Académie d’Alsace des Sciences, Lettres et Arts
    Académie d’Alsace   des Sciences, Lettres et Arts  

Face aux cybermenaces

Limiter le risque de nos automatismes de pensée

 

 

DANIEL GUINIER
Expert de justice honoraire, ancien expert devant la Cour pénale Internationale de La Haye,
chargé d'enseignement universitaire et conférencier

 

 

« Il ne faut pas se méconnaître, nous sommes automate autant qu’esprit... »
Pascal, Pensées, 1670

 


Le monde techno-scientifique est une nouvelle fois invité à un décloisonnement. La difficulté réside souvent dans l'incompréhension mutuelle de disciplines différentes qui ont tendance à s'ignorer ou ne pas parler le même langage. La rencontre entre les technologies numériques et les sciences de l'Homme en est une illustration, pour enfin donner sa place à la sécurité humaine auprès de la sécurité opérationnelle. Cette idée est née d'un besoin de comprendre pourquoi des personnes, toutes dotées d'intelligence, sont amenées à réaliser, malgré elles, des actions automatiques et incongrues qui conduisent à des situations risquées. C'est une question essentielle à laquelle il est primordial de répondre pour être en mesure d'éviter bien des cyberattaques, alors que les présentations sémillantes de solutions ne manquent pas, mais sans toutefois se préoccuper des causes humaines déterminantes. Car, comme nous le rappelle Pascal dans ses Pensées en 1670, bien avant l'ère numérique, "il ne faut pas se méconnaître, nous sommes automate autant qu’esprit...".

Comme il a été montré par D. Guinier (2017), les erreurs de pensée intuitive sont à la base de la majorité des cyberattaques, lesquelles utilisent la manipulation et l'ingénierie sociale. Malgré les incitations depuis plusieurs décennies déjà à s'intéresser davantage à "la part de l'homme", il subsiste encore des croyances dans l'illusion technologique, alors qu'en majorité les causes sont avant tout humaines, et leur correction inadaptée au seul plan technique.

Si nous sommes manipulés, c'est que nous satisfaisons au profil recherché par l'attaquant correspondant à sa cible, selon son but et ses motifs, conformément aux caractéristiques et à la dynamique au vu du modèle général de représentation des cyberattaques développé par D. Guinier (2018). Si nous sommes manipulables, c'est que nous sommes programmés pour cela, par notre éducation et les normes sociales, et que nous obéissons aux automatismes d'un système de pensée rapide pour produire des solutions immédiates. Celui-ci s'avère peu fiable, du fait de défauts de l'intuition, et donc favorable à la manipulation. Nous disposons néanmoins d'un système rationnel fondé sur le raisonnement, mais plus exigeant en énergie et en effort de concentration. C'est pourtant le premier qui régit nos décisions avec rapidité, pour une apparente efficacité, alors que l'efficience exigerait au contraire le recours au second. Il a été montré que, du fait de son fonctionnement automatique, il ne peut être mis hors circuit de lui-même. Ceci impose son inhibition et l'existence d'un système régulateur, appuyés par un apprentissage, sujets que l'auteur se propose de développer en s'appuyant sur les résultats de travaux en psychologie cognitive et les processus mis en évidence par l'imagerie cérébrale.

 

Sur la nécessité d'inhiber les automatismes

 

Les actes automatiques ont souvent été considérés comme dépourvus d’intelligence, parfois même comme un trait d’animalité chez l’humain. En psychologie cognitive, le traitement automatique de l’information est généralement associé à l’absence de contrôle et à la rapidité d’exécution. J. H. Jackson (1880), -cité dans J. Leplat (2005)-, pensait alors à une dissociation automatique-volontaire, en émettant l'hypothèse que les automatismes font appel à des processus mieux organisés dans le système nerveux, alors qu'au contraire, les processus volontaires sont plus complexes, moins bien organisés et moins bien implantés, donc plus fragiles. A cet égard, l’absence de contrôle attentionnel, -autrement-dit, le manque de capacité à choisir ce à quoi une personne prête attention et ce qu'elle veut ignorer-, est une des propriétés principales des automatismes soulignée dans P. Perruchet (1988), comme justification de "la nécessité de déployer une activité inhibitrice pour mettre un terme au déroulement d’un processus ...".

Cette absence de contrôle attentionnel apparaît clairement quand l’automatisme se poursuit alors que ses conditions de validation ne sont plus remplies. (ex. L'utilisateur qui ouvre par habitude un lien qui pourrait s'avérer malveillant). La prise de conscience de l'action est déjà une première étape pour permettre d'inhiber ce type de comportement.

Même sans en avoir conscience, nous effectuons malgré tout des choix. Pour T. Boraud (2017), notre cerveau navigue pour décider. Avec l'imagerie cérébrale, il a été identifié des mécanismes de décision qui sont sollicités au travers de deux systèmes complémentaires en interaction. L'un, dénommé "acteur", effectue les choix et prend les décisions. Il se rapporte à plusieurs zones du cortex frontal et à d'autres, comme le striatum, dont l'influence respective varie selon le degré d'abstraction des choix, et en fonction de l'information sensorielle reçue. L'autre, dénommé "critique", intervient à deux niveaux. En amont, il évalue les différentes options possibles pour attribuer à chacune une valeur qu'il communique au système "acteur". En aval, il estime les conséquences de l'action décidée par le système "acteur" en comparant les effets escomptés et réels. Il siège au sein de la substance noire qui produit la dopamine, dont la quantité libérée dans le striatum renseigne le système "acteur". Le striatum est donc une zone importante dans la prise de décision qui reste malgré tout soumise à une part d’aléa et à des biais en cas d'information sensorielle erronée.

 

Sur l'utilité d'un apprentissage renouvelé

 

Lors de l'apprentissage, le système "acteur" est également sollicité. Il cherche à maximiser la somme pondérée des futurs effets, calculée à chaque palier par le système "critique". Ce dernier est en capacité de prédire l'effet (ex. récompense), à partir des entrées courantes et de l’activité du système "acteur", en comparant sa prédiction aux effets réels. Cet écart sera ensuite utilisé pour la mise à jour des poids des connexions du système "critique".

Après qu'en 1885 H. Ebbinghaus, -père de la psychologie expérimentale de l'apprentissage-, ait postulé que l’oubli suit une décroissance exponentielle dans le temps et qu'il dépend de l'encodage et de la profondeur des stimuli, G. R. Loftus (1985) a montré que l'oubli peut être ralenti si les faits ou éléments initiaux sont réappris. Par ailleurs, P. M. Auble et J. J. Franks (1978) ont établi que l’effort de compréhension facilite la mémorisation, et M. Carrier et H. Pashler (1992), que des exercices réguliers répartis dans le temps permettent de maximiser la performance à long terme. Pour N. J. Cepeda, et al. (2008), l'oubli apparaît de façon variable en fonction de l'intervalle de révision, tandis que les traces sont encodées par plusieurs mécanismes superposés, individuellement générateurs d'un oubli exponentiel, mais avec des coefficients de temps distincts. Ces auteurs indiquent que la répartition de l'apprentissage sur plusieurs périodes suffisamment espacées est en mesure d'augmenter la rétention en mémoire d'un facteur 2 à 3. Sans qu'il y ait d'intervalle optimal démontré, il est néanmoins vu qu'un délai de révision trop court est beaucoup moins favorable à la rétention que le contraire. Ceci implique plusieurs périodes alternées de révisions et de tests pour garantir une meilleure performance, comme l'ont montré S. H. K. Kang, et al. (2014).

Ainsi, pour être efficient, l'apprentissage, dont la sensibilisation n'est qu'un cas particulier, nécessite un renforcement par des actions et des révisions, validées et espacées dans le temps, avec une pédagogie adaptée invitant à la compréhension et fondées sur des actions marquantes, voire surprenantes, pour marquer les esprits.  

 

Conclusion et prospective

 

L'étude des mécanismes cognitifs impliqués dans la prise de décision et le comportement humain face aux cyberattaques souligne une dualité entre l'automatisme et la rationalité. Les erreurs de pensée intuitive, souvent à la base des cyberattaques, mettent en lumière la prédominance des aspects humains par rapport aux mesures techniques. La capacité d'être manipulé découle de notre propension à satisfaire les profils recherchés par les attaquants, révélant la programmation sociale et éducative qui façonne nos réactions automatiques.

L'absence de contrôle attentionnel dans les automatismes expose le besoin d'une prise de conscience pour inhiber des comportements potentiellement risqués. La découverte de mécanismes cérébraux offre des perspectives sur la manière dont les choix sont effectués et évalués. L'apprentissage, crucial pour renforcer ces mécanismes, nécessite une approche pédagogique adaptée et des actions marquantes pour garantir une rétention durable.

Si nous sommes à la fois des automates et des esprits, la clé réside dans la compréhension et la régulation de nos automatismes pour renforcer nos capacités de discernement. Face aux cyberattaques, il devient impératif de combiner des mesures techniques et autres avec une éducation continue et des pratiques d'apprentissage espacées dans le temps, afin de renforcer notre résilience face aux manipulations.

La sensibilisation est visiblement insuffisante sous ses formes usuelles : conférences, tables rondes, vidéos, guides, plaquettes, etc. Il s'agit maintenant de développer un programme innovant, plus interactif et immersif, centré sur l'inhibition des automatismes et l'amélioration de la pensée critique, tout ceci en s'appuyant sur les principes de psychologie cognitive et d'apprentissage continu. Il s'agit aussi de mesurer les résultats des actions menées, en vue d'apporter les améliorations nécessaires au vu des évolutions. A cet égard, la simulation de cyberattaques interactive est à même de mettre en évidence des erreurs de pensée intuitive en ayant recours à des outils d'analyse comportementale. Ceci devrait aider les utilisateurs à identifier leurs propres comportements automatiques, potentiellement risqués, et à prendre des décisions réfléchies. Une telle solution qui intègrerait des exercices proactifs, répétés et variés, au plus proche de la réalité, vise à transformer la sensibilisation en une expérience pratique et éducative. Elle est attendue en continue dans le cadre de la politique de sécurité et du développement de la culture des organismes. Elle sera d'autant plus engageante si elle est associée à des encouragements aux participants qui progressent, et à des avantages pour ceux qui adoptent une bonne hygiène en matière de cybersécurité.

 

Références

 

Auble, P. M., Franks, J. J. (1978) :  Effects of effort toward comprehension on recall. Memory and cognition, n°6, pp. 20‐25.


Boraud T. (2017) : Le cerveau entre raison et émotion. Matière à décider. Conférence de la Cité des Sciences et de l'Industrie, 28 février.


Carrier M., Pashler, H. (1992) : The influence of retrieval on retention. Memory and cognition, vol.20, n°6, pp. 633-642.


Cepeda, N. J., et al. (2008) : Spacing effects in learning : a temporal ridgeline of optimal retention. Psychological Science, vol.19, n°11, pp.1095–1102.


Ebbinghaus H. (1885) : La mémoire. Mémoire Recherches de Psychologie Experimentale. Traduction intégrale, Editions L'Harmattan, 2011, 204 p.


Guinier D. (2017) : Cyberattaques : de la ruse à la manipulation quand "la part de l'homme" reste le maillon faible. 1ère partie - Manipulations, modèle de décision et cyberattaques. 2ème partie - Cas concrets, innovation attendue et conclusion. Expertises, n° 423, avril, pp. 141-149


Guinier D. (2018) : Modèle de représentation des cyberattaques, mesures génériques et prospective. La revue juridique Dalloz IP/IT, mars, pp. 163-169. Article ayant obtenu le Prix de la Gendarmerie nationale 2019 - Recherche et réflexion stratégique.


Kang S. H. K. (2014) : Retrieval practice over the long term : should spacing be expanding or equal interval ? Psychonomic bulletin and review, vol. 21, n° 6, pp.1544-1550.


Leplat J. (2005) : Les automatismes dans l’activité : pour une réhabilitation et un bon usage. Revue électronique activités, vol. 2, n°2, pp.43-68


Loftus G. R. (1985) : Evaluating forgetting curves. Journal of experimental psychology : Learning, memory, and cognition, vol.11, n° 2, p. 397.


Perruchet P. (1988) : Les automatismes cognitifs. Mardaga, 196 p.

L'Edito

Convivialité et utilité

Deux groupes de membres – un dans le Bas-Rhin, un dans le Haut-Rhin – ont réfléchi et échangé ce printemps sur les missions et activités de l’Académie d’Alsace. Il en est ressorti deux priorités :
- renforcer les liens entre les membres, par la relance de réunions en petit format, pour mieux se connaître, échanger, apprendre ; ces réunions se tiendront à notre siège de la bibliothèque des Dominicains à Colmar ainsi que dans d’autres lieux de la région ;
- assurer notre visibilité, notre utilité sociale et notre prestige académique, par quelques moments forts « grand public » au fil de l’année, à l’image du colloque interacadémique que nous avons organisé avec succès le 1er juin dernier à Colmar sur le thème « Quelles vignes et quels vins demain ? ».

 

Bernard Reumaux
Président de l’Académie d’Alsace

 

Invitation à l’Agora du 19 novembre 2019

 

Version imprimable | Plan du site
© Académie des Sciences, Lettres et Arts d'Alsace