La nature humaine de la cybersécurité

4 min
Une personne portant un sweatshirt blanc et un bonnet noir assise dans un bureau regarde attentivement un ordinateur portable.
Retour à l'accueil

Cela va vous sembler étrange, mais ouvrez un nouvel onglet et lancez une recherche d'image rapide sur Google avec le terme « cybersécurité ». Vous avez terminé ? Qu'avez-vous trouvé ? Avez-vous vu une multitude d'images translucides futuristes de cadenas au-dessus de circuits imprimés et de pluies de symboles numériques rappelant le film Matrix ? C'était à prévoir. À nos yeux et à ceux de Quentyn Taylor, notre directeur principal de la sécurité des informations, de la sécurité des produits et de la réponse à l'échelle internationale, il s'agit d'une représentation totalement erronée du domaine, dont les fondements ne pourraient pas être plus humains.

En effet, bien que leurs compétences techniques ne fassent aucun doute, les membres de l'équipe de Quentyn ont également été sélectionnés pour leur profonde connaissance de la nature humaine. Pourquoi ? C'est malheureusement une vérité fondamentale : les personnes sont souvent le maillon faible de la sécurité d'une entreprise. Et d'autres personnes, les cybercriminels, n'ont pas leur pareil pour exploiter les failles du comportement humain, comme notre prédisposition à la confiance, notre curiosité, notre dépendance aux habitudes et même notre confiance excessive. Cependant, il ne s'agit également que d'humains, qui à ce titre, se comportent souvent de manière déroutante. Maintenant que cette dimension psychologique est posée, examinons comment elle peut se manifester dans une équipe de cybersécurité aussi performante que la nôtre.

Flexibilité

« Aussi avancé votre modèle d'IA soit-il, seuls des êtres humains peuvent intégrer de manière flexible des sources de données physiques et numériques », explique Quentyn. « Les humains peuvent se fier à leur instinct pour manier différents types de technologie ou de données, tandis que les outils d'IA doivent être entraînés. » C'est parfaitement logique, car pour le moment, une IA ne peut travailler qu'avec les données à sa disposition, tandis que les humains peuvent formuler des hypothèses, réfléchir de manière latérale et prendre des décisions rapides. Nous pouvons rassembler rapidement d'importants volumes d'informations, sous différents formats, et les considérer sur un pied d'égalité, ce dont les outils d'IA axés sur la sécurité sont actuellement incapables.

Une femme assise à une table regardant son ordinateur portable. Sa main touche son menton, comme si elle était très concentrée. À l'arrière-plan, une autre personne aux cheveux longs et bouclés portant un casque audio se concentre également sur un ordinateur portable.

Intuition

Non, l'intuition n'est pas qu'une affaire de suppositions. Il s'agit souvent d'une manifestation de la reconnaissance de schémas, éclairée et façonnée par le vécu. « C'est un outil puissant, que nous pouvons être tentés d'écarter d'office », affirme Quentyn. « Pour autant, nous avons assisté à des centaines de situations dans lesquelles des gens ont senti que « quelque chose clochait », et qui ont eu raison. Il tient tout de même à rappeler que, puisque tout le monde est différent, notre intuition peut être guidée par un autre attribut très humain : les idées préconçues. « Vous devez faire attention, bien sûr. Malgré cela, il n'existe actuellement aucune IA capable de rivaliser avec l'intuition humaine lorsqu'elle est associée à de bonnes données, à un entraînement et au temps de la réflexion. »

Diversité

« Tous les pirates ne se ressemblent pas », souligne Quentyn. Bien que cette idée semble évidente, les équipes de sécurité n'en doivent pas moins la prendre en compte. « Il est absolument essentiel que les différents membres d'une équipe apportent de la diversité sur toutes sortes de facteurs : l'éducation, le cadre de vie, la culture, la situation géographique, les passions ou les a priori négatifs… Pour nous prémunir contre des pirates de tous bords, cela sonne comme une évidence. » Pour illustrer son propos, il donne un excellent exemple de cyberattaque dont les auteurs avaient disséminé des références obscures au livre Dune de Frank Herbert dans le code d'un logiciel malveillant particulièrement destructeur. C'était bien avant la célèbre franchise de films, donc un membre de l'équipe d'investigation devait connaître le roman. Vous avez bien compris : l'amour de la science-fiction de quelqu'un a permis de récupérer ces mots clés et de les relier à différentes attaques, en recoupant des informations.

Instinct

Les mots « intuition » et « instinct » sont souvent utilisés de manière interchangeable. Cependant, si l'intuition est un calcul, l'instinct prend la forme d'une impulsion. Même s'il peut sembler irrationnel d'agir instinctivement dans une situation à enjeux élevés, comme une cyberattaque, l'instinct collectif d'une équipe peut être un précieux atout. « Preuves et instinct constituent un duo incroyablement puissant », selon Quentyn. « Par exemple, si vous devez prendre une décision et que vous disposez de toutes les données, mais que celles-ci ne vous aident pas à y voir plus clair, l'instinct entre en scène. Lorsqu'une équipe entière estime d'instinct qu'une mesure doit être prise plutôt qu'une autre, devez-vous lui faire confiance ? Je pense que oui. »

Quentyn Taylor Directeur principal de la sécurité des informations, de la sécurité des produits et de la réponse à l'échelle internationale, Canon EMEA

Notre travail quotidien est l'essence même des interactions « d'humain à humain ». »

Perception

Les gens sont imprévisibles. Jusqu'à ce qu'ils arrêtent de l'être. En cybersécurité, il suffit parfois d'adopter une approche légèrement différente ou un point de vue alternatif pour comprendre ce que fait réellement un pirate. « Le plus souvent, l'énigme que vous tentez de résoudre n'est autre qu'un humain qui adopte des comportements humains. » Quentyn cite l'exemple d'une attaque qui n'avait de cesse de s'arrêter et de reprendre, apparemment de manière aléatoire. « Ils ont lancé leur attaque, puis l'ont interrompue pendant quelques heures. Ensuite, l'activité reprenait légèrement, puis s'arrêtait à nouveau avant que la majeure partie de l'attaque ne se produise quelques heures plus tard. » Un schéma est ressorti de cette fréquence : avant le travail, pendant le déjeuner, puis après le travail. Grâce à cette information, il a été possible d'identifier la provenance de l'attaque.

Esprit critique

Tromperie, irrégularités subtiles, ingénierie sociale, exploits techniques… La liste est longue et les décisions à prendre sont nombreuses. « Notre travail quotidien est l'essence même des interactions "d'humain à humain" », explique Quentyn. « Concrètement, deux personnes essaient de se comprendre mutuellement : une dynamique vieille comme le monde. » Il ne s'agit pas juste d'analyser ce que vous avez sous les yeux. C'est la somme totale de tout ce qui précède, en mettant l'évaluation réfléchie au même niveau que l'intuition, en agissant sur plusieurs sources d'informations et en prenant des décisions rapides, tout en s'appuyant sur les expériences de l'équipe pour désigner et localiser une activité inhabituelle. Cela va même au-delà de l'organisation, car les spécialistes de la cybersécurité peuvent mettre ces compétences en pratique pour encourager des comportements en ligne plus sûrs à tous les niveaux.

Tout bien considéré, nous sommes loin du stéréotype du professionnel de la cybersécurité, voire de la conception même de la cybersécurité. En réalité, votre recherche Google devrait plutôt renvoyer de nombreuses images d'équipes diverses, travaillant ensemble. D'humain à humain.

En savoir plus sur les carrières chez Canon.

Sujets connexes