Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 148

doctrine
Au contraire, la demande cohérente
avec l'objet du déplacement de ce
directeur et d'un ingénieur à l'étranger, les éléments de communication
normaux, ainsi que la confirmation par
l'appel localisé de la banque indiquée,
sont des arguments à souligner pour
favoriser la manipulation et obtenir le
virement de l'acompte.
Pour éviter la manipulation, il est
indispensable de développer la résistance cognitive aux automatismes du
système 1 pour permettre le contrôle
par le système 3, ce qui pourrait être
acquis par des exercices répétés et
variés, alors que la sensibilisation classique ne suffit pas.

Réponse innovante attendue
pour la sensibilisation
Si la sensibilisation menée depuis
les années 90 sous diverses formes
usuelles : conférences, tables rondes,
vidéos,
guides,
plaquettes,
etc.,
s'adresse à des êtres humains, elle en
oublie encore profondément « la part
de l'homme ». C'est pourtant un enjeu
considérable, puisqu'elle est le point
d'entrée de la cybersécurité. Sans cela,
il ne peut y avoir de réceptivité, et donc,
d'implication jusqu'au niveau des
métiers sans n'en soustraire aucun.
Nous avions alerté le lecteur sur ce
point en 1991 : « Aucune méthode ne
prend réellement en compte ce facteur
humain30 qui intervient cependant,
directement ou indirectement, pour
près de 80% de pertes. Aussi, faudra-t-il
imaginer, bâtir et développer d'autres
méthodes. Ceci s'inscrit bien, dans
l'esprit de la systémique »... « D'autres
méthodes viendront s'associer ou
compléter celles qui existent ou plutôt,
celles qui manquent déjà ».
Après plus de 25 ans, n'aurions-nous fait
aucun progrès malgré les efforts ? Pas
vraiment, puisqu'aujourd'hui encore,
ce pourcentage reste identique : « 80%
des incidents de sécurité sont liés au
facteur humain ».
L'utilisateur se sent aujourd'hui dépassé jusqu'au niveau de son usage
personnel, avec les réseaux sociaux, les
achats sur l'Internet, etc. Cette tendance

148

qui le rend demandeur en termes de
sécurité devrait favoriser son adhésion. Cependant, mettre l'utilisateur en
position d'acteur de son apprentissage
n'est pas si simple. Du fait du caractère
facultatif, la participation de tous n'est
pas acquise et les exercices seront de
moins en moins suivis. En revanche, si
la sensibilisation est considérée comme
de la formation et valorisée comme
telle, la transmission devient alors efficace. Les cyberattaques et manipulations subies donnent de la consistance
à la démarche à inscrire dans le temps,
en tenant compte des nouveaux arrivants, des changements de fonctions,
etc., et de l'évolution des besoins et des
usages, face aux menaces émergentes.
Cependant, les attitudes sont diverses
face au changement et l'impact des
campagnes de sensibilisation usuelles
est insuffisant. En général, selon les
statistiques du National Training
Laboratories, au vu de la pyramide
d'apprentissage, il n'est retenu que 10%
d'une intervention, 20% d'un film ou
d'une vidéo et 30% d'une démonstration, donc peu malgré l'effort, alors que
le socle de la pyramide est représenté
par le travail en groupe avec 50%, et
bien plus encore par la pratique, avec
75%, et jusqu'à 90% après l'implication
dans un fait marquant. Toutefois, la
prise de conscience ne change pas les
comportements, contrairement à l'expérience relevant des incidents, c'est la
raison pour laquelle il est nécessaire
d'innover en privilégiant des exercices au plus près de la réalité, alors
que l'oubli se manifeste à court terme
par effet de récence. De plus, le jugement porté lors de séances de sensibilisation : conférences, tables rondes,
démonstrations, etc., reflète le niveau
d'intérêt ou de satisfaction de l'auditoire, à qui il est demandé son appréciation et ses souhaits, et absolument
pas l'efficience de la session pour assurer un changement de comportement.
Il faut donc innover face à la manipulation en prenant en compte que la sensibilisation classique sous ses différentes
formes restera toujours insuffisante si
elle ne participe pas à la construction
de la résistance aux automatismes
de la pensée, afin d'inhiber l'instinct
et être alors en mesure de déjouer

EXPERTISES AVRIL 2017

la manipulation. D'un côté, il s'agit de
développer des plans de sensibilisation
qui intègrent des exercices proactifs
impromptus répétés et variés dans la
forme, le support, la période, etc., au
plus proche de la réalité, où les utilisateurs prendront tour à tour la place de
la victime, pour subir ou réagir, et celle
de l'attaquant-manipulateur, pour bâtir
et exécuter divers scénarii. De l'autre, il
convient de valider les actions menées
dans le temps en termes de participation et de résultats de cet apprentissage
par des métriques appropriées pour
permettre d'éventuelles améliorations.

CONCLUSION
Les erreurs de pensée intuitive sont
visiblement à la base de la majorité des
cyberattaques qui utilisent la manipulation et l'ingénierie sociale. Malgré
les incitations depuis plusieurs décennies à s'intéresser davantage à « la
part de l'homme », il subsiste encore
des croyances dans l'illusion technologique, alors qu'en majorité les causes
sont avant tout humaines et leur correction, inadaptée aux seules mesures
techniques.
Si nous sommes manipulés, c'est qu'en
premier lieu nous sommes la victime
recherchée par l'attaquant pour
pouvoir atteindre sa cible, selon son but
et ses motifs, conformément aux caractéristiques et à la dynamique issues du
modèle générique de cyberattaques.
Si nous sommes manipulables, c'est
que nous sommes programmés pour
cela, par notre éducation et les normes
sociales, et que nous obéissons aux
automatismes d'un système de pensée
rapide pour produire des solutions
immédiates. Celui-ci s'avère peu fiable,
du fait de défauts de l'intuition, et donc
favorable à la manipulation. Nous
disposons néanmoins d'un système
rationnel fondé sur le raisonnement,
mais plus exigeant en énergie et en
effort de concentration. C'est pourtant
le premier qui régit nos décisions avec
rapidité, pour une apparente efficacité alors que l'efficience exigerait au
contraire le recours au second. Il a été
montré que, du fait de son fonctionnement automatique, il ne peut être mis
hors circuit de lui-même, ce qui impose



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423

Couverture
Editorial & Sommaire
MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
INTERVIEW JURISTE : UN MÉTIER EN MUTATION
DOCTRINE
DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - MAGAZINE RÉGULATION - GOOGLE, LE LOBBY LE PLUS INFLUENT DE L’UE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 124
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 125
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 126
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 127
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 128
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 129
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 130
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - INTERVIEW JURISTE : UN MÉTIER EN MUTATION
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 132
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 133
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 134
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 135
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 136
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : IMPACTS DU RGDP SUR LE NUAGE INFORMATIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 138
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 139
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 140
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CYBERATTAQUES : DE LA RUSE À LA MANIPULATION, QUAND "LA PART DE L'HOMME" RESTE LE MAILLON FAIBLE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 142
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 143
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 144
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 145
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 146
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 147
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 148
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 149
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - CONTRATS : MANIFESTE CONTRE LES MODÈLES DE « CONTRATS AGILES »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 151
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 152
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - DONNÉES PERSONNELLES : LA CNIL ET LE CONTRÔLE DU JUGE ADMINISTRATIF
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 154
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 155
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - PLATEFORMES EN LIGNE : LES OBLIGATIONS DE LA LOI RÉPUBLIQUE NUMÉRIQUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 157
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 158
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 159
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Avril 2017 - n°423 - 160
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com