appropriée et éviter toute maladresse susceptible de favoriser une violation de la sécurité.Pourtant, bien que la sensibilisation à la cybersécurité joue, depuis longtemps déjà, un rôle majeur dans le système de défense des sociétés et industries de toute taille, ce domaine connaît aujourd’hui une mutation profonde. Les modèles de formation traditionnels, majoritairement basés sur des bibliothèques de contenus statiques se contentant de remplir les obligations légales, se sont avérés inefficaces face à la nouvelle génération de menaces émanant d’une cybercriminalité qui se professionnalise.
Il faut donc changer de perspective, cesser de se concentrer sur les obligations de conformité pour prendre des mesures efficaces qui forgeront, chez les collaborateurs, de solides réflexes de sécurité leur permettant d’effectuer leurs tâches quotidiennes sans se mettre en danger. En intégrant les principes des sciences comportementales dans leurs programmes de sensibilisation à la cybersécurité, les entreprises ont la possibilité d’instaurer, au lieu de mesures ponctuelles, une culture de la sécurité durable qui fasse efficacement barrage aux tentatives d’ingénierie sociale.
L’apport des sciences comportementales : 5 avantages majeurs pour les formations de sensibilisation à la cybersécurité
Étant donné tout le potentiel d’une telle évolution, nous avons dressé une liste qui met en lumière les avantages et les effets de l’intégration des sciences comportementales dans la formation de sensibilisation à la cybersécurité :1. Elles stimulent l’engagement
En analysant le comportement humain en matière de cybersécurité de façon à pouvoir l’influencer, les sciences comportementales parviennent à stimuler fortement la motivation des employés et les poussent à s’impliquer dans les programmes de formation. L’un des outils les plus efficaces à leur disposition est la gamification. Celle-ci transforme les sessions de formation traditionnelles en expériences interactives pour que l’apprentissage devienne un plaisir. Un sondage réalisé par Talent LMS a ainsi montré que 80 % des personnes interrogées pensaient avoir mieux appris et mieux assimilé le contenu de la formation grâce à la gamification.Également inspiré des sciences comportementales, l’envoi de rappels automatisés stimule l’engagement des collaborateurs. C’est ce que nous expliquons dans notre Analyse du risque humain 2022 : « Les rappels automatisés réguliers augmentent le taux d’engagement de 30 %, parfois même jusqu’à 90 % pendant la phase de lancement. » Ces rappels peuvent prendre la forme d’e-mails réguliers, envoyés automatiquement par le système, pour alimenter le côté interactif et stimuler la vigilance. Ils peuvent être formulés comme des encouragements, des rappels ou des informations sur la progression, par exemple. L’objectif est de veiller à ce que les utilisateurs restent constants dans leurs efforts.
Les effets conjoints de la gamification et des rappels automatisés montrent à quel point les sciences comportementales peuvent transformer en profondeur les programmes de sensibilisation à la cybersécurité. En créant un environnement interactif, ces techniques favorisent l’implication des apprenants et remplacent les banals QCM par un processus dynamique, axé sur l’humain.
2. Elles favorisent l’assimilation et la rétention des connaissances en matière de cybersécurité
Les méthodes inspirées des sciences comportementales, comme les rappels automatisés, ne sont pas seulement essentielles pour stimuler l’engagement des apprenants, mais aussi pour améliorer l’assimilation et la rétention des informations. Dans les modèles de formation traditionnels, les connaissances sont généralement transmises de manière linéaire, dans le cadre de sessions longues et intensives. Il est pourtant devenu de plus en plus évident que ces ateliers interminables et ces cours ennuyeux n’avaient aucune efficacité. Ces méthodes d’un autre âge ne parvenaient pas à remplir la mission première de toute formation : inculquer des connaissances qui durent.La difficulté vient de ce que la rétention des connaissances tend naturellement à décliner au fil du temps. La courbe de l’oubli d’Ebbinghaus montre que les apprenants peuvent oublier, dans la semaine qui suit la formation, jusqu’à 90 % de ce qu’ils ont appris. Cette déperdition augmente encore lorsque l’on s’écarte du schéma d’apprentissage ou que l’on espace les révisions.
Il existe cependant des stratégies pour améliorer la mémorisation des informations et assurer un apprentissage plus efficace. Le recours à la répétition espacée, qui consiste à dispenser des connaissances par le biais de rappels automatisés fréquents passant par différents canaux, permet aux apprenants de réviser et de consolider leurs acquis. Combinée à des éléments interactifs et incitatifs comme des quiz, cette stratégie est particulièrement efficace pour contrer la courbe de l’oubli.
Proche des rappels automatisés dans la mesure où il permet d’acquérir des connaissances dans des scénarios de la vie de tous les jours, l’apprentissage informel est, lui aussi, une composante des formations comportementales en cybersécurité. Dans un monde où nous sommes saturés d’informations et où le temps nous est souvent compté, le recours à des micro-modules de formation envoyés à des moments critiques est gage d’efficacité. Un exemple qui illustre parfaitement cette méthode est la page pédagogique qui apparaît lorsqu’un utilisateur clique sur un e-mail de simulation de phishing. En cinq minutes, ce petit flash de sensibilisation à la cybersécurité permet d’apprendre en continu sans bousculer l’emploi du temps de l’apprenant ni le surcharger d’informations.
3. Elles donnent aux employés les clés pour identifier et déjouer les éventuelles attaques
Afin de promouvoir une solide culture de la cybersécurité, il est essentiel de fournir aux employés les compétences dont ils ont besoin pour jouer un rôle actif dans la détection et le blocage des menaces. À cet effet, il faut mettre en place, au sein des entreprises, un environnement qui encourage les comportements vigilants et mettre à la disposition des collaborateurs des outils intégrés leur permettant de faire obstacle aux menaces cyber. La tâche est plus facile si l’on dispose d’une plateforme de sensibilisation inspirée des sciences comportementales avec des fonctionnalités intégrées qui simplifient la détection et le signalement des activités numériques suspectes. Les statistiques montrent, par exemple, que le bouton d’alerte phishing de SoSafe permet de réduire de 30 % les interactions des collaborateurs avec les e-mails de phishing, par rapport à ceux qui n’ont pas accès à cette fonctionnalité.L’intérêt de ce type d’outils est double : ils équipent les employés pour qu’ils sachent identifier et contrer les menaces cyber tout en permettant à chacun de se rendre compte, par lui-même, des répercussions directes que peuvent avoir ses faits et gestes sur la sécurité globale de l’entreprise. Ce retour tangible les pousse à s’impliquer davantage dans la formation et renforce leur détermination à préserver la sécurité de leur environnement. Les employés ne sont alors plus des spectateurs passifs, mais défendent activement la cybersécurité de leur société.
4. Elles permettent de quantifier les résultats de la formation et de leur donner un sens
C’est en cherchant à mieux comprendre les rouages qui sous-tendent les comportements des attaquants comme ceux des utilisateurs, et l’impact que peuvent avoir certaines mesures sur l’attitude de ces derniers, que les entreprises pourront anticiper les attaques et les neutraliser en amont. Les sciences comportementales offrent des mesures significatives et sans équivoque. Ces mesures comportementales éclairent les décisionnaires sur la façon dont les employés réagissent aux différentes menaces et sur l’efficacité de tel ou tel type de formation.En fonction de ces résultats, il est alors possible d’adapter, en temps réel, les initiatives prises pour sensibiliser le personnel. Par exemple, si une équipe présente un taux d’alerte phishing inférieur au reste de l’entreprise, des rappels automatisés personnalisés pourront l’aider à faire des progrès pour mieux reconnaître et signaler les e-mails suspects. Ces chiffres donnent une vue d’ensemble précise de l’impact culturel des programmes de sensibilisation sur le positionnement général de l’entreprise en matière de cybersécurité.
Ils apportent une preuve tangible de l’efficacité des initiatives mises en place et sont, à ce titre, de précieux supports de communication qui parleront à toutes les parties prenantes, des cadres dirigeants aux simples employés. Il s’agit, par exemple, du taux d’alerte phishing calculé d’après l’utilisation des outils de signalement intégrés, du nombre d’actifs de données correctement catégorisés selon leur statut de confidentialité sur l’Intranet de l’entreprise, de l’impact de la gamification sur le taux d’achèvement de la formation en ligne, des différences au niveau du taux de clics en fonction des formes de manipulation psychologique utilisées et du délai de signalement.
Avec ces mesures en main, les sociétés peuvent agir de manière proactive et quantifiable pour renforcer leur culture de la cybersécurité et s’assurer une ligne de défense solide en cas de menaces. Pour en savoir plus sur les mesures comportementales, téléchargez notre rapport Sécurité comportementale.
Plongez aux confins de la sécurité de l’information et des sciences comportementales, et découvrez tout ce que apporter la mesure des changements comportementales.
5. Elles impulsent de réels changements dans les comportements
La clé de toute solide culture de la cybersécurité réside dans la sécurisation des comportements : les habitudes et les routines du quotidien. Qu’il s’agisse de verrouiller l’écran quand on s’éloigne de son poste de travail, de passer ses e-mails au peigne fin pour détecter d’éventuelles menaces ou d’informer rapidement le service informatique des risques possibles, chaque geste compte pour protéger l’entreprise.L’intégration des sciences comportementales dans la formation de sensibilisation à la cybersécurité permet de modeler plus efficacement ces routines quotidiennes. Elle sensibilise les employés aux problèmes de sécurité informatique et les incite à adopter des comportements sûrs, au travail comme dans leur vie privée. Cette motivation est plus grande lorsque les employés disposent des bons outils, travaillent dans un contexte qui les encourage et se sentent responsables de la sécurité de la société.
Tout prouve l’intérêt d’adopter une approche holistique de la cybersécurité : l’impact positif de la répétition espacée sur la rétention des connaissances, l’importance de la motivation pour stimuler les taux d’engagement ou l’efficacité manifeste d’un environnement pédagogique qui encourage les collaborateurs pour booster les taux d’alerte phishing. Un changement profond des comportements : c’est ce à quoi devraient tendre les sociétés dans leurs efforts pour développer une solide culture de la cybersécurité.
La méthode de SoSafe s’inspire des sciences comportementales pour mieux sensibiliser à la cybersécurité
Chez SoSafe, nous intégrons les sciences comportementales à chacune de nos actions. Notre plateforme de formation en ligne ne se contente pas d’enseigner la cybersécurité aux employés : elle les plonge dans cet univers. Nous proposons des expériences gamifiées qui captivent les utilisateurs et faisons de la détection et de la neutralisation des attaques d’ingénierie sociale, une aventure passionnante.Le réalisme de nos simulations de phishing inspirées de situations réelles et toujours accompagnées d’explications contextualisées conçues par des experts en pédagogie, agrémente encore le parcours de l’apprenant. Associées à la formation continue, ces simulations ancrent des réflexes de sécurité dans les activités quotidiennes des collaborateurs. Au fur et à mesure que ces habitudes s’installent, les délais de réaction en cas d’incident raccourcissent et les risques auxquels l’entreprise est exposée diminuent.
Les experts en cybersécurité savent bien que des décisions éclairées favorisent une défense solide. L’outil de pilotage des risques cyber et des alertes simplifie cette prise de décision grâce à un tableau de bord interactif qui traduit les données complexes en informations directement exploitables. Notre fonctionnalité intégrée pour les alertes de phishing assure un suivi des comportements et permet de visualiser, d’un seul coup d’œil, l’évolution de la culture de la cybersécurité.
La plateforme SoSafe n’est pas un simple outil de sensibilisation, mais propose une offre complète pour la gestion de la cybersécurité. Son objectif est simple : réduire les risques humains et établir une culture solide et proactive de la cybersécurité.
https://sosafe-awareness.com/fr/blog/top-5-des-avantages-de-lintegration-des-sciences-comportementales-dans-les-formations-de-sensibilisation-a-la-cybersecurite/