Cybersécurité : un modèle de défense en proie à l'effet d'Einstellung ?
Dans un monde cyber en pleine effervescence, il est frappant de constater combien certaines organisations peinent à réinterroger leur stratégie de sécurité.
« Rien n’est permanent, sinon le changement », a écrit Héraclite d’Ephèse dans ses Maximes. Souvent mise en avant, cette idée somme toute relativement rebattue selon laquelle nous vivrions dans un univers en perpétuelle évolution se révèle tout particulièrement d’actualité à un moment où nos environnements – et singulièrement l’écosystème de la cybersécurité – sont en proie à de profonds bouleversements. Essor grandissant de la cybermenace, recours de plus en plus régulier à l’IA générative et aux Deep Fake pour pénétrer les organisations : les équipes SOC des entreprises sont actuellement soumises à de très fortes pressions.
Des outils de cybersécurité achetés pour des raisons de conformité
Celles-ci apparaissent de manière on-ne-peut-plus claire dans la récente enquête Vectra. Intitulé « State of Threat Detection » et mené auprès d’une cohorte de 2000 analystes spécialistes de la sécurité informatique, ce rapport confirme combien les équipes SOC sont actuellement en phase de stress professionnel, pour ne pas dire de burn-out. Il lève également le voile sur des éléments liés à l’usage qui est fait des outils de cyber-sécurité. C’est ainsi que 91% des analystes SOC interrogés pensent que la technologie de détection qu’ils utilisent dans leur quotidien est efficace. Dans le même temps, le rapport indique que les équipes SOC reçoivent en moyenne 4 484 alertes par jour et que 67% d’entre elles sont ignorées. Le rapport attire également l’attention sur ce qui pourrait être a priori considéré comme un signal faible : pour 34% des professionnels interrogées, les outils de sécurité seraient achetés afin de répondre à des exigences de conformité, sans avoir été confrontées au réel.
L’effet d’Einstellung : ne pas parvenir à se détacher d’une solution déjà identifiée
Il convient de s’arrêter un instant sur ce dernier élément. Avons-nous affaire ici à un biais cognitif ? La question mérite selon nous d’être posée. Défini comme un mécanisme de pensée à l’origine d’une altération du jugement, le biais cognitif se caractérise notamment par sa dimension faussement logique. Il amène par exemple certaines décisions stratégiques qui, parce qu’elles donnent l’impression d’être logiques, ne sont pas remises en cause.
Cet élément a son importance actuellement dans le secteur de la cybersécurité. Est-ce parce que l’entreprise satisfait aux exigences de sécurité auxquelles elle est soumise qu’elle se trouve par voie de conséquence protégée de la cybermenace qui pèse sur elle ? Il semblerait ici que nous soyons face à un biais appelé « effet d’Einstellung », selon lequel l’être humain (et singulièrement le groupe) ne parvient pas à se détacher de la solution qu’il connaît déjà. Signifiant en allemand « réglage » ou « ajustement », le terme einstellung est mis en avant afin de souligner combien le cerveau humain peut être prisonnier d’un cadre déjà existant. L’effet d’Einstellung explique notamment que certains êtres humains peinent à sortir de leur zone de confort afin de penser autrement la résolution des problématiques auxquelles ils se trouvent confrontés.
Réinterroger nos schémas de pensée
Dans un écosystème frappé de plein fouet par l’hameçonnage et appelé à être de plus en plus soumis à des attaques générées par une IA générative elle-même en évolution permanente, les organisations ont tout intérêt à réinterroger leurs schémas de pensée. Est-il par exemple toujours pertinent d’essayer de dresser des « murs de sécurité » autour du système d’information, alors que l’on constate que les attaques pénètrent de plus en plus celui-ci ? Ne faut-il pas une fois pour toutes accepter de voir les cyberattaquants effectuer des mouvements latéraux avant de tuer dans l’œuf leur attaque, notamment grâce à l’IA et au Machine Learning ?
En cette fin d’année 2023, à l’aube d’une année à venir dont on sait qu’elle verra encore les attaques se démultiplier, il est sans doute important de réinterroger sa stratégie globale et de prêter attention à certains signaux faibles. Dans le rapport State Of Threat Detection, 37% des personnes interrogées déclarent qu’elles en ont assez d’avoir affaire à des produits de sécurité qui ne font qu’augmenter le nombre d’alertes au lieu de se concentrer sur la lutte contre les menaces… Il y a fort à parier que, demain, ces professionnels seront majoritairement sensibles au déploiement de solutions à la fois pragmatiques et efficientes.