Cette conférence présente les baes de la psychologie sociale de la cybersécurité ou de la protection des informations pour les entreprise et compagnies. Toute population est concernée: de la secrétaire au middle management jusqu'à la gouvernance. Des actions de prévention et de mise en sécurité seront envisagées et évaluées à l'aide notamment de tests de phishing.
Psychologie sociale de la cybersécurité ou de la protection des informations
1. PSYCHOLOGIE SOCIALE DE LA CYBERSECURITE
ou de la PROTECTION DE L’INFORMATION:
UNE INTRODUCTION
Fabien GIRANDOLA
Laboratoire de Psychologie Sociale
Aix-Marseille Université
fabien.girandola@univ-amu.fr
2. Exemples de rôles de la psychologie sociale dans
la cybersécurité (analyse des croyances et plus…)
• Rationalité limitée des individus, rationalité affective
• Biais d’optimisme et optimisme comparatif
• Identifier les situations où les individus divulguent le
plus facilement l’information confidentielle
• Augmenter la conscience des risques de perte des
informations, passer au comportement effectif par les
techniques classiques de la psychologie sociale et des
sciences du comportement
• Communiquer avec les entreprises et le grand public
3.
4. Les individus n’ont pas les informations nécessaires
pour agir…
Il suffit alors de leur donner…
Mais est-ce suffisant pour agir ?
5. SOURCE MESSAGE CANAL RECEPTEUR CONTEXTE DE LA
PRESENTATION
1. Exposition au message
2. Attention
3. Appréciation, intérêt
4. Compréhension
5. Capacités d’acquisition
6. Changement d’opinion
7. Stockage en mémoire du
contenu du message
8. Recherche et récupération
en mémoire de l’information
9. Décision sur la base de la
Récupération de l’information
10. Comportement en accord
avec la prise de décision
11. Renforcement des
comportements
12. Consolidation des
comportements
6. Changement d’idées ne signifie pas nécessairement
changement de comportement
Le plus souvent, il y a un décalage entre les idées et les
comportements
8. (O) Ouverture : Concerne les individus qui apprécient l'art, l'émotion, le fait
d'apprendre de nouvelles choses, les idées peu communes, etc. Cette dimension
englobe des traits tels qu'être perspicace, imaginatif et curieux.
(C) Conscienciosité : Concerne les individus fiables, ponctuels, organisés, méthodiques
et rigoureux. Ces individus privilégient l'autodiscipline et le respect des obligations, et
s'orientent vers des objectifs définis.
(E) Extraversion : Les extravertis puisent leur énergie dans l'interaction avec les autres.
Ils sont énergiques, dynamiques, loquaces et assertifs, et privilégient les émotions
positives.
(A) Agréabilité : Ces individus ont tendance à être compatissant et coopératif. Ils sont
amicaux, gentils, affectueux, sympathiques, coopérants et doués de compassion.
(N) Névrosisme : Caractérise les individus qui possèdent une faible stabilité
émotionnelle et qui privilégient les émotions négatives (colère, inquiétude,
dépression, vulnérabilité). Ces individus sont tendus et d'humeur changeante.
Le big five : les traits de personnalité
9. 150 employés remplissant les conditions :
• Travaillent avec un ordinateur
• Suivent des procédures
On demande à ces employés de répondre à un questionnaire en ligne
qui contient plusieurs scénarii (histoires)
Chaque scénario décrit une situation dans laquelle l’employé d’une
compagnie (Joe) a collecté des données sensibles sur ses clients et
pour sa compagnie. Il souhaite prendre ces données pour y travailler
chez soi
On demande aux salariés s’ils feraient de même que Joe
Mesure : intention auto-rapportée de détourner la politique de
cybersécurité de la compagnie
McBride, Carter, & Warkentin (2012)
10. Exemple de scénario
Joe vient juste de collecter des données sensibles concernant des clients de sa
compagnie. Il souhaite prendre ces données chez lui pour y travailler. Il sait qu’il
doit sa demander un mot de passe avant de les sortir sur une clef USB.
Joe a déjà demandé dans le passé des mots de passe réalisé, il sait qu’il peut à
nouveau le faire. Mais, cette fois il pense que sans mot de passe, aucune personne
non-autorisée pourra avoir accès à ces données. D’ailleurs, s’il n’en demande pas, il
ne sera pas sanctionné. Il pense que la procédure du mot de passe fonctionne bien
car cela empêche a quiconque d’avoir accès aux données.
La procédure de mot de passe prend quelques minutes mais…il doit partir
maintenant, alors il décide de ne pas débuter la procédure du mot de passe. Ces
chances d’être sanctionnés sont faibles si on le remarque
11.
12. Les individus ayant des caractéristiques dispositionnelles
différentes réagissent différemment aux même scénarii.
Ce qui implique notamment d’adopter une approche préventive
selon la personnalité des employés si possible
Par exemple, les individus extravertis sont plus souvent motivés
par des punitions (évaluation négative).
En termes de formation:
Effets combinés des facteurs de personnalité et de la situation.
Développer si possible ou minimalement un ensemble de profil
catégorisant les employés basés sur leur personnalité et perception
de la cybersécurité
Ce protocole profilé n’existe pas encore ( représentations
sociales)
13.
14.
15.
16. Anwar, He, Ash, Yuan, Li, & Xu (2017). Gender difference and employee’s
cybersecurity behaviors. Computers in Human Behavior
Population = 481 employés ayant une expérience sur la
cybersécurité ou ayant déjà travaillé dans le cadre de la sécurité sur
internet
21. Disséquer l’ingénierie sociale
L’ingénierie sociale (IS) est l’acte de demander aux individus de réaliser
certaines choses qu’ils n’auraient pas fait ordinairement pour un étranger
L’IS implique:
- Un acte d’intrusion
- L’intrusion est préparée et réalisée socialement pas à pas…
- Acquérir une information ou l’accès au système en question
22. LA PERSUASION sur l’employé
• Conduire une personne à se soumettre à une demande inhabituelle, de
contre normatif (donner une information de sécurité).
• Un intrusif demandant autoritairement un nom d’utilisateur ou un mot de
passe par la technique de l’autorité
• L’intrusif exploite une caractéristique personnelle de l’employé (peur…)
• Plus l’employé est conscient de la norme intrusive, plus l’intrusif soit déployer
des actes de persuasion
23. La FABRICATION de la situation
• Jouer sur l’interprétation de ce qui se présente ici et maintenant
• Les situations sont toujours interprétées par les employés
• Ces interprétations sont basées sur les différentes connaissances, expérience, et
indices continues de la situation
• La fabrication est une tentative de manipuler ces cadres d’interprétation
• La fabrication peut être douce (mots ou messages) ou plus dures (accessoires,
uniformes, badges)
Exemple: donner des noms ou utiliser le jargon de l’entreprise ce qui construit le
rôle et l’impression d’appartenir au groupe est créée
24. Rassembler des données
• Toute attaque requiert une connaissance de la cible et des informations à
obtenir
Multidimensionnalité:
Exemple connu du une phishing : une fabrication. Utilisé d’une manière
persuasive, on peut lui donner une importance, une urgence, une réponse
rapide, en appeler aux émotions.
25. Attention: trop d’attente sur la personnalité de l’employé et ses caractéristiques
Sans tenir compte de la fabrication et du recoupement des données !!
26. Approche multidimensionnelle nécessaire
Persuasion:
- Parler à un employé pour lui faire faire une action inappropriée.
- L’action est-elle légitime ?
- Est ce que l’employé a été approché directement et activement ?
Fabrication:
- Utiliser et manipuler un employé, son interprétation de la situation (phisihing
par exemple). Est-ce que l’employé est lui-même conscient de l’attaque ?
Recherche de l’info:
- Quelconque information qui peut être recueillie auprès de l’employé
27.
28.
29. Actions de Prévention:
• Etude de la perception de la cybersécurité ou de la protection de
l’information chez les employés et/ou middle management
• Matériel conçu en lien avec les théories et techniques de la communication
persuasive (niveau de motivation, implication…), personas
Employer les sciences comportementales:
• Communication engageante (acte préparatoire et message à visée
persuasive)
• Différentes possibilités d’induction comportementales par les techniques
issues de la soumission librement consentie, nudges