Non, la cybersécurité n’est pas qu’une question technologique. De nombreuses cyberattaques ont lieu grâce à de l’ingénierie sociale, aussi appelée « piratage psychologique ». Et pour cause, elle consiste pour les pirates à manipuler les émotions de leur victime pour l’inciter voire l’obliger à procéder à des actions entraînant pour elle un préjudice (don d’identifiants et de mots de passe, virement financier, divulgation d’informations sensibles…).
« Les pirates savent que les émotions constituent une vulnérabilité chez leur cible, observe Théo Zafirakos, CISO chez Terranova Security. Ils cherchent à déclencher des émotions chez leurs victimes pour qu’elles agissent sans penser. » Leur objectif ? Que leurs victimes déconnectent… leur cerveau ! « La manipulation émotionnelle est efficace parce qu’elle exploite notre réaction instinctive, parfois animale, aux émotions, ce qui peut entrainer des comportement précipités, impulsifs, inadaptés », complète Laurent Sarralangue, directeur des opérations au sein du cabinet d’intelligence économique Semkel.
Des émotions qui poussent à l’action
Les attaquants usent le plus souvent de stratagèmes pour susciter une forme de pression voire de peur chez leur interlocuteur. C’est le cas dans les phishing grand public mais aussi dans les attaques contre les entreprises. Arnaque au président, mail provenant prétendument d’un partenaire bancaire ou d’une institution financière : les pirates créent un biais d’autorité pour légitimer leur demande. Et inciter la victime à répondre rapidement à leur demande.
C’est là l’une des clés des attaques. Le stress induit par la demande – souvent urgente – du pirate conduit les interlocuteurs à agir vite… et mal. En-dehors de tout process de vérification. Il peut s’agir d’une situation permettant de régulariser une anomalie (un fournisseur qui prétendrait ne pas avoir été payé, par exemple), d’aider un collaborateur en détresse (qui serait bloqué à l’étranger et aurait besoin d’un virement pour régler les frais d’un voyage professionnel) ou d’éviter une sanction (une institution qui menacerait l’entreprise d’une amende si elle ne s’acquitte pas d’un supposé dû). Mais les ressorts sont les mêmes : urgence et stress.
Rationnaliser les émotions
« Du côté de la victime, il faudra toujours chercher à injecter du rationnel dans l’émotionnel. Pour se protéger, il faut prendre un temps de recul », conseille Laurent Sarralangue. D’abord en se montrant « interrogatif face aux messages qui suscitent la peur ou un sentiment d’urgence ». En entreprise, les situations relevant d’une question de vie ou de mort ne sont pas légion. Il est donc statistiquement plus rentable pour un collaborateur de prendre quelques minutes pour vérifier l’authenticité d’une demande prétendument urgente plutôt que de prendre illico le risque de tomber dans un piège.
Reste donc à valider la fiabilité de l’interlocuteur et la pertinence de sa demande. Au collaborateur de « contacter directement l’organisation ou la personne en question », précise Laurent Sarralangue. « Aujourd’hui, certaines entreprises exigent, pour se protéger, que ce contact soit physique, notamment pour valider des transferts de fonds. »
Reste que l’entreprise ne doit pas « laisser la responsabilité à l’utilisateur », estime Théo Zafirakos. « Il faut penser aux processus d’affaires qui sont mis en place. Ils doivent être faciles à utiliser et difficiles à contourner« , pour limiter les écarts. Et les collaborateurs doivent être informés de la conduite à tenir en cas de demande qui exigerait que ces process ne soient pas suivis. Afin que toutes les émotions soient canalisées par des process clairs.