Nouvelle étude : étude sur le coût mondial des rançongiciels. Découvrez ce que les breaches vous coûtent.
Télécharger le rapport

Vous avez été victime d'une Breach ?

|
Nous contacter
|
+1 855 426 3983
Blogue
/
Segmentation Zero Trust

Le point de vue d'un cyberpsychologue sur la culture du blâme en matière de cybersécurité

Raghu Nandakumara
,
Directeur principal du marketing des solutions industrielles
April 15, 2025
23 min. de lecture
Dr. Erik Huffman cyberpsychologist
Dr. Erik Huffman, cyberpsychologue

« Seules les personnes imprudentes sont piratées. » C'est une croyance répandue en matière de cybersécurité. Mais est-ce vrai ?

Le Dr Erik Huffman, un expert de premier plan en cyberpsychologie, a passé des années à étudier cette question. Ses travaux portent sur l'impact du comportement humain sur la cybersécurité et sur les raisons pour lesquelles les instincts de survie traditionnels ne nous protègent pas en ligne.

Ses découvertes ? Même les mieux préparés sont attaqués.

Dans notre dernier épisode de Le segment : un podcast sur le leadership Zero Trust, j'ai rencontré Huffman pour discuter de la réalité des attaques d'aujourd'hui et des raisons pour lesquelles Zero Trust est la meilleure solution pour se préparer aux attaques.

Le fait de pointer du doigt freine la cybersécurité

Selon Huffman, l'une des réactions les plus toxiques à une violation est l'instinct immédiat de blâmer les individus.

« Quand un incident cela arrive, tout le monde passe à la question « Qui a fait quoi de mal ? » au lieu de « Comment cela s'est-il produit et comment pouvons-nous l'empêcher ? » il a expliqué.

Cette culture du blâme n'est pas seulement contre-productive, elle est dépassée. La réalité est que même les organisations les mieux dotées en ressources et soucieuses de leur sécurité sont victimes de failles de sécurité.

« La sécurité à 100 % n'existe pas », a-t-il déclaré. « Si un État-nation veut y participer, il le fera. »

L'accent doit être mis non plus sur la responsabilité mais sur l'analyse : comprendre ce qui s'est passé, en tirer les leçons et adapter les défenses.

Les hackers exploitent le stress, pas la stupidité

Huffman est convaincu que l'industrie a consacré trop de temps à la sensibilisation à la cybersécurité et pas assez à la cyberpréparation.

« Nous ne cessons de dire aux gens à quoi ils doivent faire attention, mais nous ne les préparons pas à réagir en cas de stress », a-t-il dit.

Les cybercriminels ne ciblent pas les personnes lorsqu'elles sont vigilantes et prudentes. Ils les attaquent lorsqu'ils sont vulnérables. Lorsqu'ils sont stressés par les licenciements, qu'ils se précipitent pour respecter une date limite ou qu'ils sont émotionnellement engagés dans une demande qui semble urgente.

Huffman affirme que la clé est de comprendre les vulnérabilités personnelles. « Nous devons former les gens non seulement sur les menaces génériques, mais aussi sur les tactiques psychologiques spécifiques utilisées par les attaquants. Chaque personne a ses propres déclencheurs. »

Attendez-vous à une nouvelle vague d'attaques alimentées par l'IA

La montée en puissance de Attaques pilotées par l'IA ne fait qu'aggraver ce problème. Les contenus audio et vidéo Deepfake sont déjà utilisés dans le cadre de cyberattaques, les acteurs de la menace se faisant passer pour des dirigeants pour autoriser des transactions frauduleuses.

« Que se passe-t-il lorsque vous ne pouvez plus vous fier à ce que vous voyez ou entendez ? » Huffman a demandé. « Nous entrons dans une ère où « vérifier, vérifier, vérifier » doit devenir une seconde nature. »

Les responsables de la sécurité doivent se préparer à un monde où même un appel téléphonique provenant d'un contact connu ne peut être pris pour argent comptant. Adopter Principes Zero Trust — et un état d'esprit Zero Trust dans l'ensemble de l'organisation — seront essentiels pour lutter contre la tromperie alimentée par l'IA.

Zero Trust est la ceinture de sécurité de l'organisation

Alors, comment passer de la prise de conscience à la préparation ?

Huffman suggère ces étapes clés :

  • Évaluation de la menace : identifier les vulnérabilités personnelles d'une personne et la manière dont elles sont susceptibles d'être exploitées
  • Évaluation de l'adaptation : élaborer des stratégies permettant aux individus de reconnaître les menaces et d'y répondre lorsqu'ils sont les plus vulnérables

La préparation consiste à donner aux employés des outils pratiques pour se protéger, plutôt que de simplement leur enseigner les menaces de manière abstraite.

« Nous devons arrêter d'effrayer les gens et commencer à leur donner les moyens d'agir », a-t-il déclaré. « À l'heure actuelle, la cybersécurité ressemble à conduire une voiture sans ceinture de sécurité en espérant que rien ne se passe mal. Nous devons donner aux gens leur ceinture de sécurité en matière de cybersécurité. »

Au niveau organisationnel, Zero Trust joue le même rôle.

« Zero Trust n'est pas qu'une question de technologie. C'est une mentalité », a déclaré Huffman. « Il ne s'agit pas de « faire confiance mais de vérifier », mais de « vérifier, puis vérifier à nouveau ». »

Les organisations qui adoptent Zero Trust parallèlement à une formation de préparation à la cybersécurité développent résilience contre les vulnérabilités humaines et technologiques. Et dans le monde d'aujourd'hui, la résilience est de mise.

Le passage de l'informatique à la cyberpsychologie

Le parcours de Huffman vers la cyberpsychologie n'était pas linéaire.

Après avoir obtenu son diplôme en informatique, il a commencé sa carrière dans l'informatique, en réparant les réseaux et en résolvant les problèmes de sécurité. Mais son point de vue a radicalement changé après avoir été confronté de première main à des violations de données consécutives.

« Je prenais toutes les mesures de sécurité nécessaires pour résoudre le problème, mais les failles continuaient de se produire », se souvient-il. « Je me suis posé la question suivante : si ce ne sont que des idiots qui se font pirater, est-ce que je suis stupide ? »

Déterminé à trouver des réponses, il s'est tourné vers la recherche et a découvert que plus de 90 % des violations de données impliquaient le comportement humain, soit par erreur, soit par ingénierie sociale. Cette prise de conscience l'a conduit à la cyberpsychologie, où il a depuis mené des études auprès de plus de 20 000 participants et travaillé avec plus de 220 organisations dans le monde entier pour combler le fossé entre la cybersécurité et le comportement humain.

Aujourd'hui enseignant, entrepreneur, conférencier et chercheur primé, ses idées ont été partagées lors de la NASA-Goddard, de l'ISACA, de TEDx et d'autres forums de premier plan. Il est actuellement Collaborateur de recherche à l'Institut national des normes et de la technologie (NIST).

Écoutez, abonnez-vous et révisez Le segment : un podcast sur le leadership Zero Trust

Vous voulez entendre l'intégralité de ma discussion avec le Dr Huffman ? Écoutez l'épisode de cette semaine sur Podcasts Apple, Spotify, ou partout où vous pouvez accéder à vos podcasts. Vous pouvez également lire un transcription complète de l'épisode.

Sujets connexes

Cyber-résilience

Articles connexes

Guide de l'architecte pour le déploiement de la microsegmentation : gestion de la relation fournisseur et intégration opérationnelle
Segmentation Zero Trust

Guide de l'architecte pour le déploiement de la microsegmentation : gestion de la relation fournisseur et intégration opérationnelle

La transition de la segmentation réseau traditionnelle (comme les pare-feux) à la microsegmentation nécessite un effort orchestré dirigé par des architectes ou des chefs de projet.

En savoir plus
Pourquoi Zero Trust pour améliorer la sécurité des terminaux ?
Segmentation Zero Trust

Pourquoi Zero Trust pour améliorer la sécurité des terminaux ?

Pourquoi la mise en œuvre et l'application de Zero Trust pour la sécurité des terminaux en interne, ainsi que pour le nombre énorme (et croissant) de travailleurs à distance constituent une meilleure solution.

En savoir plus
Segmentation Zero Trust : sécurité pour les entreprises hybrides
Segmentation Zero Trust

Segmentation Zero Trust : sécurité pour les entreprises hybrides

Gautam Mehandru, vice-président mondial des produits, des solutions et du marketing technique d'Illumio, partage ses réflexions sur l'entreprise hybride et les véritables entreprises zéro.

En savoir plus
Aucun article n'a été trouvé.

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus