ReSCIND : réimaginer la sécurité avec des systèmes de défense basés sur la cyberpsychologie

L’IARPA a publié un appel d’offres pour un programme visant à exploiter les biais psychologiques des hackers à des fins de cyberdéfense pour son programme Reimagining Security with Cyberpsychology-Informed Network Defenses, ou ReSCIND.

Le programme ReSCIND vise à améliorer la cybersécurité en développant un nouvel ensemble de défenses fondées sur la cyberpsychologie qui exploitent les limites humaines de l’attaquant, telles que les biais innés de prise de décision et les vulnérabilités cognitives. ReSCIND cherche à développer de nouvelles méthodes pour : 1) identifier et modéliser les limites humaines ou les biais cognitifs pertinents pour le comportement des cyberattaquants, 2) comprendre, mesurer et induire des changements dans le comportement et le succès des cyberattaques, et 3) fournir des algorithmes pour l’adaptation automatique de ces solutions sur la base du comportement observé des cyberattaquants. ReSCIND cherche à renforcer les cyberdéfenses traditionnelles afin de rééquilibrer l’asymétrie de la cyberdéfense en imposant une cyberpénalité aux attaquants – entraînant une perte de temps et d’efforts – ce qui permet de retarder et de contrecarrer les attaques.

L’appel d’offres décrit un programme en trois phases, d’une durée de 45 mois, qui vise à identifier les vulnérabilités cognitives des cyberattaquants, les modèles cognitifs permettant de prédire le comportement des attaquants et, enfin, à produire des défenses adaptatives basées sur la psychologie qui déploient des défenses spécifiques en fonction du comportement des attaquants.

La cyberpsychologie est devenue une étude en développement des interactions humaines avec les appareils connectés à l’internet, se concentrant souvent sur des domaines où les outils basés sur le web ont le potentiel d’avoir un impact sur la santé mentale, comme les médias sociaux, ou d’influencer la prise de décision, comme le commerce électronique.

Un document publié en 2019 par des chercheurs de l’Arizona State University, du Laboratory for Advanced Cybersecurity Research et du Naval Information Warfare Center suggère de déployer une stratégie qui repose sur le déclenchement de biais cognitifs établis affectant le jugement humain – identifiés pour la première fois par les psychologues Daniel Kahneman et Amos Tversky – et de les utiliser pour confondre et contrecarrer les cyber-attaquants.

Le programme ReSCIND prévoit de mettre ces stratégies en œuvre.

Le programme comprend une phase I de 18 mois avec des recherches sur des sujets humains afin d’identifier les vulnérabilités cognitives et les méthodes nécessaires pour les « induire, les exacerber et les mesurer ».

La phase II durera 15 mois et consistera à mettre au point des « défenses fondées sur la cyberpsychologie » afin de perturber le comportement des cyberattaquants. La phase III durera 12 mois et consistera à appliquer les résultats de la recherche à des systèmes automatisés permettant de prédire le comportement des attaquants et d’y répondre.

Le BAA n’indiquait pas de plafond pour les contrats, mais précisait que des attributions multiples étaient attendues et que « les ressources financières mises à disposition dans le cadre de ce BAA dépendront de la qualité des propositions reçues et de la disponibilité des fonds ».