H'umain - L'ingénierie sociale, les biais cognitifs et la formation en entreprise - Parce que... c'est l'épisode 0x662!
Parce que… c’est l’épisode 0x662!
Shameless plug
17 au 20 novembre 2025 - European Cyber Week
25 et 26 février 2026 - SéQCure 2026
14 au 17 avril 2026 - Botconf 2026
28 et 29 avril 2026 - Cybereco Cyberconférence 2026
9 au 17 mai 2026 - NorthSec 2026
3 au 5 juin 2025 - SSTIC 2026
Description
Introduction et parcours professionnel
Youna Chosse-Bentabed est ingénieure en sécurité réseau spécialisée en social engineering (ingénierie sociale). Son parcours illustre une transition intéressante du monde très technique des réseaux vers l’aspect humain de la cybersécurité. Cette évolution s’est amorcée par la création de contenu sur LinkedIn, où elle démystifiait les concepts de hacking pour un large public. Cette démarche l’a menée à une prise de conscience fondamentale : si le hacking technique et physique est important, c’est le hacking humain qui constitue la clé de voûte de la sécurité informatique.
Pour approfondir ses compétences, elle s’est formée aux États-Unis auprès de Christopher Hadnagy, considéré comme une référence mondiale en social engineering. Son objectif est désormais de démocratiser cette expertise en France et en Europe, où le domaine accuse un retard par rapport aux États-Unis, similaire à celui qu’avait le pentesting il y a quinze ans.
Qu’est-ce que le social engineering ?
Le social engineering est défini comme l’art de manipuler les autres pour obtenir des informations ou atteindre un objectif précis. Cette pratique prend de multiples formes dans notre quotidien : phishing (courriels frauduleux), vishing (appels téléphoniques), smishing (SMS), et intrusion physique. La réalité est que nous sommes tous exposés à ces attaques de manière constante. Une statistique particulièrement révélatrice indique que 72 % des incidents de sécurité impliquent un facteur humain. Pourtant, lorsqu’on demande au public qui pense avoir déjà subi une attaque de social engineering, peu de mains se lèvent, témoignant d’un manque de conscience de la régularité de ces menaces.
Les services offerts aux entreprises
Youna propose deux approches principales pour accompagner les organisations. La première consiste en des masterclass d’une à deux journées, particulièrement adaptées aux TPE, PME et collectivités territoriales disposant de budgets limités. Ces formations combinent théorie et exercices pratiques pour que les participants deviennent acteurs de leur sécurité et apprennent à penser comme des hackers.
La seconde approche implique des audits réels avec intrusion physique, cartographie des vulnérabilités et identification des failles humaines. La solution la plus efficace pour augmenter la vigilance consiste à attaquer régulièrement l’entreprise dans le cadre de contrats à long terme (de un à cinq ans), avec des campagnes de phishing, vishing et smishing adaptées aux besoins spécifiques. L’intrusion physique, bien que moins fréquente, représente l’aspect le plus excitant du métier, nécessitant reconnaissance, création d’une légende (pretexting) et planification minutieuse de la mission.
La culture du “no blame”
Un principe fondamental de l’approche de Youna est la culture du “no blame” (sans reproche). Cette philosophie est essentielle car tout le monde peut tomber dans les pièges du social engineering, et il est contre-productif de culpabiliser les employés. L’expérience montre qu’une personne piégée une fois a moins de chances de récidiver. L’approche consiste à gamifier le processus, à rendre la remontée d’informations gratifiante et à accompagner les personnes qui se font prendre de manière constructive. Cette culture doit être établie dès le départ avec le top management et clairement intégrée dans les contrats.
Les biais cognitifs exploités
Les attaquants exploitent de nombreux biais cognitifs, dont plusieurs sont particulièrement efficaces. Le biais d’urgence est probablement le plus puissant, souvent associé au phénomène d’amygdala hijacking. L’amygdale, cette petite zone du cerveau qui assure notre survie depuis des millions d’années, nous fait perdre 60 % de notre capacité de raisonnement face à une situation d’urgence. La bonne nouvelle est qu’il n’existe jamais de situation réelle nécessitant une réaction dans les 30 secondes. Prendre 20 à 30 secondes pour respirer et se questionner permet de réactiver le raisonnement.
D’autres biais fréquemment exploités incluent le biais d’autorité (difficile de remettre en question un supérieur, un médecin ou un policier), le biais de réciprocité (notre désir naturel de rendre service) et le biais de conformité (si tout le monde le fait, je le fais aussi, et l’importance d’être cohérent avec l’image qu’on projette).
Stratégies de défense et formation
La défense la plus efficace commence par la prise de conscience de l’existence de ces biais. Toutefois, la formation purement théorique ne suffit pas, car les réactions exploitées sont émotionnelles et 90 % de nos actions quotidiennes relèvent de l’automatisme. D’où l’importance cruciale d’exercices pratiques et concrets qui permettent d’observer différemment les situations et soi-même.
La formation doit être récurrente et non ponctuelle. L’idéal est d’établir un lien direct avec l’utilisateur lorsqu’il clique sur un lien malveillant, en lui expliquant immédiatement ce qui s’est passé et pourquoi, permettant une intégration directe dans la mémoire.
L’aspect éthique et l’ocytocine
Youna met l’accent sur l’éthique de son travail. Formée dans cette optique par Christopher Hadnagy, elle applique le principe de laisser les gens qu’elle croise dans un meilleur état qu’avant leur rencontre. Elle n’utilise jamais de chantage, de blackmail ou de techniques de coercition basées sur la peur.
Un concept fascinant abordé est celui de l’ocytocine, l’hormone de la confiance. Cette hormone, connue comme “l’hormone de l’amour”, est ce qui permet aux humains de travailler ensemble à travers le monde avec des personnes qu’ils n’ont jamais rencontrées. Le pic d’ocytocine se produit particulièrement lorsque quelqu’un nous dit qu’il nous fait confiance, créant un rapport fort et une envie de rendre service. Paradoxalement, la coopération et la confiance s’avèrent être des leviers extrêmement efficaces en social engineering. L’écoute active fait des miracles, et les gens ont naturellement tendance à beaucoup parler lorsqu’ils se sentent écoutés et validés.
Conclusion et perspective globale
Le social engineering dépasse largement le cadre de la cybersécurité d’entreprise. Les techniques et biais exploités sont identiques à ceux utilisés dans la désinformation, la manipulation de l’information et l’influence des démocraties. Dans un contexte d’infobésité et de bulles de filtres, développer une culture de vigilance de l’information devient essentiel, tant pour protéger l’entreprise que pour mieux comprendre le monde dans lequel nous vivons.
La clé réside dans deux éléments fondamentaux : le jeu et la connaissance de soi. Créer une responsabilité collective où chacun devient acteur de la sécurité, tout en développant sa capacité à se connaître et à identifier quand on est manipulé, constitue la meilleure défense. Cette approche transforme la vulnérabilité humaine en force, en mobilisant notre capacité d’apprentissage et d’adaptation.
Youna poursuit cette réflexion dans son podcast “Human Ecos”, où elle explore les liens entre cybersécurité, sciences humaines, philosophie et psychologie, offrant une vision non cloisonnée de ces enjeux qui façonnent nos sociétés et démocraties contemporaines.
Notes
Human Echoes
Collaborateurs
Nicolas-Loïc Fortin
Youna Chosse-Bentabed
Crédits
Montage par Intrasecure inc
Locaux réels par Intrasecure inc
France