Points communs entre les victimes de vol d'informations : 2 schémas comportementaux qui devraient repenser la formation en cybersécurité

Par Andréanne Bergeron, chercheuse en sécurité

Les cyberattaques ne sont pas de simples événements technologiques. Ce sont des interactions sociales au cours desquelles les attaquants exploitent des biais cognitifs, des déclencheurs émotionnels et des tendances comportementales prévisibles.

Les formations traditionnelles en cybersécurité passent souvent à côté de cette réalité. Les modules standardisés, les cours annuels de conformité et les accusés de réception de politiques génériques sont largement mis en œuvre, mais leur efficacité dans La modification des comportements dans le monde réel reste limitéeLe problème ne réside pas dans la qualité du contenu, mais dans un décalage fondamental entre la manière dont la formation est dispensée et le comportement réel des utilisateurs dans les environnements numériques.

Pour réduire les risques, les programmes de sensibilisation doivent s'adresser aux utilisateurs là où ils se trouvent : dans les environnements numériques qu'ils utilisent réellement. En comprenant leurs comportements, nous pouvons élaborer des stratégies de prévention pratiques, ciblées et pertinentes.

Nous avons étudié les victimes de logiciels malveillants voleurs d'informations afin de les comparer au reste des internautes et ainsi mieux comprendre les facteurs comportementaux et environnementaux qui les distinguent des utilisateurs classiques. Ces résultats nous permettent d'élaborer des stratégies de prévention plus ciblées et efficaces. 

Points clés concernant les victimes de logiciels malveillants voleurs d'informations

• Les victimes passent beaucoup plus de temps dans les environnements de divertissement, de jeux et de médias sociaux. et beaucoup moins de temps passé sur les sites professionnels/techniques, par rapport à l'ensemble des internautes. C'est le principal résultat empirique de l'analyse de 10 198 journaux de vol de données par rapport au trafic web de référence de Tranco.
• Les plateformes de jeux, les sites de divertissement et les réseaux sociaux constituent les canaux de distribution précis sur lesquels s'appuient les opérateurs de logiciels malveillants. (Réseaux publicitaires, communautés de modding, portails de téléchargement non officiels, logiciels groupés). Plus on passe de temps dans ces environnements, plus on est exposé à des infrastructures malveillantes.
• Les victimes présentent des habitudes de navigation compatibles avec un comportement numérique impulsif.: La surreprésentation des sites axés sur les loisirs et des sites moins grand public suggère une tendance aux actions rapides et peu réfléchies (cliquer sur des liens inconnus, télécharger des logiciels non officiels), que les acteurs malveillants exploitent activement grâce à des déclencheurs émotionnels comme l'urgence, la curiosité et l'excitation.
• L'exposition structurelle et la prédisposition comportementale créent un effet cumulatif: Aucun de ces facteurs, pris isolément, n'explique pleinement la victimisation. C'est la combinaison du temps passé dans des environnements à haut risque qui est déterminante. et présentant des habitudes de navigation impulsives qui augmentent considérablement la probabilité de compromission, et que les programmes de formation génériques ne prennent pas en compte.
• La prévention doit cibler les écosystèmes réellement utilisés par les victimes.: Les scénarios de formation devraient intégrer les modifications de jeux, les téléchargements non officiels, les logiciels malveillants publicitaires et les arnaques sur les réseaux sociaux, plutôt que de se concentrer exclusivement sur l'hameçonnage en entreprise. Les programmes de sensibilisation génériques et standardisés n'atteignent pas les utilisateurs les plus vulnérables.

Pourquoi les formations génériques en cybersécurité sont insuffisantes

Comme le souligne le Institut National des Standards et de la technologieLa composante humaine de la cybersécurité doit être activement impliquée, évaluée en continu et intégrée à des stratégies de défense plus globales. Concrètement, cela implique de dépasser la simple sensibilisation passive pour adopter des modèles de formation adaptatifs et comportementaux qui privilégient l'apprentissage contextuel, le retour d'information en temps réel et l'implication situationnelle.

Cette perspective est étroitement liée au concept de profilage des victimes issu du domaine de la victimologie. premiers fondements théoriques Ces théories ont été développées par des chercheurs tels que Hans von Hentig et Benjamin Mendelsohn, qui ont souligné que la victimisation ne peut être comprise uniquement à travers les actes des agresseurs. Elle résulte plutôt de l'interaction entre le comportement de l'agresseur, le contexte environnemental et les caractéristiques ou habitudes des victimes potentielles. 

Le profilage des victimes ne vise pas à blâmer les victimes ; il a plutôt pour objectif d'identifier les schémas et les conditions qui augmentent la vulnérabilité, afin que des stratégies de prévention puissent être conçues pour réduire l'exposition au risque et renforcer les comportements protecteurs. 

D'un point de vue préventif, le profilage des victimes de cybersécurité offre aux organisations un outil puissant pour dépasser la simple gestion des incidents isolés. En analysant les tendances comportementales et structurelles plus larges parmi les victimes, les organisations peuvent identifier les schémas de risque récurrents, anticiper les vecteurs de menace et concevoir des interventions ciblées. 

Un aperçu récent dans le Journal of Risk Research elle situe le comportement humain comme un facteur central et sous-exploré dans la recherche sur les risques en cybersécurité, renforçant ainsi la nécessité d'approches de prévention intégratives et fondées sur les comportements. 

Les programmes de sensibilisation et les outils de défense sont plus efficaces lorsqu'ils sont adaptés aux caractéristiques et aux comportements réels des populations à risque, plutôt que de s'appuyer sur des avertissements génériques.

Afin de contribuer à cet ensemble croissant de connaissances, nos recherches portent sur une meilleure compréhension des caractéristiques des individus fragilisés par logiciel malveillant voleur d'informationsL’objectif est d’identifier les facteurs comportementaux et environnementaux qui distinguent ces victimes des internautes lambda. En clarifiant ces différences, l’étude vise à soutenir le développement d’outils de cybersécurité et de campagnes de prévention mieux adaptés aux réalités des utilisateurs les plus exposés à cette forme de cybercriminalité.

Les victimes de vol d'informations sont-elles représentatives de la population générale ?

Étude des victimes de vol d'informations : méthodologie

Afin de mieux comprendre les caractéristiques comportementales associées à la victimisation par des logiciels malveillants voleurs d'informations, nous avons mené une analyse empirique des victimes. L'étude s'est appuyée sur un échantillon aléatoire d'environ trente personnes. de fichiers cleptogiciels Les journaux d'activité ont été collectés quotidiennement tout au long de l'année 2025, constituant ainsi un ensemble de données de 10 198 utilisateurs compromis. Ces journaux contiennent des informations extraites par un logiciel malveillant de type vol d'informations, notamment des traces de navigation et des identifiants associés aux appareils compromis.

Comme le montre le graphique ci-dessous, les journaux de vol de données contiennent des informations précieuses sur le profil comportemental de la victime. À partir de l'historique de navigation d'une victime, ils permettent de comprendre les environnements numériques visités avant la compromission. Pour analyser ces tendances, nous avons classé les sites web visités en catégories comportementales afin de saisir le comportement de navigation global des victimes.

Analyse de l'historique de navigation d'une victime à titre d'exemple d'information sur son comportement

Pour évaluer si les victimes présentent des comportements de navigation distincts, nous avons comparé les catégories de sites Web visités par les utilisateurs compromis avec la répartition des sites Web populaires sur l'Internet en général. 

Pour la comparaison de référence, nous nous sommes appuyés sur Liste des transactionsTranco est un classement des domaines les plus populaires sur le web, établi à des fins de recherche. Contrairement aux classements de popularité traditionnels, la liste Tranco agrège de multiples sources et applique des méthodes de filtrage conçues pour limiter les manipulations et les biais de mesure. Elle constitue un ensemble de données de référence largement utilisé dans la recherche universitaire pour estimer la distribution du trafic web général.

Chaque site web des deux ensembles de données a été classé selon son activité : professionnelle, réseaux sociaux, jeux vidéo, divertissement, finance, etc. La comparaison des deux distributions a révélé plusieurs différences statistiquement significatives entre les victimes de vol d’informations et l’ensemble des internautes. Les résultats sont présentés ci-dessous :

Comparaison des comportements en ligne des victimes de vol d'informations et de la population générale

Principales conclusions : En quoi le comportement de navigation des victimes diffère-t-il ?

Nous avons deux conclusions principales concernant les sites sous-représentés et surreprésentés pour les victimes de vol d'informations :

1. Les sites professionnels et techniques sont largement sous-représentés parmi les victimes de vol d'informations.

Le résultat le plus frappant concerne les sites web professionnels ou liés aux affaires. Ces plateformes apparaissent beaucoup moins fréquemment dans l'historique de navigation des victimes que ne le laisserait supposer leur présence dans l'écosystème internet en général. Cela suggère que les utilisateurs compromis passent beaucoup moins de temps à interagir avec des plateformes professionnelles ou axées sur la productivité que ce que l'on pourrait attendre de leurs habitudes de navigation habituelles.

D'autres catégories associées à des communautés d'utilisateurs plus techniques ou soucieuses de la sécurité (telles que les services d'anonymat, les plateformes financières, les ressources sur les cryptomonnaies, les forums de piratage et les forums de discussion) sont également moins visitées par les victimes que leur popularité globale sur le web ne le suggérerait.

2. Les identifiants liés au divertissement, aux jeux vidéo et aux réseaux sociaux sont largement surreprésentés dans les registres des voleurs d'identifiants.

À l'inverse, les catégories liées aux loisirs et aux environnements interactifs en ligne sont nettement surreprésentées. Les plateformes de médias sociaux, les sites de divertissement et les écosystèmes de jeux vidéo apparaissent beaucoup plus fréquemment dans l'historique de navigation des victimes que dans l'ensemble du trafic web. De même, les sites web considérés comme suspects en raison de leur lien avec des activités criminelles sont également légèrement surreprésentés parmi les victimes.

Pourquoi ces habitudes de navigation augmentent les risques

Ces résultats suggèrent que les habitudes de navigation des victimes de vol d'informations diffèrent sensiblement de celles des internautes en général. Les victimes semblent passer plus de temps dans des écosystèmes numériques hautement interactifs axés sur le divertissement, les jeux et les interactions sociales, et comparativement moins de temps dans des environnements professionnels ou techniques. Ces observations ont des implications directes en matière de cybersécurité.

Exposition structurelle : passer plus de temps dans des environnements à haut risque

Les écosystèmes numériques où les victimes passent le plus clair de leur temps (plateformes de jeux, sites de divertissement et réseaux sociaux) hébergent fréquemment les canaux de distribution utilisés par les opérateurs de logiciels malveillants. Ces environnements comprennent des réseaux publicitaires, des portails de téléchargement, des communautés de modding et des dépôts de logiciels non officiels. Ces surfaces peuvent exposer les utilisateurs à des publicités malveillantes, des téléchargements compromis, des tentatives d'hameçonnage ou des logiciels malveillants intégrés. Passer du temps dans ces environnements accroît l'exposition structurelle aux cybermenaces, simplement en plaçant les utilisateurs dans des environnements où l'infrastructure malveillante est plus répandue.

Prédisposition comportementale : schémas compatibles avec un comportement numérique impulsif

L'exposition à elle seule n'explique pas entièrement la victimisation. La légère surreprésentation des visites sur des sites web moins grand public, combinée à la prévalence des écosystèmes de jeux et de divertissement, suggère un schéma cohérent avec un comportement numérique impulsif ou à risque. La recherche psychologique associe depuis longtemps l'impulsivité à une plus grande tendance à s'engager dans des activités sans pleinement considérer les conséquences potentielles. Dans les environnements en ligne, cela peut se traduire par des comportements tels que le téléchargement rapide de fichiers, le clic sur des liens inconnus, l'installation de logiciels non officiels ou l'interaction avec des contenus persuasifs.

Les cybercriminels exploitent activement ces tendances. De nombreuses techniques de cyberattaque reposent sur la manipulation émotionnelle, tirant parti de la curiosité, de l'urgence, de l'excitation, de la peur ou de la cupidité pour déclencher des décisions hâtives. Les campagnes d'hameçonnage, les faux téléchargements de logiciels et les publicités malveillantes s'appuient souvent sur ces leviers psychologiques pour contourner toute évaluation rationnelle. Lorsque les utilisateurs interagissent dans des environnements où de tels stimuli sont fréquents, le risque de compromission augmente.

Effet cumulatif des expositions structurelles et des prédispositions comportementales

Lorsque ces deux mécanismes fonctionnent simultanément, la probabilité de compromission augmente considérablement. Les utilisateurs qui passent du temps dans des environnements numériques à haut risque et qui naviguent de manière impulsive s'exposent à des risques accrus que les programmes de formation classiques ne permettent pas de gérer pleinement.

Ce que cela signifie pour la prévention

Ces résultats confortent une conclusion centrale de la littérature plus générale sur la cybersécurité : les stratégies de sensibilisation doivent être adaptées aux comportements réels des utilisateurs qu’elles visent à protéger. Les formations génériques à la sécurité, qui supposent des habitudes et des motivations de navigation uniformes, ne tiennent pas compte des environnements à risque spécifiques dans lesquels évoluent de nombreux utilisateurs. Si les victimes sont particulièrement actives dans les jeux vidéo, les divertissements et les réseaux sociaux, les messages de sensibilisation doivent aborder directement les risques associés à ces environnements. Cette approche s’inscrit dans la continuité de plusieurs décennies de recherche criminologique démontrant que la prévention est plus efficace lorsqu’elle prend en compte le contexte concret dans lequel les risques se manifestent. Les scénarios de formation ou les campagnes de sensibilisation devraient intégrer des exemples concernant : 

• modification du jeu
• téléchargements non officiels
• logiciels malveillants basés sur la publicité
• arnaques sur les plateformes sociales

Plutôt que de se concentrer exclusivement sur les scénarios d'hameçonnage d'entreprise classiques, ces exemples peuvent enrichir et renforcer les programmes de formation. En savoir plus sur profilage des victimes dans ce blog. 

Ces exemples doivent compléter (et non remplacer) les scénarios d'hameçonnage d'entreprise traditionnels et être présents dans la formation afin d'atteindre les utilisateurs qui en ont le plus besoin. 

La sensibilisation à la cybersécurité ne doit pas se limiter à informer les utilisateurs des menaces. Elle doit tenir compte des écosystèmes comportementaux dans lesquels ils évoluent réellement. Lorsque les stratégies de prévention s'appuient sur des observations empiriques du comportement des victimes, elles dépassent le stade des avertissements génériques et deviennent des outils capables de réduire significativement les risques.

Prévention personnalisée avec Foretrace

Aider les utilisateurs à reconnaître et à comprendre leurs propres comportements numériques est au cœur des efforts de prévention de Flare. Dans cette optique, nous avons lancé Avant-traceForetrace est un outil conçu pour analyser l'activité des utilisateurs et identifier les comportements associés à un risque accru de cybersécurité. En examinant les éléments du profil numérique de l'utilisateur, Foretrace met en évidence les failles potentielles et fournit des recommandations personnalisées visant à réduire l'exposition aux menaces. Plutôt que de se fier à des messages de sensibilisation génériques, cette approche privilégie un retour d'information personnalisé, permettant ainsi aux utilisateurs de mieux comprendre comment leurs habitudes en ligne quotidiennes peuvent influencer leur niveau de cybersécurité.