Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Le point de vue d'un cyberpsychologue sur la culture de la culpabilité dans le domaine de la cybersécurité

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
Avril 15, 2025
23 min. lire
Dr. Erik Huffman cyberpsychologue
Cyberpsychologue Dr. Erik Huffman

"Seules les personnes imprudentes se font pirater. C'est une idée reçue dans le domaine de la cybersécurité. Mais est-ce vrai ?  

Le Dr Erik Huffman, expert en cyberpsychologie, a passé des années à étudier cette question. Ses travaux portent sur l'impact du comportement humain sur la cybersécurité et sur les raisons pour lesquelles les instincts de survie traditionnels ne parviennent pas à nous protéger en ligne.

Ses conclusions ? Même les entreprises les mieux préparées sont victimes de brèches.

Dans notre dernier épisode de The Segment : A Zero Trust Leadership Podcast, j'ai discuté avec Huffman de la réalité des attaques d'aujourd'hui et des raisons pour lesquelles la confiance zéro est la meilleure réponse à la préparation aux brèches.

La désignation des coupables freine la cybersécurité

Selon M. Huffman, l'une des réactions les plus toxiques à une violation est l'instinct immédiat de blâmer les individus.  

Lorsqu'un incident se produit, tout le monde se demande "Qui a fait quoi de mal ?" au lieu de "Comment cela s'est-il produit et comment pouvons-nous l'éviter ?

Cette culture du blâme n'est pas seulement contre-productive, elle est dépassée. En réalité, même les organisations les mieux dotées en ressources et les plus soucieuses de la sécurité subissent des violations.  

"La sécurité à 100% n'existe pas", a-t-il déclaré. "Si un État-nation veut entrer, il le fera.

Il faut passer du blâme à l'analyse : comprendre ce qui s'est passé, en tirer les leçons et adapter les moyens de défense.

Les pirates informatiques exploitent le stress, pas la stupidité

M. Huffman est convaincu que le secteur a consacré trop de temps à la sensibilisation à la cybernétique et pas assez à la préparation à la cybernétique.

"Nous ne cessons de dire aux gens à quoi ils doivent faire attention, mais nous ne les préparons pas à réagir en cas de stress", a-t-il déclaré.  

Les cybercriminels ne ciblent pas les personnes qui sont alertes et prudentes. Ils les attaquent lorsqu'ils sont vulnérables. Lorsqu'ils sont stressés par des licenciements, pressés de respecter un délai ou émotionnellement engagés dans une demande qui semble urgente.

Selon Mme Huffman, la clé réside dans la compréhension des vulnérabilités personnelles. "Nous devons former les gens non seulement aux menaces génériques, mais aussi aux tactiques psychologiques spécifiques utilisées par les attaquants. Chaque personne a des déclencheurs qui lui sont propres".

Attendez-vous à une nouvelle vague d'attaques alimentées par l'IA

La montée en puissance des attaques pilotées par l'IA ne fait qu'aggraver ce problème. Les faux sons et les fausses vidéos sont déjà utilisés dans les cyberattaques, les acteurs de la menace se faisant passer pour des cadres afin d'autoriser des transactions frauduleuses.

"Que se passe-t-il lorsque vous ne pouvez plus faire confiance à ce que vous voyez ou entendez ? a demandé M. Huffman. Nous entrons dans une période où "vérifier, vérifier, vérifier" doit devenir une seconde nature".

Les responsables de la sécurité doivent se préparer à un monde où même un appel téléphonique d'un contact connu ne peut être pris pour argent comptant. L'adoption des principes de la confiance zéro - et d'un état d'esprit de confiance zéro dans l'ensemble de l'organisation - sera cruciale pour contrer la tromperie alimentée par l'IA.

La confiance zéro est la ceinture de sécurité de l'organisation

Comment passer de la prise de conscience à la préparation ?  

Huffman propose les étapes suivantes :

  • Évaluation de la menace : identification des vulnérabilités personnelles d'un individu et de la manière dont elles sont susceptibles d'êtreexploitées‍
  • Appréciation de l'adaptation : élaboration de stratégies permettant aux individus de reconnaître les menaces et d'y répondre au moment où ils sont le plus vulnérables.

La préparation consiste à donner aux employés des outils pratiques pour se protéger, plutôt que de se contenter de leur enseigner les menaces dans l'abstrait.

"Nous devons cesser d'effrayer les gens et commencer à leur donner les moyens d'agir", a-t-il déclaré. "À l'heure actuelle, la cybersécurité ressemble à la conduite d'une voiture sans ceinture de sécurité - en espérant que rien de grave ne se produise. Nous devons donner aux gens leur ceinture de sécurité en matière de cybersécurité".

Au niveau de l'organisation, la confiance zéro joue le même rôle.

"La confiance zéro n'est pas qu'une question de technologie. C'est une mentalité", a déclaré M. Huffman. Il ne s'agit pas de "faire confiance mais de vérifier", mais de "vérifier, puis vérifier encore".

Les organisations qui adoptent la confiance zéro en même temps que la formation à la cyberpréparation renforcent leur résilience face aux vulnérabilités humaines et technologiques. Et dans le monde d'aujourd'hui, la résilience est le mot d'ordre.

De l'informatique à la cyberpsychologie

Le parcours de M. Huffman vers la cyberpsychologie n'a pas été linéaire.  

Après avoir obtenu un diplôme en informatique, il a commencé sa carrière dans l'informatique, en réparant des réseaux et en résolvant des problèmes de sécurité. Mais son point de vue a changé radicalement après avoir vécu en direct deux violations de données successives.  

"Je mettais en œuvre toutes les mesures de sécurité possibles pour résoudre le problème, et pourtant les brèches continuaient à se produire", se souvient-il. "J'ai dû me poser la question suivante : si seules les personnes stupides se font pirater, alors suis-je stupide ?

Déterminé à trouver des réponses, il s'est tourné vers la recherche et a découvert que plus de 90% des violations de données impliquent un comportement humain, que ce soit par erreur ou par ingénierie sociale. Cette prise de conscience l'a conduit à la cyberpsychologie, où il a depuis mené des études avec plus de 20 000 participants et travaillé avec plus de 220 organisations dans le monde entier pour combler le fossé entre la cybersécurité et le comportement humain.  

Aujourd'hui éducateur primé, entrepreneur, conférencier et chercheur, ses idées ont été partagées à la NASA-Goddard, à l'ISACA, à TEDx et dans d'autres forums de premier plan. Il est actuellement collaborateur scientifique au National Institute of Standards and Technology (NIST).

Écoutez, abonnez-vous et commentez The Segment : Un podcast sur le leadership sans confiance

Vous voulez entendre l'intégralité de ma discussion avec le Dr Huffman ? Écoutez l'épisode de cette semaine sur Apple Podcasts, Spotify ou tout autre site de diffusion de podcasts. Vous pouvez également lire la transcription complète de l'épisode.

Sujets connexes

Cyber Resilience

Articles connexes

3 Points forts d'Illumio à Black Hat 2023
Segmentation sans confiance

3 Points forts d'Illumio à Black Hat 2023

Découvrez les principaux enseignements de la conférence Black Hat de cette année, ainsi que des photos et des vidéos de l'événement.

Read more
L'importance de la politique pour la confiance zéro
Segmentation sans confiance

L'importance de la politique pour la confiance zéro

L'idée du moindre privilège n'est pas nouvelle, pas plus que l'idée de séparer les appareils sur le réseau au service du moindre privilège.

Read more
Comment assurer la réussite des projets de microsegmentation : 3 principes stratégiques
Segmentation sans confiance

Comment assurer la réussite des projets de microsegmentation : 3 principes stratégiques

La microsegmentation est importante. Si vous le faites correctement, vous réduirez considérablement votre vulnérabilité aux attaques telles que les ransomwares, tout en respectant les règles de conformité.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more