Les meilleurs firewalls, antimalwares et SOC sont impuissants devant « l’erreur humaine, qui est impliquée dans 90% des incidents de cybersécurité » rappellent les auteurs de « Dark Cyber- Neuropsychologie cognitive de la cybercriminalité ». Sérieux, fouillé, pédagogique, il s’agit d’un des tout premiers livres qui analysent en profondeur les cyberattaques sous l’angle de la neuropsychologie cognitive.
Les auteurs expliquent en préambule qu’ils rejettent le concept habituel « d’ingénierie sociale (ou « social engineering »), et expliquent : « Nous proposons donc d’élaborer le concept « d’ingénierie cognitive », car les scénarios d’attaques sont échafaudés par les cybercriminels, se basant non seulement sur les informations collectées sur le web et les réseaux sociaux, mais à partir d’informations relatives aux connaissances issues de la psychologie humaine et des neurosciences cognitives. Les hackers l’ont bien compris : pour réussir leurs attaques et escroqueries en tous genres, il faut toucher et vous atteindre psychologiquement en construisant un scénario pernicieux et manipulatoire qui repose sur une connaissance des failles et des faiblesses neurocognitives des victimes ciblées. Autrement dit, qui repose sur les failles du fonctionnement de votre cerveau humain. »
Les deux premiers chapitres présentent donc de façon détaillée et vulgarisée le fonctionnement du cerveau et du système nerveux central, avant de rentrer dans le vif du sujet en décrivant l’approche neurocognitive des cyberattaques.
Changement de paradigme en cybercriminalité : cartographier la surface de vulnérabilité neuropsychologique d’un individu.
Les RSSI tentent de cartographier le système d’information et ses vulnérabilités. Les auteurs abordent une approche disruptive, cartographier la personnalité, le cerveau humain, pour prévenir les attaques : « Vos vulnérabilités neuropsychologiques sont le fruit d’une association indissociable de limites cognitives (attention, charge mentale, multitâche etc.) d’états psychologiques (stress, anxiété, etc.), d’émotions (positives ou négatives), de certains biais psychologiques (confirmation, ancrage, etc.), de traits de personnalité (niveau de conscienciosité, d’ouverture; etc.), et même parfois de certains traits « sombres » de la personnalité (narcissisme, machiavélisme, sadisme voire psychopathie). Toutes ces dimensions de votre âme humaine doivent être explorées ensemble pour cartographier et définir la surface de vulnérabilité neuropsychologique d’un individu avant et pendant la cyberattaque. Cette approche disruptive de la cybercriminalité nous en dessinons ici la nouvelle carte, les nouveaux territoires, les nouveaux acteurs, leurs productions et réalisations concrètes. »
Les cyberattaques par ingénierie cognitive : les biais cognitifs
Le livre analyse les différents types de cyberattaques courantes par ingénierie cognitive, avant d’expliquer comment celles-ci « utilisent vos biais cognitifs et heuristiques, vos émotions et votre personnalité pour influencer votre prise de décision. »
J’ai été particulièrement intéressé par la description des biais cognitifs, qui sont définis ainsi : « Des schémas ou pattern de pensées qui vont fausser votre jugement et votre prise de décision. Ces erreurs mentales sont systématisées, c’est‐à‐dire qu’elles sont identifiées par la science et prévisibles. Ces biais consistent donc en des décisions et des conduites massivement irrationnelles chez l’adulte dans le domaine du raisonnement. On peut les comparer aux illusions d’optique, où même si vous êtes conscients que vous percevez une illusion, vous ne pouvez pas vous empêcher de la voir. ». Les psychologues ont inventorié près de 180 biais cognitifs.
Les auteurs analysent 13 biais cognitifs courants, dont par exemple « le biais d’ancrage ». Celui-ci “vous pousse à prendre une décision basée sur votre première impression et non sur l’ensemble des informations. La première information constitue un point d’ancrage qui conditionne les suivantes dans votre esprit. Conséquence en cybercriminalité : si la première impression du mail vous semble correcte, vous ne verrez pas les indices de malversation ou « red flag », comme une adresse électronique suspecte ou des fautes d’orthographe.
L’ouvrage analyse ensuite le rôle des émotions, qui vont favoriser le « passage à l’acte » (clic sur le lien piégé par exemple).
Les personnalités visées par les cyberattaques
Le livre décrit les types de personnalités les plus visées par les pirates, et notamment le modèle des « big five », les 5 types de personnalité, qui présentent des défenses et des fragilités spécifiques. Les auteurs analysent ainsi le cas des personnalités :
« Conscienceuses », profil plutôt positif, car « de faibles niveaux de conscienciosité prédisent un comportement déviant sur le lieu de travail sous la forme d’une conduite irresponsable ou d’une violation des règles de sécurité informatique. »
« Extravertises » : « Les personnes ayant une forte extraversion sembleraient être plus à risque de se faire piéger face à des attaques de phishing, sauf si elles démontrent également une forte ouverture d’esprit. »
« Agréables » : « Les personnes agréables peuvent être manipulées en établissant un lien de confiance avec la cible . »
Mais attention : « En ce qui concerne la combinaison de l’agréabilité et de l’extraversion, les individus plutôt extravertis et dotés d’amabilité posent un risque plus élevé pour la sécurité informatique ».
« Ouvertes », ce qui implique « un esprit curieux, créatif et original avec une inclination vers l’exploration cognitive ». Là aussi, le jugement des auteurs est nuancé, car si les hackers peuvent jouer sur leur curiosité des utilisateurs pour les amener à cliquer sur un lien frauduleux, « malgré cette aspect, l’ouverture reste un atout en cybersécurité et cela signifie qu’une faible ouverture pourrait potentiellement faciliter un comportement à risque face aux attaques numériques. »
« Neuroticistes » ou « névrosés », avec une tendance à des émotions négatives et au stress. Ces profils pourraient être plus vulnérables au phishing.
Bien entendu, il s’agit ici d’une synthèse, l’analyse des profils étant plus subtile.
Les auteurs concluent :
Le profil hautement vulnérable qui résulte de ces modèles de la personnalité aurait une faible ouverture d’esprit, une faible conscienciosité, une forte extraversion, une forte agréabilité et un neuroticisme important.
L’auteur Bruno Teboul a affiné cette grille de personnalité par rapport au risque cyber et a identifié 4 profils :
- « avide »
- « curieux »
- « stressé
- « altruiste »
9 « psychotypes » plus vulnérables aux cyberattaques
Des profils « sombres » sont également repérés : « narcissique », » psychopathologique », « machiavélique », « sadique », « empathique sombre ».
Cet inventaire de personnalités a finalement permis aux auteurs d’établir « un référentiel de 9 psychotypes présentant des risques de vulnérabilité majeurs face aux cyberattaques par ingénierie cognitive ».
Ce référentiel sert de base à la plateforme « Neurocyber » que les auteurs ont par ailleurs créée. Elle aide les personnes à identifier leur profil, afin de suivre une formation adaptée à la résistance aux attaques cyber.
Les outils issus de la neuropsychologie pour se protéger
L’ouvrage propose également les outils issus de la neuropsychologie pour se protéger des cyberattaques par ingénierie cognitive. Un chapitre très « pratique » explique comment diminuer le stress et la charge mentale, augmenter sa vigilance, sa prise de décision et la gestion de ses émotions.
Les auteurs
Les 2 auteurs ont chacun un parcours riche et original. Eric Malbos est psychiatre, chercheur et docteur en psychologie. Il pratique en CHU la « cyberthérapie », thérapie de troubles mentaux par exposition à la réalité virtuelle. Bruno Teboul est chercheur, diplômé en sciences cognitive et en philosophie. Après 30 ans d’expérience comme directeur e-commerce et digital, il a fondé la startup Neurocyber. Celle-ci, dont le co-auteur du livre est le directeur scientifique, est une plateforme de logiciels SaaS de sensibilisation, formation et test contre les failles cognitives.
Le livre comporte de nombreuses illustrations 3D et un lien vers des fichiers mp3 de séances de gestion du stress et des émotions.
192 pages, Livre broché : 14,90€ – format Kindle: 8,90€
