Cybersécurité, le facteur humain en est-il le centre de gravité ?

« En mai 2024, plusieurs assistants parlementaires européens ont été ciblés par une campagne d’ingénierie sociale particulièrement sophistiquée. Des cyberdélinquants ont utilisé de faux profils LinkedIn très bien construits pour entrer en relation avec ces collaborateurs, leur proposer des opportunités professionnelles valorisantes, et in fine les inciter à ouvrir des documents piégés ou à divulguer des informations sensibles. Un cas d’école avec un mode opératoire 100 % cognitif, une finalité entre enjeux politiques et économiques et une exploitation directe de l’empreinte numérique des cibles. La menace ne pénètre plus par une faille technique. Elle infiltre les esprits, les émotions, les habitudes quotidiennes. Le facteur humain est devenu le champ de bataille central. Et dans cette guerre silencieuse, la donnée personnelle est à la fois la munition et le butin.

La racine « cyber » provient du mot cybernétique qui a été formé en français en 1834 pour désigner la « science du gouvernement », à partir du grec kubernêtiké, signifiant « diriger, gouverner ». Le terme est repris en 1948, aux États-Unis, par le mathématicien Norman Wiener à l’origine de la cybernétique, science constituée par l’ensemble des théories relatives au contrôle, à la régulation et à la communication entre l’être vivant et la machine. Avant même la naissance de ce que l’on appelle depuis 1984 l’espace cyber, le facteur humain, dans toute son acception, y occupe de manière consubstantielle une place centrale.

Alors que 80 % des attaques cyber réussies le sont aujourd’hui par le biais humain, la menace s’est structurée dans un continuum cyber – numérique – informationnel – cognitif, qu’elle soit d’origine institutionnelle à des fins de déstabilisation, qu’elle soit criminelle, ou bien même la combinaison des deux par proxy agissant pour le compte d’États.

Bénéficiant d’un écosystème favorable à ce continuum, elle y adopte principalement le mode d’action de l’ingénierie sociale, reposant sur la captation d’informations et la capacité à influencer les comportements, qu’ils soient individuels, sous forme de pression par exemple, ou collectifs comme la manipulation de masse. Les données personnelles se sont alors transformées en matières premières. Dans ce contexte, le changement de paradigme réside dans le fait que le facteur humain est devenu le vecteur de la menace.

Se pose alors la question de savoir si la défense cyber en France et au sein des organisations qui la composent, probablement aujourd’hui encore trop segmentée et éparpillée, doit, elle aussi, s’inscrire dans ce continuum afin de nous protéger efficacement. En outre, pour les individus comme pour les organisations, l’enjeu semble être désormais la maîtrise de leur empreinte numérique afin de se prémunir de cette menace.

Un état des lieux sur les attaques par ingénierie sociale permet dans un premier temps de comprendre le poids du facteur humain et les notions de stratégies directe et indirecte. Dans un souci d’approche globale, il est nécessaire de compléter le constat par une analyse psychologique et comportementale de la menace. Par ailleurs, dans un champ d’affrontement devenu asymétrique, notamment pour des raisons juridiques, la donnée personnelle présente des singularités, une grande sensibilité, mais surtout elle est devenue l’unité de valeur. Fort de ces constats, il est possible d’esquisser les voies à explorer afin de structurer la défense cyber dans un continuum où la menace s’est, elle, déjà inscrite… »