L’inattention en cyber

L’inattention en cyber

Ne vous est-il pas arrivé d’oublier un ‘s’, un accent,… Moi sans arrêt, j’avoue, Mea culpa Mea maxima culpa…

Bon visiblement je ne suis pas la seule, des cambrioleurs qui avaient l’intention de voler des téléphones portables, ont commis une légère erreur et ont volé des dispositifs de repérage GPS qui étaient allumés et ont donné à la police leur emplacement exact. Un autre est entré par effraction dans une maison et a volé une télévision et est ensuite revenu chercher… la télécommande!

Qu’en est-il de ces erreurs d’inattention ou d’étourderie, quand elles touchent la sécurité informatique?

➡️ Pourquoi ne voyons-nous pas nos erreurs ?

Lorsque nous lisons une phrase, nos yeux ne voient que certains mots, voire une certaine partie de mots.

Exemple:

Le povuoir phoémanénl du crveeau huamin.

Pourquoi cela fonctionne ? Car la première et la dernière lettre des mots de plus de deux lettres restent inchangées.

Notre cerveau complète, corrige, la phrase, ajoute des mots, etc. sans ‘nous’. Il survole les mots, complète la phrase de façon quasi automatique. D’ailleurs 95% de nos comportements quotidiens sont automatiques. En somme, il traite les informations de manière globale.

Nous sommes ainsi capables de traiter les mots dans lesquels les lettres ne sont pas bien positionnées. Alors c’est super pour le quizz de mots cachés dans la salle d’attente de son médecin, mais ça l’est moins en cybersécurité.

Alors pourquoi ?

🩸Explication biologique

Je m’attarderai sur cette partie car il est nécessaire de comprendre comment le cerveau traite les informations pour pouvoir tenter de comprendre comment il fonctionne.

En fait c’est notre cerveau qui travaille, pour fonder des hypothèses, il se base sur des indices, des éléments prédictifs.

Plus concrètement, le côté droit dit ‘intuitif’ va collecter, comparer à partir d’un catalogue de représentations glanées durant son expérience de vie.(attention cette théorie ne fait pas l’unanimité, je répète cette théorie ne fait pas l’unanimité… Vaut mieux deux fois qu’une😏

Ce même cerveau va ajouter un contexte, qui va l’aider à catégoriser pour finalement transmettre l’information au côté gauche dit ‘logique’, qui lui, va analyser et transcrire l’information. .(attention cette théorie ne fait toujours pas l’unanimité)

[[

L’hémisphère droit est autant activé que le gauche
L’image permet juste d’illustrer qu’ Il existe bien des individus plus logiques ou plus artistiques que d’autres, mais cela ne signifie pas qu’ils soient plutôt « cerveau droit » ou « cerveau gauche ».]Le mythe du “cerveau droit ou gauche” pourrait provenir des travaux de Roger Sperry, qui a remporté un prix Nobel pour ses recherches. La encore, le monde scientifique, n’est pas unanime.]

Et tout ceci se fait… Inconsciemment : 200 000 informations sont traitées inconsciemment chaque seconde contre 40 consciemment.

D’autres théories (qui mêlent biologie et psychologie) apportent leur pierre à ce lourd et imposant édifice :

  • La loi de Hick par exemple est « un modèle qui décrit le temps qu’il faut à un utilisateur pour prendre une décision en fonction du nombre de choix à sa disposition.»[1] Ce qui est intéressant dans cette loi par rapport à notre sujet, c’est qu’elle nous fait nous interroger sur le niveau de concentration et relève de processus cognitifs.
  • La loi de Miller définit l’empan mnésique ou mémoire à court terme à 7 +/- 2 mots. Cette loi met en évidence la capacité limitée de mémorisation. Notre cerveau ne peut pas traiter toute la diversité d’informations milliseconde par milliseconde.
  • les modèles de prédiction, les erreurs ont lieu lorsqu’il existe un décalage entre les attentes antérieures et la réalité. Dans ce modèle d’étude des signaux de prédiction et d’erreur, on retrouve les modèles de perception ( nos attentes nous aident à donner du sens à nos environnements), et de contrôle motivationnel( modèles d’apprentissage par récompense)
  • Il existe bien d’autres théories (l’erreur de Descartes, l’algorithme de rétropropagation des erreurs…), je vous les garde pour d’autres articles en cours …

Allez, j’ajoute quelques chiffres intéressants :

  • le temps moyen estimé pour traiter une information est actuellement évalué à 3 secondes et ces mêmes informations circulent à environ 430 km/h
  • 11 millions d’unités d’informations sont perçues simultanément, c’est dire si le cerveau a du travail ! Cependant, nous n’en percevons consciemment qu’une quarantaine (vu plus haut). Entre 80 000 et 100 000 stimuli sensoriels frappent le cerveau par seconde, mais seulement 40 000 environ sont traités simultanément. Voilà un argument pour sa défense monsieur le juge !
  • vous n’aurez le sentiment de commettre une erreur qu’au moins 200 ms plus tard.

Beaucoup de chercheurs et de psychologues tentent de résoudre plus en détails ce ‘mystère’ mais il n’y a.… encore une fois… pas de consensus et les différences individuelles rendent le travail complexe. Les neuroscientifiques soulignent certains aspects de la façon dont différentes parties du cerveau fonctionnent et se connectent les unes aux autres, pour autant, personne ne peut définir des concepts généraux.

🙄Explication contextuelle

✔️La distraction n’aide pas, si nous sommes déconcentrés, forcément notre attention va être perturbée et les erreurs plus nombreuses. 80% de tous les accidents de la route se produisent en mangeant, buvant et conduisant, le tout en même temps. Une étude réalisée en 2000 par Naveh-Benjamin, a prouvé qu’il existait des différences entre les activités d’encodage et de récupération impliquées dans le traitement des informations créées par le multitâche. Ainsi l’encodage nécessite plus d’attention que la récupération, aussi la quantité et la qualité de la mémoire sont profondément influencées par le multitâche.

✔️Une surcharge de travail

✔️Une mauvaise organisation

✔️Trop de stress

✔️La paresse

https://ti-p.fr/blog/le-piratage-cerebral-le-chemin-vers-un-manque-de-discernement/
https://ti-p.fr/blog/effets-psychologiques-dune-cyberattaque/

Evidemment la consommation de certaines substances s’est avérée impliquée dans l’affectation de la perception consciente des erreurs, comme la cocaïne, les opioïdes et l’alcool.

🙄Explication psychologique

Je ne reviens pas dessus, je le pose là : les biais cognitifs 😊, et les théories vues au-dessus donnent un ordre d’idée de l’importance une fois de plus de la psychologie.

-Les erreurs impliquent des actes impulsifs, lorsque notre comportement semble hors de contrôle, on est plus enclins à commettre une erreur, de même, le fait que certaines erreurs soient stupides ou évidentes est précisément la raison pour laquelle elles sont si fatales.

– A la théorie de Naveh-Benjamin, (vue plus haut), j’ajouterai celle de Craik, sur la stratégie d’organisation et la mémorisation, ce dernier (déjà en 1996), stipulait que l’organisation et la mémorisation impliquent toutes les deux des processus coûteux en attention. Ainsi nous accordons la priorité soit à l’organisation, soit à la mémorisation, de ce fait nos ressources « ne seront plus suffisantes pour traiter les mots eux-mêmes et les mémoriser ».[3]

Cela rejoint les deux vitesses de la pensée de Kahneman et Tversky… Système 1…système 2


-Autre élément, plein d’ironie, pour relativiser les propos. Ne vous est-il pas arrivé de vous concentrer tellement sur le fait de ne pas commettre l’erreur que vous finissez par la commettre ? Ce n’est pas toujours le manque de concentration qui causera des problèmes importants.

De très très très nombreuses théories existent sur le sujet, mais elles noieraient le propos, donc je vais en rester là…cette fois-ci.

➡️ C’est grave docteur ?

En soi c’est humain, mais en cybersécurité, cela ne pardonne pas.

90% des incidents de sécurité informatique impliquent une erreur humaine, donc j’ai envie de répondre à cette question… Oui 😔

Une erreur d’inattention peut coûter des millions d’euros.

Ces erreurs de traitement, les cyberattaquants les connaissent bien.

Le danger en cyber, c’est qu’un site, ou un domaine écrit ainsi

mcrosoft ou gihtub.[com]-etc

Ne nous choque pas de prime abord, alors que les vrais sites sont plutôt :

microsoft ou github.[com]-etc

Et les premiers pourraient nous amener sur un site corrompu.

La technique de typosquatting s’appuie justement sur les fautes de frappes ou d’orthographe, d’homophonies, d’homographies…Notre cerveau traite les informations beaucoup plus rapidement que les mouvements de nos yeux et de nos doigts.

Il s’agit d’une technique utilisée par les cybercriminels qui usent d’un nom de domaine, marque, site, etc. très proche de nom/marque/entreprise généralement connu.

L’étourderie ou l’inattention dans le respect des protocoles de sécurité peut être terrible.

Cela concerne le salarié, mais aussi le défenseur, oui oui lui aussi est concerné. Qu’en est-il s’il oublie de renouveler un certificat de sécurité ? (parlez-en à Microsoft azure en 2013😉, LinkedIn, et même… la maison blanche) s’il laisse un projet ouvert sur une plate-forme open source ( Du code source d’Okta volé sur GitHub en 2022, mmm mmm) ? Si l’entreprise expose ses données par négligence (Optus, septembre 2022, on en parle ?) ?

Dans le cadre de phishing, qui, pour rappel, repose sur les failles humaines des salariés, l’inattention peut faire des ravages. un clic sur un lien, une ouverture de pièce jointe, un transfert de fichier… et ça peut très vite être le chaos. Le phishing reste le principal type d’attaque. Depuis 2019, Google propose d’ailleurs un test afin d’évaluer le niveau de vigilance des utilisateurs vis-à-vis du phishing.

L’Usurpation d’identité et ingénierie sociale. Là encore, si un salarié manque de vigilance et laisse à la disposition des cybercriminels des données, cela peut entraîner des conséquences à la fois sur l’entreprise mais aussi sur l’individu dans sa sphère privée( ouverture de compte, souscription à des assurances, …) Petit rappel utile : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/usurpation-identite-que-faire

➡️ Je fais quoi maintenant ?

L’erreur est commise mais pour plus tard :

✅On essaie de comprendre pourquoi on a commis une telle erreur. Il n’y a pas de fumée sans feu, comprendre l’origine évite de refaire l’erreur.

✅On évite le multi tâches, une tâche après l’autre. Notre cerveau peut traiter ‘seulement’ trois ou quatre taches simultanément. On liste les actions par priorité, on évite les interruptions. On est dans le présent. ‘Restez focus’.

✅On anticipe ses actions, on évite d’agir dans la précipitation. Prenons un moment dédié dans la journée pour la lecture d’email autant que possible par exemple.

✅’Pas si viiiite'(les plus de 20ans, voire plus, auront la référence), on prend son temps. Oui ce n’est pas toujours facile dans un monde qui demande de réagir avant même d’avoir agi !

✅Lire, relire, re relire avant de cliquer, de valider, d’ouvrir une pièce jointe etc

✅Je ne voulais pas l’ajouter mais c’est un passage obligé. On sensibilise ! L’intérêt de cette sensibilisation est aussi de travailler sur l’erreur commise, apprendre de son erreur est important, puisque en effet, le cerveau essaie de se donner plus de temps, pour éviter de refaire la même erreur. Dans les formations, les théories sus-citées devraient être abordées (de façon simple !) car elles permettent de prendre conscience du fonctionnement de notre cerveau. Nous devons avoir la capacité de détecter et de corriger les erreurs voire d’inhiber le comportement et la cognition en cours.

Je porte votre attention, sur le fait qu’il ne faut pas oublier ( 😊 ) que « en une heure , les gens auront oublié en moyenne 50 % des informations que vous avez présentées. En 24 heures, ils ont oublié en moyenne 70 % des nouvelles informations, et en une semaine, ils en revendiquent en moyenne 90 %. »[2], donc la surcharge d’information ne sert…à rien. Du coup je m’arrête là. et je résume, sûrement que des fautes sont présentes dans mes posts, articles et celui-ci ne fait certainement pas exception, mais ça fait de moi un humain (monsieur, madame chatgpt) et puis de toute façon ce n’est pas ma faute c’est mon cerveau le coupable !


“Vous ne comprenez pas Osgood ! … Je suis un homme ! Ah ? Personne n’est parfait !”

Certains l’aiment chaud

Nathalie Granier – février 2023

Sources

Daniel Kahneman- Système 1 / Système 2 : Les deux vitesses de la pensée

https://www.apa.org/

https://sosafe-awareness.com/fr/ressources/etudes-de-cas/interview-de-nathalie-granier/

[1] https://blocnotes.iergo.fr/breve/motsetphrases/loi-de-hick/

https://www.sciencedirect.com/science/article/pii/S1053811918300594

Cavanagh, J. F., and Frank, M. J. 2014. Frontal theta as a mechanism for cognitive control. Trends Cogn. 

Hirsh, J. B., and Inzlicht, M. 2010. Error-related negativity predicts academic performance.

Pushpinder Walia, Yaoyu Fu, Jack Norfleet, Steven D. Schwaitzberg, Xavier Intes, Suvranu De, Lora Cavuoto & Anirban Dutta -Error-related brain state analysis using electroencephalography in conjunction with functional near-infrared spectroscopy during a complex surgical motor task-December 2022

[2] https://www.learningguild.com/articles/1379/brain-science-the-forgetting-curvethe-dirty-secret-of-corporate-training/

https://ia803105.us.archive.org/32/items/Systeme1Systeme2LesDeuxVitessesDeLaPenseeDanielKahneman/Systeme%201%2CSysteme%202%20%2CLes%20deux%20vitesses%20de%20la%20pensee%20-Daniel%20Kahneman.pdf

Frédéric Hebert. Le cerveau dans tous ses états-

[3] Capucine Toczé, Laurence Taconnat -Division de l’attention et organisation en mémoire épisodique : quand l’utilisation d’une stratégie altère les performances de rappel-2014