La psychologie de la confiance en cybersécurité : ce n’est pas de la paranoïa, c’est de la prudence

Une confiance innée dans ce qui est familier est une réaction profondément humaine. Sur le lieu de travail, il est pratiquement acquis que les collègues, les systèmes internes et les réseaux d’entreprise sont tous dignes de confiance.

Mais dans le monde moderne où tout et tout le monde se connecte de partout, cet instinct peut s’avérer dangereusement trompeur. Le réseau d’entreprise est plus vulnérable que jamais, et pas seulement parce que les environnements hybrides cloud-first ont largement étendu la surface d’attaque.

Trois autres raisons expliquent cette plus grande vulnérabilité. Tout d’abord, le risque de compromission est plus élevé, car les hackers se tournent vers l’IA pour lancer des campagnes d’ingénierie sociale de plus en plus sophistiquées. Deuxièmement, il est très facile pour un acteur malveillant de se déplacer latéralement sur le réseau, sans surveillance, en utilisant des informations d’identification vérifiées pour se connecter. Enfin, il y a le danger pour les données : l’augmentation alarmante des ransomwares ou de l’exfiltration de données (sans qu’aucune alarme ne soit déclenchée).

C’est une mauvaise nouvelle pour tous les secteurs d’activité. Surtout pour ceux qui sont déjà classés parmi les ^secteurs les plus attaqués au monde. Compte tenu de la grande valeur des données du secteur et de son exposition réglementaire, il n’est pas surprenant de trouver les services financiers dans ce groupe.

Le statut de patrimoine est une arme à double tranchant pour les enseignes financières établies. Elles ont accumulé une expérience incroyable que les challengers numériques ne peuvent pas concurrencer ; cependant, des années et des années de mises à jour de la sécurité et des performances de leur infrastructure technologique héritée ont généré des environnements complexes et difficiles à gérer. Cela signifie moins d’agilité et une plus grande exposition aux cyber-risques. La complexité s’étend au vaste écosystème de la chaîne d’approvisionnement du secteur et au fait que chaque mouvement au sein de celui-ci est hautement réglementé.

Le secteur des services financiers est confronté à des défis évidents, en particulier les grandes banques traditionnelles établies qui doivent affronter des challengers agiles à la pointe du numérique. Les entreprises de ce secteur, et de tous les secteurs hautement réglementés d’ailleurs, doivent vraiment redoubler d’efforts en matière de sécurité, et rapidement.

Il ne s’agit pas de semer la panique, mais de remettre en question le biais de confiance qui, trop souvent, devient un défaut risqué. Il s’agit de promouvoir la prudence en matière de sécurité pour garantir le maintien du contrôle et de la résilience.

Le biais humain envers la confiance
Avez-vous déjà entendu parler des heuristiques cognitives ? Ancré dans les sciences cognitives, le terme décrit les raccourcis mentaux que nous empruntons lorsque nous devons prendre des décisions rapidement ou sur base d’informations limitées. Il existe différents types de raccourcis, mais celui dont nous devons vraiment être conscients dans l’espace de travail numérique est l’heuristique de familiarité. Il s’agit de rechercher le familier face à l’incertitude. C’est un biais de jugement auquel beaucoup d’entre nous ont recours par défaut.

Dans un contexte d’entreprise, l’heuristique de familiarité peut nous amener à accorder notre confiance sans réfléchir. Par exemple, nous croyons instinctivement que les e-mails internes sont « plus sûrs » que les e-mails externes, que les systèmes de notre société sont sécurisés par défaut ou que nos collègues sont moins susceptibles de constituer une menace pour notre cybersécurité.

Cette présomption que ce qui est « à l’intérieur » est sûr est exactement ce sur quoi les cybercriminels s’appuient. Les violations du réseau peuvent résulter d’une menace externe. Le plus souvent, elles sont dues à la compromission involontaire des informations d’identification du personnel, en grande partie par courrier électronique. En 2024, notre équipe ThreatLabz a examiné 1,2 milliard de transactions de données sur des applications et des canaux commerciaux de base tels que la messagerie électronique. Les résultats, partagés dans notre rapport@Risk 2025 sur les données, soulignent l’ampleur du problème : des données sensibles de l’entreprise (notamment du code source et des informations financières) ont été divulguées dans le cadre de près de 104 millions de transactions par e-mail.

Il est révélateur que le phishing par courrier électronique reste l’un des vecteurs d’attaque les plus efficaces, même en 2025 alors que nous connaissons tous les dangers d’une mauvaise hygiène de sécurité. Une fois de plus, c’est le biais humain qui pousse à faire confiance à ce qui est familier : un e-mail interne provenant d’un expéditeur apparemment légitime arrive dans la boîte de réception d’un employé qui clique sur un lien comme demandé, ouvrant ainsi la porte à un hacker. Celui-ci se déplace alors latéralement sur le réseau, sans être détecté dans un environnement de sécurité traditionnel où la confiance est supposée plutôt que vérifiée. La question est : peut-on jamais présumer de la fiabilité d’une entité ?

Vous trouverez la deuxième partie de cette série sur la psychologie de la confiance dans la cybersécurité ici. Si vous souhaitez en savoir plus sur la cybersécurité dans l’espace FSI, téléchargez l’e-book ici.

¹Statista, Distribution of cyberattacks across worldwide industries in 2024. Mai 2025. Disponible sur :
https://www.statista.com/statistics/1315805/cyber-attacks-top-industries-worldwide/