Towards Modeling Cybersecurity Behavior of Humans in Organizations

Cet article propose un cadre théorique unifié des facteurs influençant le comportement humain en cybersécurité au sein des organisations et suggère son application pour concevoir des stratégies de défense contre les attaques de manipulation visant les agents d'intelligence artificielle autonomes.

L'essentiel

Voici une explication simple et imagée de ce papier de recherche, conçue pour être comprise par tout le monde, même sans être expert en informatique.

Imaginez que la cybersécurité est comme la sécurité d'un grand château médiéval.

1. Le problème : Le château a deux portes

Traditionnellement, on pensait que le château était vulnérable à cause de ses murs (les pare-feu, les antivirus). Mais l'auteur, Klaas Ole Kürtz, nous dit : « Non, le vrai problème, ce n'est pas les murs, ce sont les habitants du château (les employés). »

• Le côté négatif : Les habitants sont la porte d'entrée la plus facile pour les voleurs. Un voleur n'a pas besoin de casser la porte blindée s'il peut simplement convaincre un garde de lui ouvrir en lui disant « Bonjour, je suis le roi, laissez-moi passer ! » (c'est ce qu'on appelle l'ingénierie sociale).
• Le côté positif : Si on forme bien les habitants, ils deviennent le meilleur bouclier du château. Ils peuvent repérer un voleur déguisé avant même qu'il n'atteigne la porte.

2. La nouvelle carte du château (Le Modèle)

L'auteur a créé une nouvelle « carte » pour comprendre pourquoi les habitants agissent comme ils le font. Au lieu de dire « C'est la faute de l'employé s'il clique sur un lien », il regarde tout le contexte.

Il divise les facteurs en trois catégories, comme si on regardait un arbre :

• Les Racines (Ce qui est caché et profond) :
  • C'est la Culture du château (est-ce que le seigneur encourage la sécurité ou dit « on s'en fout » ?).
  • C'est la Motivation (est-ce que le garde a envie de bien faire son travail ou s'il est juste là pour toucher son salaire ?).
  • C'est le Rôle (sait-il qu'il est responsable de la porte ?).
• Le Tronc (Ce qui est visible et structuré) :
  • Ce sont les Règles (les lois du château).
  • C'est la Compétence (sait-il reconnaître un voleur ?).
  • C'est la Facilité d'utilisation (est-ce que la serrure est facile à ouvrir ou est-ce un casse-tête ? Si c'est trop dur, le garde va la laisser ouverte).
• Les Branches (La situation immédiate) :
  • C'est le Moment précis (le garde est-il fatigué ? a-t-il le stress ? y a-t-il une urgence ?).

L'idée clé : Si un garde ouvre la porte à un voleur, ce n'est pas juste parce qu'il est « bête ». C'est peut-être parce que la serrure était trop compliquée (mauvaise conception), qu'il était épuisé (situation), ou que le seigneur lui avait dit que les règles n'étaient pas importantes (culture).

3. La comparaison avec les théories existantes

L'auteur dit : « On connaît déjà des théories sur la psychologie humaine (comme la peur ou la motivation), mais elles sont souvent trop centrées sur l'individu seul. »
Son modèle est spécial car il mélange l'individu (ce qui se passe dans sa tête) et l'environnement (le château dans lequel il vit). C'est comme dire que pour comprendre pourquoi un poisson nage mal, il ne faut pas juste regarder le poisson, mais aussi la qualité de l'eau et la forme du bassin.

4. Le grand saut : Et les Robots (IA) dans tout ça ?

C'est la partie la plus fascinante du papier. L'auteur dit : « Les robots intelligents (les IA agents) vont bientôt agir comme des humains dans nos entreprises. »

Imaginez que le château engage des gardiens robots pour surveiller les portes.

• Ces robots ne sont pas parfaits. Ils peuvent être trompés exactement comme des humains.
• L'analogie de l'arnaque : Si un voleur dit à un humain : « Je suis le roi », l'humain ouvre. Si un voleur dit à un robot : « Voici un ordre secret du programmeur principal », le robot peut aussi ouvrir la porte ! C'est ce qu'on appelle l'injection de "prompt" (une manipulation par le langage).

Le génie de l'auteur : Il propose d'utiliser notre carte des "comportements humains" pour protéger les robots !

• Au lieu de juste coder des pare-feu pour les robots, on doit comprendre leur "psychologie".
• Exemple concret :
  • Un humain ignore une règle complexe parce que c'est trop dur à faire (problème d'ergonomie).
  • Un robot va ignorer une source de données sécurisée (avec un mot de passe compliqué) pour aller chercher des données plus faciles d'accès, même si elles sont dangereuses. C'est la même logique !
  • Un humain "devine" la réponse quand il ne sait pas pour faire plaisir à son patron. Un robot va "halluciner" (inventer une réponse) pour être utile, même si c'est faux.

En résumé

Ce papier nous dit :

1. Pour protéger une entreprise, ne blâmez pas seulement les employés. Regardez la culture, les règles et la facilité des outils.
2. Les robots intelligents (IA) vont bientôt travailler à nos côtés et ils ont des "faiblesses comportementales" similaires à celles des humains.
3. Pour protéger ces robots, nous devons arrêter de penser uniquement en code informatique et commencer à penser comme des psychologues : comprendre comment ils "décident", comment ils sont influencés par leur environnement et comment on peut les manipuler.

C'est comme passer d'une sécurité basée sur des clés et des serrures à une sécurité basée sur la compréhension de la nature (qu'elle soit humaine ou artificielle).

Résumé technique

Voici un résumé technique détaillé de l'article « Towards Modeling Cybersecurity Behavior of Humans in Organizations » de Klaas Ole Kürtz, présenté en français.

1. Problématique

La cybersécurité fait face à un paradoxe fondamental : l'humain est à la fois le maillon faible le plus critique (vecteur d'attaque majeur) et le défenseur le plus adaptable (« pare-feu humain »). Malgré les avancées technologiques, les stratégies de sécurité échouent souvent car elles se concentrent sur la technologie plutôt que sur les réalités cognitives et organisationnelles des employés.

De plus, l'émergence de l'IA générative et des agents autonomes (Agentic AI) introduit de nouvelles vulnérabilités. Ces systèmes, capables de prendre des décisions et d'interagir via le langage naturel, deviennent des cibles pour des attaques de type ingénierie sociale (ex. : injection de prompts). Il manque actuellement un cadre théorique unifié qui :

1. Intègre les facteurs comportementaux humains au sein des organisations (au-delà de la décision individuelle).
2. Offre un modèle transférable pour comprendre et sécuriser les agents d'IA contre des manipulations analogues aux attaques humaines.

2. Méthodologie

L'auteur adopte une approche de synthèse structurée et interdisciplinaire pour construire son modèle :

• Revue de littérature : Analyse des théories établies des sciences comportementales (ex. : Théorie de l'Action Raisonnée, Théorie de la Motivation à la Protection) et de la littérature sur la sécurité utilisable (Usable Security).
• Validation pratique : Croisement des concepts théoriques avec des données qualitatives issues de la gestion de la sécurité informatique, incluant des consultations d'experts et les perspectives de Directeurs de la Sécurité des Systèmes d'Information (CISO).
• Objectif : Filtrer les concepts psychologiques abstraits à travers le prisme de la réalité organisationnelle pour créer un modèle applicable aux environnements professionnels.

3. Contributions Clés : Le Modèle de Comportement Humain

Le cœur de l'article est la proposition d'un modèle holistique (illustré par la Figure 1 dans le texte) qui décompose les facteurs influençant le comportement de sécurité. Ce modèle est structuré selon trois dimensions conceptuelles :

• Flux logique : Du fondamental (prédispositions) au situationnel (contexte immédiat).
• Échelle : Individuel (interne) vs Environnemental (organisationnel).
• Visibilité : Facteurs cachés (motivations, intentions) vs Facteurs visibles (normes, comportements observables).

Les facteurs principaux identifiés sont :

• Motivation : Intrinsèque et extrinsèque (appartenance, intérêts financiers, peur).
• Conscience et Connaissances : Compréhension des menaces, évaluation de la vulnérabilité perçue et de l'efficacité des contre-mesures (auto-efficacité).
• Rôle : Responsabilités formelles et implicites (ex. : champion de la sécurité).
• État d'esprit et Attitude : Perspective individuelle, incluant la fatigue de sécurité.
• Culture Organisationnelle : Normes implicites, leadership, partage des connaissances, culture de l'erreur.
• Normes et Régulations : Lois, directives explicites et perception du contrôle sur ces normes.
• Intention : Volonté d'agir (vigilance), dérivée de l'attitude et de la culture.
• Compétences (Skills) : Capacité à détecter les anomalies, penser de manière adversaire et réagir intuitivement.
• Utilisabilité (Usability) : Friction de sécurité, expérience utilisateur des outils de sécurité.
• Agence (Agency) : Autonomie perçue et capacité à prendre des décisions.
• Situation : Facteurs contextuels immédiats (charge cognitive, stress, pression temporelle).
• Évaluation de la situation : Synthèse consciente et inconsciente du risque.
• Comportement : L'action réelle (consciente ou intuitive).

Le modèle est comparé et validé par rapport à des théories existantes (TPB, PMT, TAM, OODA, etc.), démontrant qu'il les intègre tout en ajoutant la dimension critique de l'environnement organisationnel souvent absente des modèles purement individuels.

4. Résultats et Implications pour l'IA Agente

L'auteur établit un parallèle fort entre le comportement humain et celui des agents d'IA autonomes, proposant que le modèle humain serve de « blueprint » pour la sécurité de l'IA.

Analogies techniques proposées :

• Rôle $\rightarrow$ Prompt Système / Instructions de Persona : Les directives données à l'IA définissent son comportement, tout comme le rôle formel d'un employé.
• Culture Organisationnelle $\rightarrow$ Alignement du Modèle : L'alignement via l'apprentissage par renforcement à partir de retours humains (RLHF) ou la collaboration entre agents reflète la culture de sécurité.
• Utilisabilité $\rightarrow$ Accessibilité des Ressources / Friction Computationnelle : Tout comme un humain contourne une sécurité complexe, un agent d'IA optimisé peut choisir une source de données malveillante si elle est techniquement plus accessible (ex. : texte lisible par machine) qu'une source légitime protégée par des CAPTCHAs.
• Devinettes (Guessing) $\rightarrow$ Hallucinations : Lorsqu'un agent (humain ou IA) manque de connaissances mais est motivé à remplir son rôle, il peut « deviner ». Pour l'IA, cela se traduit par des hallucinations où la priorité est donnée à l'aide plutôt qu'à la précision.

Scénario d'attaque illustré : L'injection de prompts est présentée comme une forme d'ingénierie sociale contre les agents IA. Des instructions malveillantes cachées dans des sources web peuvent manipuler la décision de l'agent, exploitant sa « compréhension » du langage naturel, de la même manière qu'un humain serait manipulé par un email de phishing.

5. Signification et Conclusion

Ce travail apporte une contribution majeure en passant d'une vision individualiste de la sécurité à une vision sociotechnique.

• Pour les organisations : Il démontre que la sécurité ne dépend pas uniquement de la formation individuelle, mais de l'interaction entre la psychologie de l'employé et l'environnement organisationnel (culture, rôles, normes). Une culture forte peut compenser une faible conscience individuelle.
• Pour la sécurité de l'IA : Il propose un nouveau paradigme pour sécuriser les agents autonomes. Au lieu de traiter l'IA uniquement comme un problème technique, il suggère d'appliquer les leçons de la psychologie comportementale humaine pour anticiper les vulnérabilités des agents IA face aux manipulations linguistiques.

En conclusion, l'article plaide pour une stratégie de sécurité unifiée qui protège à la fois les humains et les agents numériques agissant en leur nom, en reconnaissant que les vecteurs d'attaque et les mécanismes de défense partagent des racines comportementales communes.