Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 141

doctrine

Cyberattaques
De la ruse à la manipulation,
quand "la part de l'homme"
reste le maillon faible
Nous sommes tous prédisposés à la manipulation, par
notre éducation au vu d'influences bienveillantes, par
notre héritage culturel et par les normes à respecter pour
s'intégrer. Ainsi, nous sommes plus ou moins vulnérables,
alors que notre comportement est alors prévisible et
que nos prises de décision sont liées à des réductions
hâtives qui entachent notre capacité d'évaluation1. Il
s'y ajoute également des déficits2, en particulier d'ordre
culturel, qui nous entraînent dans un aveuglement, en
nous considérant comme infaillibles, au seul motif de
ne pas avoir été victime par le passé, contrairement aux
autres, et en surestimant nos capacités de contrôle ou de
détection du mensonge.

L

'intention de l'auteur est de
montrer que la ruse et la
manipulation ne sont pas
nouvelles, et que « la part
de l'homme3 » joue un rôle majeur
dans les méthodes de la cybercriminalité, notamment sous les aspects
de « phishing » et d'ingénierie sociale.
En première partie, il sera proposé un
modèle qui intègre les systèmes de la
pensée où interviennent le contexte,
les leviers d'influence et les biais qui
conditionnent les décisions erronées ou
manipulées, pour expliquer pourquoi
la part humaine reste le maillon faible.
En seconde partie, les éléments précédents permettront de présenter deux
études de cas, l'un relatif à une extorsion par rançongiciel, et l'autre, à une
escroquerie au faux ordre de virement.
Il sera proposé une réponse innovante
à la sensibilisation, qui s'accorde à la
conclusion sur la résistance cognitive
aux automatismes face à de telles cyberattaques et, plus généralement, sur
toute « la part de l'homme » à prendre
en compte pour disposer d'une vision
plus cohérente de la cybersécurité, en
évitant que cette part reste son tendon
d'Achille.

MANIPULATIONS,
MODÈLE DE DÉCISION
ET CYBERATTAQUES
Bien avant C. von Clausewitz au 19ème
siècle4 , il y a près de 2500 ans, Sun Tzu
affirmait déjà, dans sa doctrine sur
l'art de la guerre5, que le renseignement préalable et la ruse sont parmi les
meilleures armes avant toute bataille,
permettant de s'adapter à la stratégie
de l'adversaire avec une économie
de moyens, donnant ainsi un cadre à
l'espionnage, à la manipulation et à la
désinformation en se fondant sur des
défauts de fiabilité. Ces derniers s'appliquent à d'autres secteurs où ils sont
matérialisés par des déficits profonds
au regard de la sécurité, lesquels
relèvent en particulier de l'erreur ou de
la malveillance, ou encore de la crainte
ou de la cupidité humaine. Des pans
entiers de l'économie sont concernés,
ainsi que l'ensemble des acteurs des
organismes et établissements publics
ou privés, comme victimes potentielles
face à une cybercriminalité organisée,
d'une façon déjà prévisible dans les
années 90 6.
La part humaine reste le talon
d'Achille de la sécurité : nous sommes

EXPERTISES AVRIL 2017

tous paradoxalement trop prévisibles
ou imprévisibles, et en tout cas irrationnels et différents au niveau de l'acte de
décision7 et de nos réactions. L'humain
serait donc à la fois le problème et la
solution, tandis que les technologies et
les moyens techniques contribuant à
la sécurité ont tendance à se multiplier
mais aussi à se diversifier en introduisant davantage de complexité et d'exigences, en étendue comme en niveau
de compétences, alors qu'en même
temps les utilisateurs et leurs dirigeants
sont assaillis d'informations de toutes
parts. L'ensemble de ces éléments est
prompt à aboutir à des conclusions
faussées au vu de contextes variés et de
situations d'urgence, capables de fausser la prise de décision et de permettre
la réalisation de cybermenaces.
Ce contexte rend favorable l'usage de
la ruse et de la manipulation.

De la ruse au « phishing »
La ruse est ici représentée par un procédé ingénieux employé pour abuser une
ou plusieurs victimes en les amenant
à exécuter des actions impropres à la
sécurité.

141
Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423
