Cybersécurité Centrée sur l’Humain

La cybersécurité est traditionnellement un sujet technique : on parle de failles, de cryptographie, d’attaques, etc. Les termes sont souvent techniques, parfois issus des sciences informatiques, mais aussi juridique, voire managériale.

L’humain est fréquemment au centre de la cybersécurité en tant que personne malveillante, mais aussi comme victime : les pirates le savent bien et exploitent les failles de l’esprit humain qui sont généralement le maillon le plus faible.

Ainsi, le facteur humain en cybersécurité est essentiellement perçu négativement : erreur humaine, manipulation, non-respect des lois, etc.

La cybersécurité centrée sur l’humain pose le contraire : les humains sont une source de résilience pour la cybersécurité, à condition d’intégrer les connaissances en sciences cognitives pour améliorer les protections.

Le programme scientifique de la cybersécurité centrée sur l’humain portent sur trois niveaux :

  • La formation
  • L’utilisabilité
  • La protection de la vie privée

La formation et la prévention

La formation est essentielle et couvre différents types de population : le professionnel de la cybersécurité bien sûr, mais aussi les personnels en charge de la gestion de crise et plus généralement tout employé. Avec une augmentation des menaces pesant sur les individus, la sensibilisation devient un sujet crucial pour le citoyen lambda. Définir les compétences essentielles, comprendre les freins cognitifs à la compréhension des risques et trouver les meilleures méthodes de formation font partie des questions actuelles de cet axe de recherche.

Lire notre article sur le projet RESISTECC à l’université de Poitiers.

Utilisabilité et accessibilité

L’utilisabilité représente la facilité avec laquelle un individu peut s’approprier un système pour atteindre ses buts de façon efficace et satisfaisante. L’utilisabilité est un concept admis dans de nombreux domaines, pourtant en cybersécurité, facilité signifie plutôt danger. Les mots de passe par exemple sont peu utilisables, mais n’est-ce pas leur vocation ? Quand l’utilisabilité d’un système de protection est trop faible, les utilisateurs risquent de ne pas l’utiliser correctement et donc de compromettre leur sécurité ou celle de l’organisation. De même, des personnes en situation de handicap ou éloignées du numérique seront mises à l’écart, à moins d’accepter une perte d’autonomie.

Vie privée et dark patterns

La protection informationnelle de l’individu n’est plus seulement un enjeu organisationnel. De nos jours, chaque individu possède plusieurs appareils numériques, de nombreux comptes en lignes et beaucoup de données personnelles. Les données et les comportements des utilisateurs attisent les appétits des cybercriminels, mais aussi de certaines organisations qui peuvent adopter un comportement hostile en exploitant les biais cognitif afin d’obtenir par la manipulation notamment des informations, voire certaines décisions de notre part !