X-Labs de Forcepoint, premier centre de recherche spécialisée au monde alliant une expertise poussée de la sécurité à des études de science comportementale, publie un nouveau livre blanc intitulée Thinking about Thinking – Exploring Bias in Cybersecurity with Insights from Cognitive Science.
Rédigé par la psychologue et membre de l’équipe X-Labs, Margaret Cunningham, ce livre blanc examine six biais humains inconscients universels. Il étudie comment une connaissance plus approfondie des sciences cognitives, ajoutée à l’application de techniques analytiques avancées, peut améliorer les prises de décisions dans la cybersécurité, aussi bien pour l’utilisateur final que pour les professionnels.
En mars 2019, Forcepoint, leader mondial dans le domaine de la cybersécurité, lançait sa division X-Labs avec pour mission de concevoir des solutions de sécurité modernes et innovantes, capables de s’adapter au risque, en exploitant les données provenant de l’ensemble de l’offre produits de Forcepoint et de travaux de recherche extérieurs. Forcepoint examine un large éventail de préjugés chez les êtres humains ainsi que des analyses pilotées par les données, avec l’objectif de créer des outils de cybersécurité plus flexibles et efficaces, donnant la priorité au cloud, adaptés à la complexité du paysage actuel des menaces.
Six préjugés qui faussent les stratégies de sécurité
Le livre blanc, qui fait partie d’une série consacrée par Forcepoint aux sciences cognitives dans la cybersécurité, couvre de manière approfondie six biais analytiques : le biais d’agrégation, le biais d’ancrage, le biais de disponibilité, le biais de confirmation, l’effet de cadrage et l’erreur fondamentale d’attribution.
« Nous sommes tous sujets à des biais cognitifs et erreurs de raisonnement, susceptibles d’influencer les décisions et les résultats des entreprises dans la cybersécurité », explique Margaret Cunningham, directrice de recherche chez Forcepoint. « Cependant, l’un des atouts majeurs de l’être humain est sa capacité à raisonner sur son propre raisonnement et, par conséquent, à reconnaître et corriger ces préjugés. En changeant d’approche et en évitant les cas où la pensée automatique est préjudiciable, nous pouvons optimiser la prise de décision ».
« Nous voyons régulièrement des dirigeants d’entreprise se laisser influencer par des facteurs extérieurs », ajoute Nicolas Fischbach, CTO International de Forcepoint. « Par exemple, si de récents piratages soutenus par des Etats font la une de l’actualité, accompagnés de sévères mises en garde contre ce type d’attaques, les responsables des programmes de sécurité auront tendance à modifier leur stratégie de cybersécurité et leurs actions contre les menaces externes. »
Ce sont les effets du biais de disponibilité qui, à la suite d’un piratage très médiatisé, risque d’amener les entreprises à négliger ou minimiser les menaces présentées par les malwares, les correctifs mal appliqués ou encore le comportement de leurs collaborateurs en matière de manipulation des données. Au moment de prendre une décision, il est courant et humain de s’en remettre au premier facteur qui vient à l’esprit mais cela peut aboutir à de fausses conclusions.
Le biais de confirmation sévit lui aussi dans l’inconscient des professionnels de la sécurité. Lorsqu’une personne explore une théorie afin d’étudier un problème particulier, elle est très encline à confirmer ses convictions initiales en se bornant à rechercher et donc trouver uniquement ce qui vient étayer son intuition. Par exemple, un analyste chevronné dans le domaine de la sécurité pourra « décider » ce qu’il s’est passé avant même d’enquêter sur une violation de données, en supposant que c’est le fait d’un collaborateur malveillant, en raison d’événements précédents. L’expertise et l’expérience, aussi précieuses soient-elles, peuvent constituer une faiblesse si les enquêtes sur les incidents de sécurité sont exclusivement menées de façon à aller dans le sens d’idées préconçues.
« Le problème se situe entre le clavier et le fauteuil »
L’un des biais socio psychologiques influant sur la quasi-totalité du comportement humain est l’erreur fondamentale d’attribution. Les professionnels de la sécurité informatique sont réputés pour affirmer que « le problème se situe entre le clavier et le fauteuil », autrement dit, rendre l’utilisateur responsable d’un incident de sécurité. Les ingénieurs en sécurité ne sont pas les seuls à être victimes de ce biais, dans la mesure où l’utilisateur final va, quant à lui, imputer tout incident à un environnement de sécurité mal conçu ou bien se refuser à admettre que son propre comportement est à risques.
Il n’est pas facile de remédier aux erreurs fondamentales d’attribution et au biais d’auto-complaisance : cela requiert du discernement et de l’empathie. Pour les supérieurs hiérarchiques et autres responsables, la reconnaissance des imperfections ou échecs peut contribuer à instaurer une culture plus résiliente et dynamique. Les concepteurs d’architectures logicielles complexes doivent avoir conscience que tous les utilisateurs d’un système n’ont pas autant qu’eux-mêmes le souci de la sécurité. Les problèmes rencontrés par les utilisateurs ne sont pas dus à leur « stupidité » mais à leur humanité.
Surmonter les biais en appliquant l’analytique
Le livre blanc du X-Labs de Forcepoint a pour but d’aider les dirigeants d’entreprise comme les professionnels de la cybersécurité à améliorer leur compréhension des biais. Ainsi, ceux-ci pourront plus facilement identifier et atténuer les effets d’un raisonnement faussé et de conventions erronées dans le cadre de leurs prises de décisions. Les efforts de la profession, visant à trouver un équilibre harmonieux entre les atouts respectifs des êtres humains et des technologies afin de relever le défi de la cybersécurité, dépendent de la capacité à comprendre et surmonter les biais.
Chez Forcepoint, l’équipe X-Labs s’attache actuellement à intégrer une connaissance approfondie des comportements humains dans ses solutions de sécurité adaptatives aux risques, avec l’objectif ultime d’améliorer les processus et résultats des entreprises en réduisant les obstacles à leur prospérité et à leur succès.
Forcepoint Dynamic Data Protection, dont le cœur est l’analyse des comportements humains, aide les professionnels de la sécurité à faire face au biais cognitif. Le produit calcule et actualise en continu un score de risque comportemental par rapport au comportement « normal » de référence de chaque utilisateur final, quels que soient son lieu et son mode d’accès au réseau de l’entreprise.
Les systèmes intelligents de Forcepoint, informés par l’évaluation individuelle des risques, appliquent ensuite un éventail de contre-mesures de sécurité afin de répondre au danger identifié, en fonction de l’appétit de l’entreprise pour le risque. A titre d’exemple, Forcepoint Dynamic Data Protection peut autoriser et surveiller l’accès aux données, autoriser l’accès mais crypter les téléchargements ou encore bloquer totalement l’accès aux fichiers sensibles selon le contexte des différentes interactions avec les données de l’entreprise et le score de risque qui en résulte.
« Les utilisateurs tendent à commettre des erreurs en présence d’informations trop nombreuses, complexes ou liées à des probabilités. En couplant l’analyse comportementale à des contre-mesures de sécurité, nous pouvons réduire le biais », conclut Margaret Cunningham.
Annoncé en mars, le second produit de l’offre de protection adaptative aux risques de Forcepoint, Dynamic Edge Protection, va permettre aux entreprises de transformer leur architecture de leur réseau et l’architecture de leur sécurité avec une connectivité transparente au réseau et au cloud, afin de tirer pleinement parti des services cloud en toute sécurité.
Agir pour contrer le biais : questions pour les professionnels de la cybersécurité
Forcepoint conseille aux professionnels de la sécurité et aux dirigeants d’entreprise de prendre le temps de passer en revue les six biais décrits dans le livre blanc et à se poser les questions suivantes :
Est-ce que vous-même ou vos collègues faites des suppositions au sujet d’individus en vous fondant sur des caractéristiques collectives ?
Avez-vous déjà été bloqué, lors d’une recherche, sur un détail ou une information que vous avez eu des difficultés à écarter afin d’identifier une nouvelle stratégie d’exploration ?
La vague d’actualités récentes a-t-elle modifié la perception des risques actuels par votre entreprise ?
Lorsque vous vous heurtez au même problème, encore et toujours, est-ce que vous vous posez afin de réfléchir aux autres solutions ou réponses possibles ?
Lorsque de nouveaux services et produits vous sont proposés, évaluez-vous le risque (et votre tolérance au risque) de manière équilibrée ? Selon plusieurs angles ?
Enfin, votre équipe fait-elle en sorte de reconnaître votre propre responsabilité pour des erreurs ou des comportements à risques et de rendre justice à d’autres qui peuvent avoir commis une erreur pour des raisons liées à l’environnement ?
Un récent InfoBrief[1] d’IDC, commandé par Insight Enterprises (NASDAQ:NSIT), révèle des retards alarmants dans toute l’Europe pour se conformer aux réglementations strictes en matière de cybersécurité imposées par la directive NIS2. Les résultats montrent que de nombreuses entreprises sont confrontées à d’importants obstacles internes qui entravent considérablement leurs efforts de mise en conformité. Il est […]
Universal Robots (UR), fabricant de robots légers et pionnier de la robotique collaborative, dévoile « AI Accelerator », un ensemble d’outils matériel et logiciel clé en main conçu pour faciliter le développement d’applications cobotiques alimentées par l’intelligence artificielle (IA).
Onapsis, le leader du marché de la sécurité et de la mise en conformité des environnements SAP et Oracle, annonce sa seconde participation aux Assises de la cybersécurité (stand L33) qui se tiendront du 9 au 12 octobre 2024 à Monaco. À cette occasion, Onapsis y présentera sa plateforme. Celle-ci assure la protection des applications essentielles […]