À mesure que les développeurs continueront d'inventer de meilleures mesures de sécurité, rendant l'exploitation de failles techniques de plus en plus difficiles, les agresseurs se tourneront davantage vers l'exploitation de l'élément humain. Percer le pare-feu humain est souvent facile, ne requiert aucun investissement (si ce n'est en appels téléphoniques) et implique un risque minimum.
Avec le temps, et quelle que soit l’excellence de notre formation, nous finissons par négliger certaines procédures. Nous oublions alors cette formation au moment critique, c’est-à-dire précisément au moment où nous en avons besoin. On pourrait penser qu’à peu près tout le monde sait (ou devrait savoir) qu’il ne faut pas donner son nom d’utilisateur et son mot de passe.
Chacun devrait être averti du modus operandi du manipulateur : il rassemble le plus d’informations possible sur la cible et les utilise pour inspirer confiance au même titre qu’un initié. Puis il attaque tous azimuts.
L’instauration d’un sentiment de confiance n’implique pas qu’il faille à chaque fois passer une série d’appels téléphoniques à la victime, comme dans l’histoire précédente. Je me souviens d’un incident dont j’ai été témoin, où cinq minutes ont suffi.
Il est dans la nature humaine de croire nos semblables, en particulier lorsqu’ils formulent des demandes qui paraissent raisonnables. Les manipulateurs utilisent ce point faible pour exploiter leurs victimes et atteindre leurs buts.
Toute la ruse est fondée sur l’une des tactiques fondamentales de la manipulation, qui consiste à avoir accès à des informations qu’un employé de l’entreprise considère anodines, alors qu’elles ne le sont pas.
En réalité, une personne malveillante peut mettre à mal la sécurité d’une entreprise simplement en se procurant certains renseignements ou documents : il s’agit généralement d’informations qui paraissent tellement anodines, tellement courantes et sans importance que la plupart des employés ne voient aucune raison de les protéger ou d’en contrôler la diffusion.
La sécurité d’une société est une question d’équilibre. Si la sécurité pèche par défaut, votre entreprise est vulnérable ; si elle pèche par excès, cela conduit plutôt à délaisser les affaires courantes, paralysant la croissance et la prospérité de l’entreprise. Le défi consiste à atteindre un équilibre entre sécurité et productivité.
Naturellement, la supercherie n’est pas le seul outil du manipulateur. Le terrorisme physique crée les événements les plus importants, et nous en sommes venus à réaliser comme jamais auparavant que le monde est dangereux. La civilisation n’est, après tout, qu’un mince vernis.
Une société qui achète les meilleures technologies de sécurité disponibles dans le commerce, qui forme son personnel à verrouiller tous ses secrets avant de quitter l’entreprise le soir et qui engage des vigiles auprès de la meilleure entreprise de gardiennage, n’en reste pas moins vulnérable.
On peut dire que le « métier » d’expert en persuasion comprend deux spécialités. Celui qui escroque et vole l’argent d’autrui appartient à la catégorie de l’escroc. Celui qui use de supercherie, de persuasion et de son pouvoir d’influence à l’encontre des entreprises, en visant généralement leurs informations, appartient à l’autre catégorie, celle du manipulateur.
