Pourquoi, malgré la sensibilisation, continuons-nous à cliquer sur des liens de phishing ?

Chaque entreprise qui s'est sérieusement penchée sur la cybersécurité connaît bien ce scénario frustrant : malgré les multiples campagnes de sensibilisation (formations en ligne interactives, tests réguliers de phishing simulés, sessions d’information en présentiel, vidéos pédagogiques, affiches dans les locaux, rappels fréquents par email), les collaborateurs continuent de cliquer sur des liens douteux.

Pourtant, lorsqu'on discute avec ceux qu'on appelle communément les "serial clickers", on se rend compte qu'ils savent parfaitement identifier un email suspect. Alors pourquoi continuent-ils à cliquer ?

La réponse ne tient pas tant à un manque d'information qu'aux mécanismes cognitifs profonds à l'œuvre derrière chaque clic. En effet, nos cerveaux ne sont pas toujours nos meilleurs alliés face à la menace cyber. Nous sommes, par nature, sujets à de nombreux biais cognitifs qui influencent notre comportement, particulièrement dans les situations routinières ou pressées.

Prenons l'exemple du biais d'autorité : lorsqu'un email semble provenir d'une source légitime ou hiérarchiquement élevée (un directeur, une banque, une autorité administrative), notre esprit critique s'abaisse naturellement. Le biais d'urgence joue également un rôle majeur : lorsque nous sommes pressés, sous pression, ou lorsque le message affirme qu'il faut agir rapidement, notre cerveau passe en pilotage automatique. Au lieu d'analyser rationnellement l'email, nous cédons à l'action immédiate, souvent sans réfléchir aux conséquences potentielles.

Le biais de rareté, lui aussi exploité dans les attaques de phishing, nous pousse à croire que nous avons gagné quelque chose d'exceptionnel ou limité (le dernier Iphone, des places pour une finale,...), incitant à un clic impulsif.

Le biais de familiarité est tout aussi redoutable : un email bien formaté ressemblant à ceux que nous recevons quotidiennement passe facilement sous le radar, car notre cerveau aime reconnaître des schémas connus, et abandonne alors tout réflexe critique.

Suite aux échanges avec divers collaborateurs, une chose est claire : ce n'est pas une toujours absence de connaissances qui est en cause, mais l'incapacité momentanée à activer ces connaissances au bon moment.

Face à ce constat, plutôt que de multiplier les formations théoriques, pourquoi ne pas utiliser une approche inspirée des sciences comportementales, connue sous le nom de « nudge » (ou coup de pouce comportemental) ?

Une proposition concrète serait d'intégrer dans la messagerie des collaborateurs une fonctionnalité simple : lorsqu'un email provient d'un nouvel expéditeur ou que le scoring de dangerorité de l'email est juste en dessous du seuil de blocage par les plateformes, une fenêtre d'alerte discrète apparaît au moment de cliquer sur le lien.

Un message adapté de type : « C’est la première fois que cette personne vous écrit. Prenez 5 secondes pour vous demander si ce message ne semble pas trop urgent, confidentiel, ou alléchant ».

Avec deux boutons proposés "Je signale" et "Je suis sûr", ce dernier ne s'activant qu'au bout de 5 secondes.

Cette approche n'a rien de coercitif : elle repose simplement sur une pause volontaire, permettant à chaque collaborateur d'activer brièvement son esprit critique. En intégrant ce réflexe dans la routine quotidienne, on donne une chance supplémentaire à notre vigilance d'échapper à l'emprise de nos biais cognitifs.

C'est une technique qu'on retrouve sur les outils pour nous aider à limiter notre temps d'écran.

Personnellement, pour limiter mon reflexe de sortir mon portable et ouvrir Linkedin dès que j'ai 2 secondes de libre (qui je transforme en 5 à 10 minutes), j'ai installé une application qui me propose d'attendre 5 secondes avant d'ouvrir Linkedin, juste le temps de réfléchir et me poser la question : "est ce que j'en ai besoin ?"... et ça marche !

Certains éditeurs qui analysent les emails proposent aujourd'hui des bandeaux de couleurs différentes qui apparaissent selon tel ou tel critère technique qui lève un doute. J'ai eu récemment la discussion avec l'un de ces éditeurs pour lui dire : "C'est bien, mais vous fournissez une fonctionnalité technique, personnalisable mais sans fournir la valeur réelle à l'utilisateur. Le message "Soyez vigilant" ne veut rien dire ! Allez jusqu'au bout pour expliquer à l'utilisateur, dans un langage clair ce qu'il doit faire concrètement !"

En conclusion, il serait pertinent que les éditeurs de solutions technologiques, qui disposent déjà d’outils puissants pour analyser en temps réel les emails entrants, franchissent un pas supplémentaire en intégrant directement ce type de nudge comportemental. Allier la technologie avancée de détection des menaces à une approche centrée sur l'humain pourrait se révéler une combinaison particulièrement redoutable pour renforcer durablement la cybersécurité de nos organisations.

👉Alors la prochaine fois que vous voyez votre éditeur, parlez lui de cette idée, ça fera peut être avancer les choses !

PS : et si vous voulez découvrir plus de nudges pour la cybersécurité, j'en parle dans ma formation Sensibilisez autrement. Contactez-moi sur timoleon@jesensibilise.com