Parce que… c’est l’épisode 0x233!

Shameless plug

• Début Mars 2023 - SéQCure
• Formation Crise et résilience
  • Ateliers et conférences (Auto évaluation)
  • Formation PCA 2022
  • 4 Guides pour survivre à une CyberCrise
  • Formation PCA en ligne

Description

Introduction et présentation de l’équipe

Ce podcast présente un épisode spécial enregistré lors de l’European Cyber Week, mettant en vedette Ingrid Dumont et Marina, membre de son équipe de recherche. Marina se spécialise dans le management des organisations et les jeux d’influence appliqués aux enjeux de cybersécurité. L’équipe se distingue par sa nature pluridisciplinaire, réunissant des experts des sciences dures (aspects techniques) et des sciences humaines et sociales.

La rareté et la valeur de l’approche pluridisciplinaire

L’équipe souligne la rareté de leur approche dans le domaine de la cybersécurité, où les méthodes technocentrées dominent encore largement. Leur force réside dans leur capacité à collaborer malgré leurs disciplines diverses, sans jugement mutuel, permettant un enrichissement collectif et une croissance partagée du projet. Cette chimie particulière et ce plaisir de travailler ensemble créent un environnement propice à l’innovation et au partage de connaissances.

Le projet de recherche : objectifs et méthodologie

Le projet, débuté le 1er janvier 2022, vise à réduire les vulnérabilités associées aux facteurs humains en cybersécurité. Il a été sélectionné par l’Agence nationale de recherche française car il touche aux secteurs sensibles de la santé et de la défense. L’équipe organise des réunions tous les deux mois pour maintenir l’équilibre entre les différentes expertises et éviter de retomber dans leurs zones de confort respectives.

Remise en question du paradigme “l’humain, maillon faible”

Un point central du podcast concerne la contestation de l’idée répandue que “l’humain est le maillon faible” en cybersécurité. L’équipe propose plutôt de considérer l’humain comme le “maillon fort”, expliquant que l’intelligence artificielle n’est pas développée parce que l’humain est faible, mais parce qu’il n’est pas conçu pour effectuer des tâches répétitives abrutissantes. Cette nuance vocabulaire révèle une approche fondamentalement différente du facteur humain.

Approche terrain et expérimentation

L’équipe privilégie une approche terrain concrète, considérant qu’il est impossible de comprendre les contraintes opérationnelles sans les vivre. Ils s’exposent volontairement à diverses conditions (canicule, froid, brouillard, fatigue) pour comprendre comment ces facteurs environnementaux affectent les capacités cognitives et la vigilance. Cette méthodologie permet de saisir pourquoi un opérateur peut commettre des erreurs dans certaines conditions.

La métaphore de Cro-Magnon moderne

Une analogie récurrente compare l’humain moderne à Cro-Magnon : si nos ancêtres chasseurs avaient tous leurs sens en alerte face aux dangers, l’homme contemporain a “endormi ses capteurs” dans un environnement qu’il perçoit comme sûr. Cette baisse de vigilance le rend vulnérable aux menaces cyber, d’autant plus quand il est en surcharge cognitive ou émotionnellement impliqué (comme “Cro-Magnon qui veut séduire” et divulgue des informations).

Questions de genre et diversité

Le podcast aborde la question de la représentation féminine dans la cybersécurité. Bien que de nombreuses femmes soient présentes dans le secteur (notamment dans les filières militaires), elles ont moins souvent la parole lors des événements publics. L’équipe étudie si la variable genre influence les comportements en cybersécurité, notant que les femmes ont souvent une charge mentale déjà importante qui peut affecter leur seuil de surcharge cognitive.

Facteurs culturels et géographiques

La recherche prend en compte la diversité culturelle et géographique, reconnaissant que les comportements cyber varient selon les régions, les éducations et les environnements. Cette approche inclusive vise à développer des outils applicables à différents contextes culturels, évitant les biais d’une vision trop centrée sur une seule culture.

Problématiques d’éducation et de formation

Un constat alarmant émerge concernant le manque de formation aux outils numériques. Contrairement au permis de conduire obligatoire pour utiliser un véhicule dangereux, aucune formation systématique n’encadre l’usage d’outils technologiques pourtant très puissants et potentiellement dangereux. Cette situation crée des vulnérabilités majeures, particulièrement visible durant le confinement où même les enseignants ont commis des erreurs basiques (divulgation d’adresses email, etc.).

Les pièges des réseaux sociaux et de l’exposition

L’équipe analyse les comportements à risque sur les réseaux sociaux, particulièrement chez les jeunes influenceurs qui monetisent leur vie privée sans comprendre les implications à long terme. Le paradoxe est saisissant : on incite à la prudence tout en faisant miroiter des gains financiers via l’exposition personnelle. Les conséquences peuvent être dramatiques (cambriolages, menaces) car les individus sous-estiment les risques.

Perte de la notion d’espace privé

Le podcast souligne un phénomène préoccupant : la confusion entre espace privé et public, amplifiée par l’usage du téléphone portable. Les gens discutent d’informations sensibles dans les transports, restaurants ou lieux publics, oubliant que leur conversation n’est plus confidentielle. Cette perte de repères spatiaux constitue une vulnérabilité majeure, particulièrement depuis le télétravail généralisé.

Approche cognitive et prise de conscience

Plutôt que d’imposer des règles d’hygiène informatique, l’équipe développe des outils visant à stimuler la prise de conscience. L’objectif est de “réveiller les capteurs de Cro-Magnon” en faisant ressentir les enjeux aux utilisateurs. Cette approche cognitive considère que la compréhension émotionnelle et sensorielle des risques constitue le préalable nécessaire à l’adaptation des comportements.

Planification et perspectives

Le projet s’étale sur quatre ans avec une progression structurée : la première année était consacrée à la cohésion d’équipe et à la définition des sujets, les deux années suivantes se concentreront sur la création et l’expérimentation d’outils, la dernière année permettra la prise de recul et l’analyse des limites. Une première journée d’études est prévue à Paris en 2023 pour restituer les travaux initiaux.

Conclusion : vers une cybersécurité humaniste

Ce podcast révèle une approche novatrice de la cybersécurité, plaçant l’humain au centre non comme problème à résoudre mais comme ressource à valoriser. L’équipe d’Ingrid Dumont propose un changement paradigmatique : passer d’une logique punitive et technique à une approche compréhensive et éducative. Leur méthode pluridisciplinaire, alliant terrain et recherche fondamentale, ouvre des perspectives prometteuses pour développer une cybersécurité plus humaine et plus efficace.

L’originalité de leurs travaux réside dans cette volonté de comprendre avant de prescrire, de former avant de sanctionner, et de considérer la diversité humaine comme une richesse plutôt qu’un obstacle. Cette approche pourrait révolutionner notre façon d’appréhender la sécurité numérique en réconciliant technologie et facteur humain.

Collaborateurs

• Nicolas-Loïc Fortin
• Ingrid Dumont
• Marina Pisano

Crédits

• Montage audio par Intrasecure inc
• Locaux réels par Le Pod

Tags: cognitif, humain, phishing, prp, recherche