Déplacer sa souris. Cliquer. Une action que l’on effectue des centaines de fois par jour. Une action anodine.

Et pourtant, une action qui peut être lourde de conséquences pour une entreprise.

En effet, le phishing représente porte d'entrée dans la grande majorité des cyberattaques. En 2020, les trois quart des entreprises américaines se déclaraient victimes d’une attaque de phishing.

Alors pourquoi est ce que les gens cliquent sur les emails de phishing (et ce en dépit des multiples formations powerpoint, vidéo, messages sur la machine à café reçues) ? Quels sont les ressorts psychologiques derrière notre tendance à cliquer sur les emails ?

Et surtout, comment est-ce que les hackers exploitent ces vulnérabilités, et que peuvent faire les entreprises pour se prémunir ?

Pourquoi les gens cliquent-ils ?

Petit préalable d’anatomie cognitive

Daniel Kahneman (prix Nobel d’économie, spécialiste du comportement) a postulé l’existence de deux systèmes de pensée.

  • Le premier, le “Système 1”, est rapide, intuitif et repose sur les émotions. C’est un système de réflexe et d’instinct. Il est évidemment nécessaire pour permettre des interactions au quotidien, par exemple tenir la porte à quelqu’un ou choisir une place dans un métro (une action que l’on fait presque “sans réfléchir”).
  • Le deuxième, le “Système 2” est bien plus délibéré. Il va allouer des ressources mentales (et constitue donc un effort réflexion) à l’action d’analyse, surtout dans des cadres qui ne nous sont pas familier (comme par exemple résoudre un exercice mathématique). Il nécessite de la concentration, et est donc plus fatigant.

Le Système 1 est évidemment indispensable compte tenu de la quantité de micro-décisions que nous devons prendre au quotidien. Si tout passait par le Système 2, nous serions quasi paralysés.

D’un point de vue anatomique on retrouve cette distinction dans la séparation entre les activités gérées par le lobe frontal (réflexion, analyse des émotions, contrôle des actions) et l’amygdale qui gère des ressorts émotionnels basiques, proches de notre nature animale (instincts de survie, combat ou fuite, peur). Le problème est que cette dernière partie est plus rapide, plus instinctive, et va avoir tendance à prendre le pas sur le lobe frontal lorsque les bons “ressorts” sont déclenchés.

Mais quel est le lien avec l’action de cliquer ?

Les ressorts psychologiques derrière les clics

Notre habitude au clic va s’appuyer sur un constat : nous recevons beaucoup de sollicitations (email mais aussi SMS, messages instantanés) tous les jours. Le plus souvent, nous ne faisons pas un exercice conscient d’analyse du message : c’est le Système 1 qui prend le pas.

Or, le Système 1 (c’est le système instinctif) peut être manipulé, berné, lorsque certains ressorts sont activés. Il s’agit en fait d’éléments de message qui vont jouer sur des ressorts psychologiques pour nous manipuler et nous amener à cliquer :

  • Autorité ou personne de confiance
  • Appât du gain, rareté
  • Peur, alertes de sécurité
  • Curiosité

Pourquoi le lobe frontal ne prend-il pas le pas dans ces situations ? Tout d’abord parce que cela demande un effort additionnel, mais aussi parce que certaines réactions sont directement traitées par l’amygdale et ne passent pas par le lobe frontal (stress, anxiété, autorité...).

Des études ont d’ailleurs montré que l’anxiété peut disrupter les neurones dans le cortex frontal, alors que le stress peut être utilisé pour conduire les gens à ignorer des éléments dans leur process d’analyse.

Enfin, les utilisateurs ont tendance à baisser leur garde lorsque leur environnement change : nous avons un degré d’attention et de vigilance plus élevé au bureau que chez nous, un environnement que nous appréhendons comme de confiance.

Comment les hackers exploitent-ils cette vulnérabilité ?

Ils gagnent en crédibilité sur leurs emails de phishing

Les hackers vont tout d’abord chercher à simuler desemails crédibles venant de sources fiables. Cela va leur permettre de tabler sur une absence d’analyse et une réaction “Système 1”, tout en capitalisant en plus sur la confiance que nous accordons à des sources connues

Ainsi, ils vont développer des emails de spear-phishing réalistes :

  • En émulant des outils utilisés : par exemple Dropbox, Docusign ou encore Dashlane (ils peuvent même vérifier que les cibles utilisent bien ces outils avant l’attaque)
  • En copiant des services grands publics : Amazon, ITunes, Fnac, réseaux sociaux (Facebook, LinkedIn...)...
  • En se faisant passer pour des employés de la boîte cible ou pour des clients ou fournisseurs

Le but : être le plus près possible de la réalité pour tabler sur une action réflexe, instinctive.

Ils exploitent des leviers psychologiques

Les hackers sont passés maîtres dans l’exploitation des leviers psychologiques qui vont contourner les filtres d’analyse des cibles. Dans leurs messages, ils peuvent par exemple :

  • Jouer sur la peur : “il y a une faille de sécurité”, “votre antivirus n’est pas à jour”, “des connexions suspectes ont été détectées”
  • Jouer sur l’appât du gain : un ordinateur, une carte cadeau, un smartphone à gagner... (un scénario de smartphone est parmi ceux qui ont les plus forts taux de clics sur des publics non formés dans nos simulations de phishing)
  • Se faire passer pour des membres du Comex de l’entreprise pour jouer sur le respect de l’autorité
  • Tabler sur la curiosité : un appel d’offres, une présentation d’entreprise, une offre de mission d’expertise... parfois, la curiosité peut desservir

L’ajout de ces leviers psychologiques, exploités dans le cadre d’attaques toujours plus réalistes, augmente considérablement le taux de réussite pour les hackers.

Quelles mesures prendre ?

Comment adapter les formations de cybersécurité à ces réflexes profondément ancrés et à la manière dont les hackers peuvent les exploiter ? La bonne nouvelle est qu’il est possible de réussir à modifier les comportements afin que les équipes se protègent activement des attaques de phishing.

Pour cela, il n’est pas possible de demander aux équipes d’analyser chaque email : cela demande un effort trop important alors que leur concentration est déjà très sollicitée.

Il faut que l’appréciation de la dangerosité d’un email se fasse de manière automatique, presqu’intuitive : que le système 1 permette une bonne appréciation du risque de chaque email (plutôt que de se reposer sur une activation du système 2).

Ce n’évidemment n’est pas facile, mais c’est possible. Voici quelques pistes :

Entrainement: l’utilisateur doit être confronté à beaucoup de simulations pour aiguiser son sens des attaques et internaliser ce qui constitue une attaque, en particulier la présence de facteur psychologiques (appât du gain, urgence, etc.). Cet entrainement doit être :

  • Régulier : afin que l’analyse du risque devienne un acquis
  • Varié, réaliste et contextualisé : pour que les équipes sachent s’entraînent en conditions réelles et ne soient pas démunies face au large spectre de types d’attaques qu’elles pourraient rencontrer
  • Impactant : un échec à une simulation est sans gravité mais permet, s’il est accompagné d’une explication, permet de fixer l’enseignement

Pédagogie: Il faut expliquer clairement et simplement quels sont les conseils actionnables pour éviter d’être piéger. Cela sert aussi à ne pas créer de ressentiment vis à vis du programme.

Motivation: Il faut que les utilisateurs aient une bonne raison de vouloir s’améliorer. C’est là que l’utilisation de mécanismes de gratification et de récompense rentrent en jeu. Sans cela, les collaborateurs ne voient pas forcément l’intérêt pour eux de s’améliorer sur le sujet et c’est là que la gamification peut aider.

Une fois chaque email apprécié de manière réflexe, et seulement si nécessaire, les collaborateurs pourront conduire une analyse plus poussée (contenu et vérification envoyeur).

Enfin, Les entreprises peuvent également adopter des procédures, notamment pour le paiement des factures, qui leur permettent de se protéger en cas de BEC (business email compromise, compromission d’un compte email qui sert pour l’envoi d’autres attaques).