Placer l’intelligence émotionnelle au cœur de la cybersécurité

Selon les données de l’Anssi, les cyberattaques criminelles étaient 4 fois plus importantes en 2020 qu’en 2019, ce qui représente un bond spectaculaire démontrant que les attaquants gardent une longueur d’avance sur les défenseurs. Dans ce contexte, il est important et urgent d’innover et d’apporter de nouveaux paradigmes afin de protéger les systèmes d’information contre des attaques de plus en plus sophistiquées.

Nous le savons déjà, 80 % des opportunités d’améliorer la protection d’un système d’information viennent du facteur humain. Ce dernier s’avère crucial en cybersécurité parce qu’il est avant tout lié au comportement, et concerne avant tout un groupe d’humain qui se protège des attaques d’un autre groupe d’humains. Pour pallier les vulnérabilités humaines, il est souvent proposé des solutions techniques alors que le sujet à traiter est avant tout humain.

Dans de nombreux cas, il est proposé d’entraîner les personnes par des campagnes sur le « phishing » ou de sensibilisation, mais il faut rappeler qu’il suffit qu’une seule personne « dérape » dans une organisation pour que l’attaque réussisse. L’objet de cet article est de mettre en relief une approche innovante et pragmatique : l’intelligence émotionnelle.

Comme son nom l’indique, l’intelligence émotionnelle est une forme d’intelligence essentiellement axée sur des émotions que chacun de nous peut ressentir ou pas. En tous cas, elles sont omniprésentes. L’intelligence émotionnelle fut démocratisée par le livre écrit par Daniel Goleman, en 1995. Depuis, de nombreux travaux ont prouvé que les informations émotionnelles sont transmises beaucoup plus rapidement dans le cerveau que les informations rationnelles.

Par exemple, lorsque vous rencontrez une personne, vous ressentez une émotion avant d’avoir pu reconnaître le genre de la personne. Les émotions sont donc en permanence un facteur prédominant sur le rationnel dans le cadre de nos relations. Que ce soit pour gérer un conflit, pour effectuer une analyse de risque, gérer une crise ou simplement ne pas tomber dans un piège tendu dans un mail ou une conversation téléphonique, les émotions sont le moteur de nos réactions et de nos actions. Ces concepts n’ayant pas été enseignés à l’école et encore moins dans les cursus techniques, il n’est guère surprenant de les retrouver absents du cœur de la cybersécurité, et pourtant !

Prendre une décision sous l’effet d’une émotion et la regretter par la suite, cela nous est tous arrivé un jour. La bonne nouvelle est que c’est naturel ! Selon Antonio Damasio, directeur de l’Institut pour l’étude neurologique de l’émotion et de la créativité de l’université de la Californie méridionale, à l’apparition d’une émotion comme la peur, l’amygdale va volontairement « éteindre » la partie rationnelle située dans la zone préfrontale de votre cerveau. Cela nous permet d’écraser très rapidement une énorme araignée sans réfléchir. Mais après réflexion, il y avait tout de même peu de chance que cette araignée vous dévore !

L’autre bonne nouvelle est qu’il est possible de s’entraîner par des exercices concrets à reconnaître ses émotions, les canaliser, mais aussi reconnaître les émotions des autres, afin de gérer des conflits ou… ne pas cliquer sur un lien frauduleux. Cela s’appelle développer sa maturité émotionnelle (le fait qu’il soit possible de modifier les connexions d’un cerveau afin de changer de comportement s’appelle la plasticité du cerveau, un sujet sur lequel travaille notamment Pierre-Marie Lledo, de l’Institut Pasteur).

D’autres facteurs émergent de l’intelligence émotionnelle, si nous regardons la manière dont nous avons été éduqués depuis tout petit. Des notions comme la relation au pouvoir et à l’autorité ont clairement une incidence sur nos réactions ou nos actions, et l’on peut également évoquer les notions de rôles et de profils comportementaux développés dans l’enfance et que nous retrouvons dans toutes les organisations (le premier de la classe, le chétif, le rapporteur…).

Dans le cadre des sensibilisations au « phishing », on retrouve assez souvent des campagnes de « mails » visant à sensibiliser les collaborateurs ou à mesurer leur niveau de sensibilisation. Selon moi, cet exercice n’est représentatif que pour un certain type de profil à l’instant « T », mais n’est pas représentatif de l’intégrité des profils et du contexte vécu par l’organisation.

Je n’ai encore jamais vu un RSSI se demander dans quel état de stress ou d’urgence pouvait se trouver la personne à la lecture du mail, ou encore si l’utilisation d’un mot au lieu d’un autre mot pouvait modifier la réaction des personnes testées. En envoyant plusieurs typologies de mails, il pourrait pourtant être intéressant de construire une vraie cartographie comportementale et systémique, avec un spécialiste en facteur humain appliqué à la cybersécurité.

Cette approche est également envisageable vis-à-vis des attaquants. Leurs processus, leurs demandes, leur manière de coder reflètent leur profil. Ce profil pourrait faire partie intégrante d’une cartographie, qui pourrait être utilisée pour construire de véritables pare-feu humains configurés par la cartographie de l’organisation, en tenant compte des environnements et des différents types de profils établis au préalable.

L’innovation consisterait là à faire varier le type de mail par l’utilisation de mots faisant émerger différents types de profils et de comportements. Certaines réactions présentent des vulnérabilités susceptibles d’être en phase avec les menaces actuelles. Une analyse de risques comportementaux pourrait ensuite être utilisée pour l’établissement des plans de gestion des risques afin de tenir compte des subtilités des différents profils humains représentés dans l’organisation.

L’impact émotionnel est en outre utilisé lors des audits cybersécurité. Cela permet de détecter toutes formes de variabilités terrain. On retrouve par ailleurs l’intelligence émotionnelle dans le cadre des formations, en travaillant sur le traitement d’images internes et les croyances limitantes.

Il est possible aujourd’hui de créer des cellules innovantes tournées vers le facteur humain tout en tenant compte de demandes exprimées par les organisations en France.

J’enseigne ces concepts avec une spécialiste en neurobiologie à l’université de Paris dans le cadre de la gestion de crises. Les élèves de Master en cybersécurité vivent de véritables exercices de gestion de conflits et de crises. Cela leur permet de ressentir l’impact des émotions, et des différents profils, tout en ayant des cours complets en neurobiologie autour des PCA, PRA et des politiques de gestion de crises.

Il est possible aujourd’hui de créer des cellules innovantes tournées vers le facteur humain tout en tenant compte de demandes exprimées par les organisations en France, j’invite donc tous les spécialistes en cybersécurité à y réfléchir en créant des groupes de travail dédiés au facteur humain.

À propos de l’auteur :
Expert en cybersécurité industrielle, conférencier et membre pédagogique à l’université de Paris en intelligence émotionnelle (Master cybersécurité), Cyrille Coelho est spécialiste de l’accompagnement des fonctions métier et du facteur humain dans la cybersécurité.