Cette note de synthèse porte sur l'usage de l’humour comme levier de sensibilisation, en mettant en évidence ses avantages et ses limites. Il explore les différentes formes et mécanismes de l’humour, notamment la théorie de l’incongruité. L’humour peut capter l’attention, réduire le stress et améliorer la mémorisation, mais il peut aussi nuire à la réception du message s’il est mal adapté. Des études montrent son efficacité en cybersécurité, santé publique et sécurité routière, bien que son impact varie selon le contexte. La note conclut en recommandant une adaptation aux publics cibles et une évaluation rigoureuse des effets.

La mesure de la cybercriminalité au niveau international varie en fonction des définitions et méthodes utilisées par les organisations. Des rapports comme l'Internet Organized Crime Threat Assessment d'Europol et le Global Risk Report du World Economic Forum mettent en évidence les tendances et les menaces actuelles, telles que les rançongiciels et les vols de données. Cependant, la diversité des méthodologies et des sources de données rend difficile une estimation globale et précise de la cybercriminalité. Ces études offrent néanmoins des pistes importantes pour orienter les politiques et stratégies de lutte contre la cybercriminalité.

Les nudges (ou coups de pouce) appliqués à la cybersécurité consistent à influencer subtilement les comportements pour améliorer la sécurité en ligne, sans restreindre la liberté de choix des utilisateurs. Ces interventions se basent sur des mécanismes tels que l'incitation, la rétroaction, les options par défaut et l'influence sociale pour encourager des pratiques sécuritaires. Par exemple, des messages de rappel sur la robustesse des mots de passe ou des avertissements concernant des sites non sécurisés sont des formes de nudges. Bien que ces méthodes puissent être efficaces, elles soulèvent des questions éthiques liées à la transparence et à la manipulation des utilisateurs.

La responsabilisation en matière de fraude bancaire est complexe et soulève des questions sur la part de responsabilité des institutions financières et des clients. Au Royaume-Uni, des mesures comme le Contingent Reimbursement Model (CRM) obligent les banques à rembourser les victimes de fraudes sauf en cas de négligence grave de leur part. En Australie, l'accent est mis sur la prévention plutôt que sur le remboursement. Cependant, les deux approches soulignent l'importance de l'amélioration des pratiques de sécurité, de la collaboration interbanques et du partage de renseignements pour lutter contre la fraude.

Les biais cognitifs influencent la prise de décision en cybersécurité, souvent en menant à des erreurs de jugement. Les heuristiques, ou raccourcis mentaux, permettent de prendre des décisions rapidement, mais peuvent générer des biais comme l'effet de cadrage, l'illusion du contrôle ou l'ancrage. Ces biais peuvent rendre les employés et gestionnaires vulnérables à des cyberattaques, notamment via l'ingénierie sociale. Des interventions, telles que des formations ciblées et des rappels réguliers, peuvent aider à limiter les risques associés aux biais cognitifs et renforcer la résilience en cybersécurité.

Les outils de communication en sensibilisation à la cybersécurité sont essentiels pour renforcer la sécurité en entreprise. Ces outils incluent des supports physiques (ateliers, affiches, documents papier) et numériques (courriels, vidéos, infographies). Les simulations et jeux sérieux sont particulièrement efficaces pour améliorer la perception des risques et encourager les comportements sécuritaires. Cependant, l'efficacité des outils varie selon leur conception et l'engagement des participants. Une approche diversifiée et adaptée aux besoins de l'audience peut maximiser l'impact des programmes de sensibilisation.

La fatigue de sécurité survient lorsque les employés deviennent lassés et désensibilisés face aux nombreuses exigences en matière de cybersécurité. Cette fatigue est provoquée par des facteurs cognitifs, tels que la surcharge d'informations, la mémorisation constante de mots de passe et l'alerte continue face aux menaces. Les sources comportementales incluent la répétition des tâches liées à la sécurité et les distractions au travail causées par les politiques. Pour limiter cette fatigue, il est crucial de simplifier les formations, d'adapter les politiques aux besoins des employés et de démontrer leur utilité pratique.

L'intelligence artificielle (IA) présente des risques importants en matière de cybersécurité, tant en tant qu'outil pour amplifier des attaques existantes, qu'en tant que cible vulnérable. Les cybercriminels peuvent utiliser l'IA pour personnaliser des attaques, augmenter la crédibilité des escroqueries ou générer des deepfakes. Les systèmes d'IA eux-mêmes sont exposés à des risques comme l'empoisonnement des données et les tentatives d'extraction. Plusieurs cadres de sécurité, tels que ceux de Google, Microsoft et l'ENISA, recommandent l'intégration de mesures spécifiques à l'IA dans les pratiques de cybersécurité existantes.

La ludification en cybersécurité consiste à intégrer des éléments de jeu dans les formations pour sensibiliser et motiver les utilisateurs. Cette approche inclut l'attribution de points, de badges et de tableaux de classement pour renforcer l'engagement. Les avantages de la ludification incluent une meilleure motivation des participants et une sensibilisation accrue à la sécurité, en particulier pour des groupes sous-représentés. Cependant, les jeux existants sont souvent trop techniques et négligent les aspects sociaux. Pour garantir leur efficacité, ils doivent être bien conçus, inclusifs, et accompagnés d'autres activités éducatives.

Le groupe Conti, opérateur de rançongiciel très actif depuis 2020, a mené plus de 700 attaques générant des millions de dollars en cryptomonnaies. Après avoir soutenu la Russie lors de l'invasion de l'Ukraine, une fuite massive de plus de 160 000 messages internes a révélé les coulisses de ce groupe. Organisé comme une entreprise avec des départements et des hiérarchies, Conti utilisait des discussions cryptées pour coordonner ses activités. Une analyse par apprentissage automatique a permis de classer ces échanges en cinq thèmes : business, technique, maliciel, ressources humaines et service client.