LegalTech
Cyberattaques
De la ruse à la manipulation : quand « la part de l’homme » reste le maillon faible
Nous sommes tous prédisposés à la manipulation, par notre éducation au vu d’influences bienveillantes, par notre héritage culturel et par les normes à respecter pour s’intégrer. Ainsi, nous sommes plus ou moins vulnérables, alors que notre comportement est alors prévisible et que nos prises de décision sont liées à des réductions hâtives qui entachent notre capacité d’évaluation[1]. Il s’y ajoute également des déficits[2], en particulier d’ordre culturel, qui nous entraînent dans un aveuglement, en nous considérant comme infaillibles, au seul motif de ne pas avoir été victime par le passé, contrairement aux autres, et en surestimant nos capacités de contrôle ou de détection du mensonge.
L’intention de l’auteur est de montrer que la ruse et la manipulation ne sont pas nouvelles, et que « la part de l’homme »[3] joue un rôle majeur dans les méthodes de la cybercriminalité, notamment sous les aspects de « phishing » et d’ingénierie sociale. En première partie, il sera proposé un modèle qui intègre les systèmes de la pensée où interviennent le contexte, les leviers d’influence et les biais qui conditionnent les décisions erronées ou manipulées, pour expliquer pourquoi la part humaine reste le maillon faible.
En seconde partie, les éléments précédents permettront de présenter deux études de cas, l’un relatif à une extorsion par rançongiciel, et l’autre, à une escroquerie au faux ordre de virement. Il sera proposé une réponse innovante à la sensibilisation, qui s’accorde à la conclusion sur la résistance cognitive aux automatismes face à de telles cyberattaques et, plus généralement, sur toute « la part de l’homme » à prendre en compte pour disposer d’une vision plus cohérente de la cybersécurité, en évitant que cette part reste son tendon d’Achille.
1ère partie – Manipulations, modèle de décision et cyberattaques
Bien avant C. von Clausewitz au 19ème siècle[4], il y a près de 2500 ans, Sun Tzu affirmait déjà, dans sa doctrine sur l’art de la guerre[5], que le renseignement préalable et la ruse sont parmi les meilleures armes avant toute bataille, permettant de s’adapter à la stratégie de l’adversaire avec une économie de moyens, donnant ainsi un cadre à l’espionnage, à la manipulation et à la désinformation en se fondant sur des défauts de fiabilité. Ces derniers s’appliquent à d’autres secteurs où ils sont matérialisés par des déficits profonds au regard de la sécurité, lesquels relèvent en particulier de l’erreur ou de la malveillance, ou encore de la crainte ou de la cupidité humaine. Des pans entiers de l’économie sont concernés, ainsi que l’ensemble des acteurs des organismes et établissements publics ou privés, comme victimes potentielles face à une cybercriminalité organisée, d’une façon déjà prévisible dans les années 90[6].
La part humaine reste le talon d’Achille de la sécurité : nous sommes tous paradoxalement trop prévisibles ou imprévisibles, et en tout cas irrationnels et différents au niveau de l’acte de décision[7] et de nos réactions. L’humain serait donc à la fois le problème et la solution, tandis que les technologies et les moyens techniques contribuant à la sécurité ont tendance à se multiplier mais aussi à se diversifier en introduisant davantage de complexité et d’exigences, en étendue comme en niveau de compétences, alors qu’en même temps les utilisateurs et leurs dirigeants sont assaillis d’informations de toutes parts. L’ensemble de ces éléments est prompt à aboutir à des conclusions faussées au vu de contextes variés et de situations d’urgence, capables de fausser la prise de décision et de permettre la réalisation de cybermenaces. Ce contexte rend favorable l’usage de la ruse et de la manipulation.
De la ruse au phishing
La ruse est ici représentée par un procédé ingénieux employé pour abuser une ou plusieurs victimes en les amenant à exécuter des actions impropres à la sécurité.
Le « phishing » ou hameçonnage est une technique très souvent utilisée dont l’objectif est de compromettre un système ou de collecter frauduleusement des données personnelles sur l’Internet, par une usurpation d’identité adaptée au support numérique. La victime est invitée à cliquer sur un lien frauduleux ou une pièce jointe, en laissant supposer une origine digne de confiance : établissement ou personne, par un argumentaire incitant à réagir (ex. courriel alarmiste ou prétexte à un remboursement en faveur du destinataire), pour délivrer un code malveillant (ex. cheval de Troie), afin de permettre par après des cyberattaques plus avancées (ex. extorsion, espionnage), sinon pour inciter à saisir des informations confidentielles, très souvent financières, au vu d’un faux formulaire (ex. n° de carte bancaire et datagramme) pour un usage frauduleux et commettre diverses escroqueries.
Alors que le « phishing » traditionnel se fonde sur l’envoi d’un message générique à un grand nombre de destinataires, le « spear phishing », vise au contraire un nombre limité et ciblé de destinataires au travers d’un message personnalisé susceptible d’être encore plus convaincant. Celui-ci sera construit après collecte d’un maximum d’informations, via les réseaux sociaux et diverses sources publiques ou privées préalablement compromises par des cyberattaques. Par ailleurs, le « in-session phishing » est une autre variante qui consiste à obtenir des informations confidentielles durant l’utilisation d’un site de confiance sécurisé, au travers d’une fenêtre pop-up secondaire non sollicitée par l’internaute, le plus souvent en l’invitant à se réinscrire en fournissant son identifiant et son mot de passe.
Cette technique est une forme de manipulation instinctive.
De la manipulation mentale à l’ingénierie sociale
La manipulation mentale est une méthode de conditionnement vue comme une violence masquée destinée à rompre une résistance par contrainte psychique ou à réduire la liberté du manipulé sans dévoiler le but, au contraire de l’argumentation, et en dépassant la force de la simple suggestion. Selon Ph. Breton (2000), elle consiste à entrer dans l’esprit d’une personne par effraction pour provoquer un comportement attendu à l’insu de cette dernière[8]. Les méthodes utilisées faussent la perception de la réalité de l’interlocuteur victime en usant d’un rapport de séduction, de persuasion, de soumission, etc. Pour M.-L. Cuzacq (2011), la manipulation se joue des rapports sociaux, des sentiments, des émotions, etc., qui font de nous des êtres humains.
La manipulation tire profit des comportements dans les rapports sociaux et l’engagement, qui poussent le manipulateur à orienter les choix et les actions de la personne manipulée tout en lui laissant l’illusion de libre arbitre, en lui laissant penser que faute de quoi, elle risque de se retrouver en situation périlleuse. Il s’agit évidemment d’une soumission librement consentie et l’infraction sera caractérisée par la réalité du préjudice subi par la victime[9]. Au premier niveau, elle consiste en une supercherie ou une mise en scène, très souvent associée à l’ingénierie sociale. Il est fait appel à des leviers psychologiques[10], pour contraindre ou intimider la victime en situation de faiblesse, ou au contraire, flatter son ego en jouant sur son orgueil, en comprenant ses doléances, ou encore, miser sur son avidité ou son ambition.
L’ingénierie sociale, pour social engineering, ou ingénierie psycho-relationnelle, est un processus de manipulation cherchant à soutirer des renseignements à une personne ou un groupe à son insu et de façon déloyale, le plus souvent dans le but d’utiliser cette information sensible à des fins malveillantes[11]. C’est une pratique perfide qui consiste à exploiter les failles humaines. Pour cela, l’attaquant abuse de la confiance, de l’ignorance ou de la crédulité des personnes ciblées. C’est dans le but précis de compromettre la sécurité des systèmes d’information que K. D. Mitnick (2002) a développé l’art de la supercherie fondée sur les failles humaines comme effet de levier.
L’ingénierie sociale inverse, pour reverse social engineering, constitue une variante unique d’ingénierie sociale où la victime va inconsciemment livrer les informations alors qu’elle est en situation de dépendance et a besoin d’aide, notamment pour résoudre un problème réel, ou supposé comme tel, lequel a pu lui-même être provoqué, voire suggéré par l’attaquant.
Les systèmes de pensée et leur contrôle
Sans nier la complexité de l’intelligence humaine, tout en s’intéressant aux erreurs et à ce qui guide les décisions, D. Kahneman (2012)[12], a développé une théorie selon laquelle nous obéissons à deux modes distincts de pensée dénommés « système 1 » et « système 2 », attachés à des propriétés antinomiques. Le système 1 est rapide, intuitif et émotionnel, tandis qu’au contraire, le système 2 est lent, réfléchi et logique.
Fonctionnement comparé
Le système 1 fonctionne automatiquement et s’avère peu fiable au raisonnement. Il se réfère à des associations d’idées pour produire un aperçu rapide d’un problème ou d’une situation. Il reconnaît instantanément des modèles de situation permettant de produire automatiquement des solutions dans l’urgence, mais conduit aussi à des pratiques répétitives qui peuvent être inappropriées, perturbées par des stéréotypes. Sans inhibition, il est susceptible de provoquer des erreurs intuitives. Le système 2 fonctionne à la demande. Il est utilisé pour les activités mentalement contraignantes en se basant sur le raisonnement. Il monopolise l’attention et exige de façon constante un effort de concentration : quand l’effort s’arrête, le raisonnement est interrompu. Bien que ce dernier apparaisse plus rationnel, c’est pourtant le système 1 qui régit les décisions quand trop d’événements sont à analyser simultanément.
Tableau comparatif des propriétés essentielles des deux systèmes
Système 1 | Système 2 |
Rapide | Lent |
Automatique | A la demande |
Instinctif | Réfléchi |
Intuitif | Elaboré |
Emotionnel | Intellectuel |
Stéréotypé | Logique |
Inconscient | Conscient |
Sans effort | Effort |
D. Kahneman introduit également deux modalités particulières au système 1, l’une dite « experte » et l’autre « heuristique ». L’intuition experte est vue comme une capacité innée, automatiquement bâtie autour de points communs à des situations rencontrées. L’intuition heuristique relève d’une opération mentale rapide liée au résultat d’un apprentissage.
Avant cela, H. Simon (1955)[13] avait pu montrer l’intérêt de l’organisation dans le processus de décision, et que les procédures permettaient de faire face à l’incertitude, tandis que le fractionnement de la prise de décision entre plusieurs agents s’accorde à limiter le risque d’erreur. Par après, D. Guinier (1991)[14] s’est attaché à montrer l’ambiguïté dans l’organisation et l’erreur humaine, en tant que défaillance du raisonnement et distorsion entre la réalité et sa représentation, pour permettre la recherche de la fiabilité humaine. En 1995, il a pu montrer, par un modèle, le rôle joué par l’information et la connaissance en tant que préalables au processus de décision en environnement incertain[15]. A son tour, O. Houdé (2014) a montré que, pour mettre en œuvre la réflexion, il faudrait d’abord inhiber l’instinct et que cette capacité peut être entraînée. Pour lui, l’intelligence, c’est apprendre à résister pour faire face aux automatismes de la pensée. Il faudrait donc en déduire qu’un tel apprentissage pourrait résulter d’exercices, tandis que la sensibilisation usuelle resterait insuffisante[16].
Interaction et régulation
En temps normal, selon D. Kahneman (2011), la répartition des tâches entre les deux systèmes est efficace, car elle minimise les efforts et optimise la performance. Cependant, comme le système 1 fonctionne automatiquement, il ne peut être mis hors circuit et s’avère prompt à des erreurs de pensée intuitive. Il devrait au contraire être contrôlé de façon systématique mais, pour éviter un surcoût en énergie il faut trouver un compromis qui consiste à éviter les erreurs quand les enjeux sont importants. Ce serait le rôle d’un système 3 capable de débrancher le système 1 en cas de nécessité, au vu de mécanismes relevant de l’intuition. D’autres seraient affectés au basculement sur le système 2.
Ce système 3 fonctionnerait sur la base de processus conscients ou non lorsque la pensée doit répondre à une question. Dans le doute, il basculerait l’activité du système 1 sur le système 2 ou donnerait le contrôle à ce dernier, lequel pourrait choisir de prendre en charge lui-même l’action, ou de rebasculer sur le système 1 pour la poursuivre[17].
Les leviers d’influence psychologique et les biais cognitifs
D’un côté, les leviers d’influence sont des moyens de manipulation qui opèrent de façon automatique et constituent des bases pour élaborer un scénario d’attaque. De l’autre, les biais cognitifs sont des mécanismes de la pensée qui sont la cause de défauts de jugement, propres à une personne ou liés à sa manipulation.
Parmi les principaux leviers d’influence, on trouvera : le conditionnement, l’association, la dissonance, l’engagement, l’engrenage et la soumission.
Les leviers d’influence | |
Le conditionnement par répétition d’un stimulus |
Des éléments usuels répétés de façon quotidienne favoriseront l’action attendue mécanique. C’est le cas de l’ouverture d’un lien ou d’une pièce jointe au vu de courriels émanant d’entités supposées connues.
|
L’association fondée sur les convenances et le vécu |
Le statut, la présentation, le ton et termes employés faisant penser qu’il s’agit d’une autorité à laquelle on doit répondre favorablement, favorisera notamment l’envoi d’informations confidentielles.
|
La dissonance basée sur une contradiction |
La situation exceptionnelle présentée fait en sorte de mettre la victime en contradiction avec ce qui est en usage pour l’amener à ignorer les règles en vigueur.
|
L’engagement associé à l’initiative personnelle |
Les actions réalisées sans contrôle en laissant une marque personnelle donnent l’impression de liberté et d’appropriation du changement, et influent aussi sur les actions et les choix futurs.
|
L’engrenage précédé de l’amorçage |
L’amorçage relève d’une première requête, présentée sans ses inconvénients pour être acceptée, suivie d’une autre exigeant plus d’engagement qui aura alors plus de chance d’être acceptée après ce palier.
|
La soumission « librement » consentie |
Ce type de soumission est défini comme l’état donnant le sentiment à la victime qu’elle prend une décision alors qu’elle est consciente d’être influencée.
|
De plus, les sentiments positifs : sympathie, altruisme, gratitude, empathie, etc., invitent à rendre service et peuvent être assimilés à des leviers d’influence pour élaborer un scénario d’attaque. Ils seront particulièrement efficaces pour rendre une personne indécise facilement manipulable, notamment dans une situation inédite.
Parmi les principaux biais cognitifs, on trouvera : l’autorité, la sanction-récompense, l’effet de halo, l’habitude et la familiarité, la justification et la réciprocité.
Les biais cognitifs
|
|
L’autorité | La tendance est d’avoir confiance en l’autorité, qu’elle soit hiérarchique ou naturelle au vu de personnes compétentes et charismatiques, alors que la question de la légitimité n’est pas toujours posée et donc pas remise en doute.
|
La sanction-récompense | Le biais caractérise l’influence induite par l’aversion d’une perte au vu d’une menace de sanction ou, au contraire, par l’espérance d’un gain relativement à la promesse d’un avantage par une certaine connivence. La première est néanmoins plus puissante au vu de la forte appréhension des conséquences en cas de refus.
|
L’effet de halo | A partir d’un trait, positif ou négatif, d’une personne, les autres seront systématiquement considérés comme tels, ce qui peut accorder du crédit ou au contraire du discrédit. Le premier contact, sera fondamental pour créer l’illusion de la confiance ou de la compétence auprès de la victime.
|
L’habitude et la familiarité | Ce qui est familier ne suscite pas la méfiance, tout comme l’habitude face au danger ne crée pas de réflexe, ce qui permet la confiance dans la routine. Il est alors possible d’orienter la décision en référence à cette habitude ou à un choix familier.
|
La justification | Lors d’une prise de décision ambigüe, le choix s’oriente davantage vers la solution qui paraît la plus justifiable par le nombre d’arguments mais pas forcément la plus pertinente. Ainsi, le manipulateur fournira un maximum de raisons pour que sa victime puisse justifier son comportement a posteriori.
|
La réciprocité | Il se crée un sentiment de gratitude, lié à l’éducation et aux normes sociales, impliquant une obligeance en retour d’un service donné, ou d’une chose, favorisant ainsi la manipulation.
|
Enfin, les ressentis : urgence, rareté, etc., incitent à agir et peuvent être interprétés comme des biais cognitifs engendrant des défauts de jugement. Ils seront très efficaces pour rendre une personne manipulable, notamment en association avec un état visible apparent.
Les cyberattaques et leurs formes attendues
Le modèle générique proposé par D. Guinier (2015)[18], montre que les cyberattaques sont totalement représentables par un catalogue structuré par entités-attributs, selon quatre entités : « Origine », « Destination », « Opérations » et « Poursuites ». La dynamique relève d’un processus par étapes nourri de ces caractéristiques, prenant en compte toutes les options possibles et leur combinaison. A propos de la problématique humaine les trois premières entités sont les plus essentielles. Concernant l’origine d’une cyberattaque, les attributs sont les auteurs, les motifs, les compétences et les buts, tandis que pour la destination, ce sont les victimes, les cibles, les compétences, et les impacts (ex. perte financière suite à une fraude interne ou un faux ordre de virement international (FOVI), perte liée au cryptage des données par un rançongiciel). Enfin, pour les opérations, les attributs sont établis suivant une hiérarchie employée pour la dynamique. Ce sont les intentions, les objectifs, les méthodes, -et tout particulièrement la manipulation-, les techniques, -et notamment l’exploitation des vulnérabilités humaines : ingénierie sociale, « phishing », etc. –, les outils[19] et les vecteurs, tels que l’entrée physique ou l’accès logique, les sites Web, les messageries avec les « spams », les réseaux sociaux, les périphériques USB, la téléphonie usuelle : fixe ou mobile, ou sur IP.
Certaines attaques seront ciblées en rapport avec un intérêt particulier. D’autres non, elles seront massives et rapportant peu à la fois. Pour les premières, le choix définitif de la cible dépend de conditions favorables et de la qualité du recueil d’informations ouvertes : registres, sites Web, médias sur l’Internet, réseaux sociaux, etc., et complémentaires sur le dirigeant et ses collaborateurs.
Stratégie de manipulation appliquée aux cyberattaques
Côté manipulateur, il s’agit d’induire des idées sous-jacentes influencées dans la pensée de la victime. Le système 1, peu fiable au raisonnement, sera privilégié pour que, en utilisant des leviers d’influence, la victime traite les informations qui lui sont fournies pour conduire à la conclusion rapide voulue par ce premier. Dans le même temps, le système 2 pouvant constituer une menace, les éléments de décision qu’il produit et qui sont impropres au succès de la manipulation devront être écartés, tandis que les autres seront renforcés, de façon à ce que son rôle tende à valider les conclusions du système 1.
L’attaquant devra être attentif à la phase de préparation. Elle ne doit pas être brutale pour ne pas éveiller l’attention. Il s’agit en particulier de l’étape de renseignements pour collecter les informations utiles en utilisant des sources publiques et privées et l’ingénierie sociale. Pour disposer des leviers adaptés d’une part, à la personne ciblée, et d’autre part, à la situation et à l’objectif, il procédera à plusieurs demandes anodines sans trop d’insistance, et cherchera à connaître la réaction et à estimer la capacité de coopération, évitant ainsi de générer du stress et de la méfiance. Après obtention des actions influencées dans la phase d’exploitation, la phase de clôture ne devra pas non plus être trop brutale pour dissiper l’effet de récence[20] lié à la facilité à se rappeler les derniers éléments. En tout état de cause, le manipulateur devra chercher à minimiser l’effet du système 2 plutôt que d’instiller trop d’idées dans la pensée de la victime relevant du système 1, afin d’éviter d’activer le système 2.
Côté victime, et en guise de corollaire, selon O. Houdé (2014), la résistance cognitive reviendrait à passer du système 1 au système 2. Ceci justifie l’existence du système 3, capable d’interrompre le système 1 et de laisser la décision finale au système 2.
En s’autorisant un clin d’œil, cette résistance devrait éviter à chacun de se retrouver en séance chez « Les cliqueurs anonymes »[21] pour y déclarer : « Bonjour, je m’appelle Benêt. Je savais que le clic n’est pas automatique, … et pourtant j’ai quand même cliqué sur la pièce jointe sans réfléchir ! » ou encore : « Je savais, … j’ai même hésité, mais finalement j’ai tout de même réalisé le virement demandé ! ».
Nous verrons, au travers de deux études de cas typiques, pourquoi ces choix inappropriés sont possibles malgré la sensibilisation, et comment ils pourraient être évités à l’avenir, en innovant et en s’appuyant sur le modèle de prise de décision précédemment exposé.
2ème partie – Cas concrets, innovation attendue et conclusion
Etude d’un cas de « phishing » associé à un rançongiciel
Le « phishing » ou le « spear phishing »[22] est employé pour compromettre un système en incitant à ouvrir un lien ou une pièce jointe pour introduire un code malveillant. Les rançongiciels[23] utilisent cette technique pour ensuite extorquer[24] une rançon en échange d’une clé ou d’un outil, laissant espérer à la victime la récupération des données ou du système dans leur état initial, mais sans aucune garantie.
Dans ce cas, la victime est une PME d’une centaine d’employés, comme il en existe beaucoup en France, où la sécurité n’est pas intégrée dans la gestion globale. La sécurité des données, et en particulier celle des sauvegardes, est incertaine. Si ces dernières sont bien sous contrôle de l’administrateur concernant les serveurs de façon automatique, en revanche, elles sont laissées à la discrétion des utilisateurs concernant les postes de travail, les microordinateurs portables et autres outils mobiles, alors qu’ils contiennent des données sensibles et vitales. De plus, les copies sont réalisées sur des périphériques USB qui restent très souvent connectés. Elles sont ainsi rendues incomplètes et incertaines, hors d’un plan ad hoc. Au contraire, elles devraient être planifiées et répertoriées, leur intégrité formellement vérifiée et la sécurité maintenue en tout temps dans un lieu suffisamment distant, pour prétendre à une restitution complète des données en cas de nécessité, notamment après un sinistre.
De retour des vacances d’été de 2016, le service de la comptabilité de l’entreprise constate des anomalies et des pertes de données. Ce constat est associé à l’ouverture d’un fichier supposé correspondre à une facture envoyée en pièce jointe dans un courriel émis par un soi-disant fournisseur. Il est confirmé qu’elle est victime du rançongiciel CryptoWall 4.0 associée à une demande pressante de rançon de 700 dollars payable en Bitcoins[25], pour obtenir la clé de décryptage en espérant retrouver les informations initiales. N’ayant aucune possibilité de récupérer d’une façon ou d’une autre des données importantes résidant en particulier hors des serveurs, elle est face au dilemme suivant : payer la somme exigée dans les délais en espérant les restituer sous forme non cryptée, mais sans certitude, et de surcroît, en participant à la fortune des cybercriminels[26], ou ne pas la payer et se passer définitivement de ces données.
Les leviers d’influence auxquels il est fait recours sont le conditionnement par répétition d’un stimulus, du fait de la réception quotidienne de courriels émanant de fournisseurs, l’association fondée sur la présentation usuelle de tels messages avec une pièce jointe, favorisant ainsi l’ouverture de façon instinctive, et par après, la soumission « librement » consentie pour payer la somme exigée pour la rançon. Le biais cognitif utilisé est l’habitude et la familiarité, ce qui ne suscite pas la méfiance dans la routine en conditions favorables. Il s’ajoute un ressenti de débordement lors d’un retour de vacances où des centaines de courriels se présentent à l’employé en charge des factures. Ceci a tendance à relâcher l’attention, tandis que la présence de nombreux fournisseurs favorise l’usurpation d’adresse et d’identité.
Prise de décision manipulée conduisant à une extorsion par rançongiciel
Pour réussir la manipulation, quelques leviers, un biais cognitif et un ressenti suffisent pour brider le système 2. Seul le système 1 reste actif pour prendre la décision de façon automatique, sans possibilité de débranchement par le système 3 ou de bascule vers le système 2 pour l’analyse. L’automatisme attaché au débordement renforcera ce bridage.
Il s’agit pour la manipulation de maintenir le contexte non favorable à la concentration, en jouant sur l’absence de temps pour éviter l’évaluation et la prise pour la réflexion. Pour le manipulateur, le courriel envoyé à l’adresse de messagerie du bon service, et le contenu courant présentant le logo du fournisseur sans comporter de faute, sont des arguments marquants pour favoriser la manipulation et obtenir l’ouverture de la pièce jointe.
Pour éviter la manipulation, il est indispensable d’inhiber l’automatisme du système 1 par un débranchement contrôlé par le système 3, en remplaçant le réflexe d’action immédiate par le doute, ce qui ne peut être acquis que par des exercices répétés et variés, alors que la sensibilisation classique ne suffit pas.
Etude d’un cas d’escroquerie au faux ordre de virement
L’escroquerie[27] au faux ordre de virement international (FOVI) est une menace subtile pesant sur toute entreprise, quelle que soit sa taille ou son secteur d’activité. En utilisant la manipulation et l’usurpation d’identité, elle consiste, selon plusieurs variantes, à inciter la victime à fournir des références bancaires dans le but de permettre un virement ou d’opérer directement celui-ci sur un compte tiers, souvent à l’étranger.
Dans ce cas, la victime est une société dynamique dont les activités sont présentées sur son site Web, lequel comporte une rubrique intitulée : Qui nous sommes, et différents contacts. L’entreprise se fournit à l’étranger pour la réalisation de circuits électroniques spécifiques. Le directeur technique, en visite auprès de fournisseurs potentiels, se connecte par le point d’accès WiFi de son hôtel pour la navigation sur Internet et sa messagerie sécurisée ; la messagerie étant préférée à la téléphonie. Il ignore que la connexion est détournée par l’intermédiaire d’une borne WiFi rogue AP[28] et que son microordinateur a été compromis, laissant toute latitude d’actions à l’attaquant.
L’attaquant dispose de détails suffisants pour demander au bon interlocuteur et dans des termes adaptés, l’envoi d’un acompte important sur un compte indiqué pour la fabrication d’un grand nombre de circuits dont il dit qu’il a pu vérifier la qualité à partir d’échantillons avec l’ingénieur qui l’accompagne dont il précise le prénom. Il est ajouté que le fournisseur dispose aujourd’hui d’une fenêtre de temps pour la mise en production de 12 000 pièces et qu’une livraison anticipée, permettrait de procurer un avantage certain. Il mentionne que la banque en question procédera à un appel téléphonique de confirmation « par sécurité ». Celui-ci sera réalisé en usurpant le numéro de téléphone de cette dernière[29]. Un second courriel de l’attaquant précisant cet appel est envoyé par l’attaquant en soulignant l’urgence et le fait de la négociation au plus juste, en jouant sur l’horaire des communications par rapport au décalage, pour être cohérent et rendre la vérification difficile.
Les leviers d’influence auxquels il est fait recours sont l’association, au vu des détails et des termes employés laissant penser qu’il s’agit du directeur technique auquel il est possible de répondre favorablement, et la dissonance qui est provoquée par la situation exceptionnelle présentée, amenant à ignorer certaines règles pour le transfert de fonds. A ceci s’ajoute un sentiment d’empathie traduisant une certaine compréhension en se mettant à la place de ce responsable dans une situation qui oblige à un premier acompte ou à perdre un avantage. Les biais cognitifs utilisés sont l’autorité d’un responsable compétant légitime, l’habitude du moyen de communication par messagerie sécurisée associée à la familiarité des termes employés, et la justification du choix qui s’oriente davantage vers la solution qui paraît la plus justifiable a posteriori sur la base du rapport entre le montant de l’acompte et l’enjeu qui est présenté plus important au vu de la perte d’un avantage concurrentiel.
Prise de décision manipulée conduisant à une escroquerie par FOVI
Pour réussir la manipulation, quelques leviers, avec un sentiment positif, et autres biais cognitifs suffisent pour brider le système 2. Seul le système 1 reste actif pour prendre la décision de façon automatique, sans possibilité de débranchement par le système 3 ou de bascule vers le système 2 pour l’analyse. Les idées qui se dégagent du bénéfice pressenti pour l’opération, de l’opportunité d’une situation qui ne pourra pas se représenter avant des mois sans une décision positive rapide, et de la faiblesse du risque au regard de l’enjeu, renforceront ce bridage.
Il s’agit pour la manipulation de maintenir le contexte non favorable à la concentration, en jouant sur l’absence de temps pour éviter l’évaluation et la prise pour la réflexion. Pour le manipulateur, la somme importante en jeu est un argument à neutraliser. Au contraire, la demande cohérente avec l’objet du déplacement de ce directeur et d’un ingénieur à l’étranger, les éléments de communication normaux, ainsi que la confirmation par l’appel localisé de la banque indiquée, sont des arguments à souligner pour favoriser la manipulation et obtenir le virement de l’acompte.
Pour éviter la manipulation, il est indispensable de développer la résistance cognitive aux automatismes du système 1 pour permettre le contrôle par le système 3, ce qui pourrait être acquis par des exercices répétés et variés, alors que la sensibilisation classique ne suffit pas.
Réponse innovante attendue pour la sensibilisation
Si la sensibilisation menée depuis les années 90 sous diverses formes usuelles : conférences, tables rondes, vidéos, guides, plaquettes, etc., s’adresse à des êtres humains, elle en oublie encore profondément « la part de l’homme ». C’est pourtant un enjeu considérable, puisqu’elle est le point d’entrée de la cybersécurité. Sans cela, il ne peut y avoir de réceptivité, et donc, d’implication jusqu’au niveau des métiers sans n’en soustraire aucun.
Nous avions alerté le lecteur sur ce point en 1991 : « Aucune méthode ne prend réellement en compte ce facteur humain[30] qui intervient cependant, directement ou indirectement, pour près de 80% de pertes. Aussi, faudra-t-il imaginer, bâtir et développer d’autres méthodes. Ceci s’inscrit bien, dans l’esprit de la systémique » … « D’autres méthodes viendront s’associer ou compléter celles qui existent ou plutôt, celles qui manquent déjà ».
Après plus de 25 ans, n’aurions-nous fait aucun progrès malgré les efforts ? Pas vraiment, puisqu’aujourd’hui encore, ce pourcentage reste identique : « 80% des incidents de sécurité sont liés au facteur humain »[31].
L’utilisateur se sent aujourd’hui dépassé jusqu’au niveau de son usage personnel, avec les réseaux sociaux, les achats sur l’Internet, etc. Cette tendance qui le rend demandeur en termes de sécurité devrait favoriser son adhésion. Cependant, mettre l’utilisateur en position d’acteur de son apprentissage n’est pas si simple. Du fait du caractère facultatif, la participation de tous n’est pas acquise et les exercices seront de moins en moins suivis. En revanche, si la sensibilisation est considérée comme de la formation et valorisée comme telle, la transmission devient alors efficace. Les cyberattaques et manipulations subies donnent de la consistance à la démarche à inscrire dans le temps, en tenant compte des nouveaux arrivants, des changements de fonctions, etc., et de l’évolution des besoins et des usages, face aux menaces émergentes.
Cependant, les attitudes sont diverses face au changement et l’impact des campagnes de sensibilisation usuelles est insuffisant. En général, selon les statistiques du National Training Laboratories, au vu de la pyramide d’apprentissage, il n’est retenu que 10% d’une intervention, 20% d’un film ou d’une vidéo et 30% d’une démonstration, donc peu malgré l’effort, alors que le socle de la pyramide est représenté par le travail en groupe avec 50%, et bien plus encore par la pratique, avec 75%, et jusqu’à 90% après l’implication dans un fait marquant. Toutefois, la prise de conscience ne change pas les comportements, contrairement à l’expérience relevant des incidents, c’est la raison pour laquelle il est nécessaire d’innover en privilégiant des exercices au plus près de la réalité, alors que l’oubli se manifeste à court terme par effet de récence. De plus, le jugement porté lors de séances de sensibilisation : conférences, tables rondes, démonstrations, etc., reflète le niveau d’intérêt ou de satisfaction de l’auditoire, à qui il est demandé son appréciation et ses souhaits, et absolument pas l’efficience de la session pour assurer un changement de comportement.
Il faut donc innover face à la manipulation en prenant en compte que la sensibilisation classique sous ses différentes formes restera toujours insuffisante si elle ne participe pas à la construction de la résistance aux automatismes de la pensée, afin d’inhiber l’instinct et être alors en mesure de déjouer la manipulation. D’un côté, il s’agit de développer des plans de sensibilisation qui intègrent des exercices proactifs impromptus répétés et variés dans la forme, le support, la période, etc., au plus proche de la réalité, où les utilisateurs prendront tour à tour la place de la victime, pour subir ou réagir, et celle de l’attaquant-manipulateur, pour bâtir et exécuter divers scénarii. De l’autre, il convient de valider les actions menées dans le temps en termes de participation et de résultats de cet apprentissage par des métriques appropriées pour permettre d’éventuelles améliorations.
Conclusion
Les erreurs de pensée intuitive sont visiblement à la base de la majorité des cyberattaques qui utilisent la manipulation et l’ingénierie sociale. Malgré les incitations depuis plusieurs décennies à s’intéresser davantage à « la part de l’homme », il subsiste encore des croyances dans l’illusion technologique, alors qu’en majorité les causes sont avant tout humaines et leur correction, inadaptée aux seules mesures techniques.
Si nous sommes manipulés, c’est qu’en premier lieu nous sommes la victime recherchée par l’attaquant pour pouvoir atteindre sa cible, selon son but et ses motifs, conformément aux caractéristiques et à la dynamique issues du modèle générique de cyberattaques.
Si nous sommes manipulables, c’est que nous sommes programmés pour cela, par notre éducation et les normes sociales, et que nous obéissons aux automatismes d’un système de pensée rapide pour produire des solutions immédiates. Celui-ci s’avère peu fiable, du fait de défauts de l’intuition, et donc favorable à la manipulation. Nous disposons néanmoins d’un système rationnel fondé sur le raisonnement, mais plus exigeant en énergie et en effort de concentration. C’est pourtant le premier qui régit nos décisions avec rapidité, pour une apparente efficacité alors que l’efficience exigerait au contraire le recours au second. Il a été montré que, du fait de son fonctionnement automatique, il ne peut être mis hors circuit de lui-même, ce qui impose son inhibition et l’existence d’un système régulateur.
En conséquence, la sensibilisation classique dans ses formes usuelles : conférences, tables rondes, vidéos, guides, plaquettes, etc., restera insuffisante tant qu’elle ne participe pas la construction de la résistance aux automatismes de la pensée pour inhiber l’instinct, et en conséquence, être en mesure de déjouer les manipulations.
Il s’agit de développer des plans de sensibilisation innovants qui intègrent des exercices proactifs impromptus, répétés et variés dans la forme, le support, la période, etc., au plus proche de la réalité où les utilisateurs prendront tour à tour la place de la victime, pour subir ou réagir, et celle de l’attaquant-manipulateur, pour bâtir et exécuter divers scénarii.
Il s’agit aussi de valider les actions menées dans le temps, en termes de participation et de résultats de cet apprentissage par des métriques appropriées, en vue d’améliorations. Au-delà, une gestion des ressources humaines adaptée permettrait l’adhésion à une politique de sécurité interne prenant en compte toute « la part de l’homme » pour la transmission de la sécurité en adéquation avec les normes et les guides, et le respect des mesures humaines, organisationnelles, procédurales et techniques, dans une vision plus cohérente.
Bibliographie
Bennacef T. (2016) : Techniques de manipulation, MISC, n° 87, septembre/octobre, pp. 25-31
Breton Ph. (2000) : La Parole manipulée, Ed. La Découverte, 221 p.
von Clausewitz C. (1812) : Principes fondamentaux de stratégie militaire. Traduction de l’Allemand du texte intégral par G. Chamayou. Ed. Mille et une nuits, 94 p.
Cuzacq M.-L. (2011) : Les Manipulateurs : Les identifier, déjouer leurs pièges, Edigo, 161 p.
Freedman J. L., Fraser S. C. (1966) : Compliance without pressure. The foot-in-the-door technique. Journal of personality and social psychology, Vol. 4, n° 2, pp. 155-202
Gross D. (2013) : L’ingénierie sociale : le talon d’Achille de la cybersécurité. La Revue du GRASCO, juillet, n°6, pp. 23-28
Guinier D. (1991) : Sécurité et qualité des SI – Approche systémique – « La part de l’homme », Ed. Masson, 311 p.
Guinier D. (1995a) : Catastrophe et management. Ed. Masson, 336 p.
Guinier D. (1995b) : Development of a specific criminology dedicated to information technologies – In relationship with computers, networks and information highways, 7th Ann. Canadian Information Technology Security Symposium, GoC/CST-CSE, Ottawa, 16-19 mai 5, pp. 21-45
Guinier D. (2015) : Cyberattaques : Caractéristiques et dynamique. Expertises, n° 407, Novembre, pp. 386-392.
Houdé O. (2014) : Apprendre à résister. Ed. Le pommier, coll. Manifestes, 84 p.
Kahneman D. (2012) : Système 1 / Système 2 : Les deux vitesses de la pensée, Flammarion, Essais, 545 p.
March J.G., Olsen J.P. (1974) : Ambiguity and choice in organisations. Universitetforgaget, 2ème édition, 408 p.
Mitnick K. (2002) : The Art of Deception – Controlling the Human Element of Security. Ed. C. Long, 353 p.
Kervern G.-Y. (1995) : Éléments fondamentaux des cindyniques, Economica, 110 p.
Shafir E. et al. (1993) : Reason-based choice. Cognition, 49, Elsevier Science, pp. 11-36
Simon H. (1955) : A behavioral model of rational choice. Quaterly Journal of Economics, 69, pp. 99-118
Tversky A., Kahneman D. (1974) : Judgment uncertainty : Heuristics and biaises. Science, New Series, AAAS, vol. 185, n° 4157, 27 sept., pp. 1124-1131
Sun Tzu (5ème siècle avant J.-C.) : L’art de la guerre. Traduction du Chinois du texte intégral par le père Amiot, Ed. Mille et une nuits, 128 p.
[1] Voir A. Tversky et D. Kahneman (1974).
[2] Qualifiés de déficits cyndinogènes systémiques, en rapport aux dangers étudiés ; voir G.-Y. Kervern (1995).
[3] Partie du titre du livre paru en 1991 : Sécurité et qualité des SI – Approche systémique ; « La part de l’homme ».
[4] Voir C. von Clausewitz (1812) sur les principes de stratégie militaire et notamment la dimension psychologique du conflit et l’emploi de la ruse.
[5] Voir Sun Tzu, « L’art de la guerre », avec notamment les tromperies, le renseignement, et la topologie pour le choix des cibles.
[6] Voir D. Guinier (1995b) sur le développement d’une criminologie spécifique aux technologies de l’information.
[7] Voir D. Guinier (1995a) pour les mécanismes du cerveau humain du pilotage à l’acte de décision, pp. 52-59.
[8] Voir Ph. Breton (2000), p. 26.
[9] En France, la manipulation se retrouvera dans l’abus frauduleux d’état de faiblesse existant (Art. 313-4 du CP).
[10] VICE, pour Vénal, Idéologie, Compromission, Ego.
[11] Voir D. Gross (2013), pour les approches juridiques et l’analyse de la réponse pénale face aux cyberattaques fondées sur des stratégies d ́ingénierie sociale.
[12] Voir D. Kahneman (2012), prix Nobel d’économie en 2002, pour la synthèse de ses recherches sur la pensée, repris par Bennacef T. (2016).
[13] Voir H. Simon (1955), prix Nobel d’économie en 1978, pour la rationalité limitée dans la prise de décision.
[14] Voir D. Guinier (1991), pp. 35-55.
[15] Voir D. Guinier (1995a), pp. 51-63.
[16] Ce qui est aussi conforme à la pyramide d’apprentissage du National Training Laboratories (Bethel), au vu des statistiques : on retient 75% de ce qui est pratiqué par soi-même et seulement 10% des propos d’une conférence.
[17] Voir V. Gignoux-Ezratty (2016), sur l’utilité et les limites d’un modèle de raisonnement basé sur des systèmes.
[18] Voir D. Guinier (2015), Expertises, n° 407, nov., pp. 386-392.
[19] Ex. Code malveillant : virus, cheval de Troie, bombe logique, injection SQL, capture : Wifi, Bluetooth, etc.
[20] L’effet de récence est la facilité de se rappeler dans l’immédiat essentiellement des premiers et derniers stimuli ou événements, du fait d’une mémoire à court terme. Le système 1 y sera donc plus sensible.
[21] « Les cliqueurs anonymes » serait ici une organisation d’entraide imaginée par l’auteur dont le but est d’aider les personnes reconnaissant leur problème d’automatisme en rapport avec l’Internet, en acceptant toute proposition de cliquer sur un lien ou d’ouvrir un fichier, lesquelles souhaitent s’en corriger. La démarche se fonde sur des séquences facultatives d’écoute où les membres ont à tour de rôle la liberté d’exposer leurs mésaventures et d’en discuter en cercle avec un modérateur, en termes sereins et constructifs, pour changer leur comportement.
[22] L’attaquant ne dispose pas forcément d’autres indications que l’adresse de messagerie pour envoyer un « spam » et procéder au « phishing » non ciblé, alors que d’autres renseignements seront nécessaires au « spear phishing » pour cibler une entreprise, voire un service ou une personne en particulier.
[23] Un rançongiciel, ou ransomware, est un logiciel malveillant comportant notamment un cheval de Troie destiné à crypter les données à l’insu de leur propriétaire : entreprise ou particulier, ou encore à bloquer l’accès au système. Selon le cas, les données sont alors inutilisables ou le système inaccessible, jusqu’à ce qu’une clé de décryptage ou un outil de débridage soit envoyé à la victime en échange du montant réclamé pour la rançon.
[24] En France, l’extorsion est un délit puni de sept ans d’emprisonnement et de 100 000 € d’amende aux termes de l’Art. 312-1 du code pénal.
[25] A l’époque des faits, le cours du Bitcoin était de l’ordre de 600 euros, contre 1 090 euros fin février 2017.
[26] En 2015, CryptoWall aurait rapporté 325 millions de dollars à ses auteurs (source : Cyber Threat Alliance).
[27] En France, l’escroquerie est un délit puni de 5 ans d’emprisonnement et de 375 000 € d’amende, aux termes de l’Art. 313-1 du code pénal.
[28] Avec le nomadisme on constate la généralisation de points d’accès WiFi dans divers lieux : aéroports, hôtels, entreprise d’accueil, etc., privilégiant la facilité de connexion au détriment de la sécurité et de la conformité. L’interposition volontaire d’une borne WiFi « escroc », dénommée rogue AP, peut permettre de compromettre les systèmes : smartphone, tablette, ou microordinateur, des utilisateurs qui s’y connectent : redirection vers un serveur substitut local pour récupérer ou modifier le trafic, introduction d’un cheval de Troie, etc., notamment pour récupérer des données confidentielles (ex. mot de passe), sans que pratiquement il soit possible de faire la distinction entre ce rogue AP et le point d’accès légitime.
[29] En louant un numéro local proche de celui d’un client, d’un fournisseur, ou d’un lieu de déplacement, y compris à l’étranger (ex. Sonetel), ou mieux, en choisissant un numéro précis en louant des services d’usurpation au travers d’une plateforme Web sur l’Internet : SpoofCar, CrazyCall, BluffmyCall, CallerIDFaker ou SpoofTel ; certaines offrant la possibilité de modifier les caractéristiques de la voix, pour la rendre plus grave ou aigüe.
[30] Voir D. Guinier (1991), p. 176, sur le fameux facteur humain ! … et le théâtre au service de la sensibilisation.
[31] Ce même pourcentage est repris en janvier 2017 par J.-F. Escolier, Dir. général de Getzem Secure, présent au FIC, lors d’une interview par Global Security Mag, dans laquelle il précise également que « …la sensibilisation des personnels à la protection de l’information est donc une priorité pour toutes les entreprises ».
Daniel GUINIER
Docteur ès Sciences
Certifications CISSP, ISSMP, ISSAP en sécurité des SI et MBCI en continuité et gestion des crises
Expert en cybercriminalité et crimes financiers près la Cour Pénale Internationale de La Haye
[1] Voir A. Tversky et D. Kahneman (1974).
[2] Qualifiés de déficits cyndinogènes systémiques, en rapport aux dangers étudiés ; voir G.-Y. Kervern (1995).
[3] Partie du titre du livre paru en 1991 : Sécurité et qualité des SI – Approche systémique ; « La part de l’homme ».
[4] Voir C. von Clausewitz (1812) sur les principes de stratégie militaire et notamment la dimension psychologique du conflit et l’emploi de la ruse.
[5] Voir Sun Tzu, « L’art de la guerre », avec notamment les tromperies, le renseignement, et la topologie pour le choix des cibles.
[6] Voir D. Guinier (1995b) sur le développement d’une criminologie spécifique aux technologies de l’information.
[7] Voir D. Guinier (1995a) pour les mécanismes du cerveau humain du pilotage à l’acte de décision, pp. 52-59.
[8] Voir Ph. Breton (2000), p. 26.
[9] En France, la manipulation se retrouvera dans l’abus frauduleux d’état de faiblesse existant (Art. 313-4 du CP).
[10] VICE, pour Vénal, Idéologie, Compromission, Ego.
[11] Voir D. Gross (2013), pour les approches juridiques et l’analyse de la réponse pénale face aux cyberattaques fondées sur des stratégies d ́ingénierie sociale.
[12] Voir D. Kahneman (2012), prix Nobel d’économie en 2002, pour la synthèse de ses recherches sur la pensée, repris par Bennacef T. (2016).
[13] Voir H. Simon (1955), prix Nobel d’économie en 1978, pour la rationalité limitée dans la prise de décision.
[14] Voir D. Guinier (1991), pp. 35-55.
[15] Voir D. Guinier (1995a), pp. 51-63.
[16] Ce qui est aussi conforme à la pyramide d’apprentissage du National Training Laboratories (Bethel), au vu des statistiques : on retient 75% de ce qui est pratiqué par soi-même et seulement 10% des propos d’une conférence.
[17] Voir V. Gignoux-Ezratty (2016), sur l’utilité et les limites d’un modèle de raisonnement basé sur des systèmes.
[18] Voir D. Guinier (2015), Expertises, n° 407, nov., pp. 386-392.
[19] Ex. Code malveillant : virus, cheval de Troie, bombe logique, injection SQL, capture : Wifi, Bluetooth, etc.
[20] L’effet de récence est la facilité de se rappeler dans l’immédiat essentiellement des premiers et derniers stimuli ou événements, du fait d’une mémoire à court terme. Le système 1 y sera donc plus sensible.
[21] « Les cliqueurs anonymes » serait ici une organisation d’entraide imaginée par l’auteur dont le but est d’aider les personnes reconnaissant leur problème d’automatisme en rapport avec l’Internet, en acceptant toute proposition de cliquer sur un lien ou d’ouvrir un fichier, lesquelles souhaitent s’en corriger. La démarche se fonde sur des séquences facultatives d’écoute où les membres ont à tour de rôle la liberté d’exposer leurs mésaventures et d’en discuter en cercle avec un modérateur, en termes sereins et constructifs, pour changer leur comportement.
[22] L’attaquant ne dispose pas forcément d’autres indications que l’adresse de messagerie pour envoyer un « spam » et procéder au « phishing » non ciblé, alors que d’autres renseignements seront nécessaires au « spear phishing » pour cibler une entreprise, voire un service ou une personne en particulier.
[23] Un rançongiciel, ou ransomware, est un logiciel malveillant comportant notamment un cheval de Troie destiné à crypter les données à l’insu de leur propriétaire : entreprise ou particulier, ou encore à bloquer l’accès au système. Selon le cas, les données sont alors inutilisables ou le système inaccessible, jusqu’à ce qu’une clé de décryptage ou un outil de débridage soit envoyé à la victime en échange du montant réclamé pour la rançon.
[24] En France, l’extorsion est un délit puni de sept ans d’emprisonnement et de 100 000 € d’amende aux termes de l’Art. 312-1 du code pénal.
[25] A l’époque des faits, le cours du Bitcoin était de l’ordre de 600 euros, contre 1 090 euros fin février 2017.
[26] En 2015, CryptoWall aurait rapporté 325 millions de dollars à ses auteurs (source : Cyber Threat Alliance).
[27] En France, l’escroquerie est un délit puni de 5 ans d’emprisonnement et de 375 000 € d’amende, aux termes de l’Art. 313-1 du code pénal.
[28] Avec le nomadisme on constate la généralisation de points d’accès WiFi dans divers lieux : aéroports, hôtels, entreprise d’accueil, etc., privilégiant la facilité de connexion au détriment de la sécurité et de la conformité. L’interposition volontaire d’une borne WiFi « escroc », dénommée rogue AP, peut permettre de compromettre les systèmes : smartphone, tablette, ou microordinateur, des utilisateurs qui s’y connectent : redirection vers un serveur substitut local pour récupérer ou modifier le trafic, introduction d’un cheval de Troie, etc., notamment pour récupérer des données confidentielles (ex. mot de passe), sans que pratiquement il soit possible de faire la distinction entre ce rogue AP et le point d’accès légitime.
[29] En louant un numéro local proche de celui d’un client, d’un fournisseur, ou d’un lieu de déplacement, y compris à l’étranger (ex. Sonetel), ou mieux, en choisissant un numéro précis en louant des services d’usurpation au travers d’une plateforme Web sur l’Internet : SpoofCar, CrazyCall, BluffmyCall, CallerIDFaker ou SpoofTel ; certaines offrant la possibilité de modifier les caractéristiques de la voix, pour la rendre plus grave ou aigüe.
[30] Voir D. Guinier (1991), p. 176, sur le fameux facteur humain ! … et le théâtre au service de la sensibilisation.
[31] Ce même pourcentage est repris en janvier 2017 par J.-F. Escolier, Dir. général de Getzem Secure, présent au FIC, lors d’une interview par Global Security Mag, dans laquelle il précise également que « …la sensibilisation des personnels à la protection de l’information est donc une priorité pour toutes les entreprises ».