Le 21 mai 2026, Eric Flury et Tomislav Bodrozic donneront à la Take Aware à Düsseldorf une conférence sans slides sur les types d'attaque et sans checklists. À la place, les participants vivront en direct comment leur propre cerveau les induit en erreur, et pourquoi c'est la vraie base de toute attaque de social engineering réussie.
Toute personne qui lit cet article connaît le problème. Des programmes d'awareness sont menés, des simulations de phishing tournent, des formations sont suivies. Et pourtant, des incidents se produisent. Quelqu'un clique quand même sur le mauvais lien. Quelqu'un transmet quand même des données qu'il n'aurait jamais dû divulguer.
L'explication habituelle est la suivante : les personnes étaient inattentives. Ou elles n'ont pas fait attention. Ou elles ne savaient pas mieux.
Cette explication est fausse. Et c'est précisément le sujet de cette conférence.
La vraie question : pourquoi des personnes intelligentes peuvent-elles être manipulées ?
Le social engineering ne fonctionne pas d'abord parce que les personnes ne savent pas assez. Il fonctionne parce que la perception, l'attention, la certitude et le jugement humains sont, dans des conditions tout à fait normales, systématiquement faillibles et influençables de manière ciblée.
Ce n'est pas une affirmation philosophique. C'est un fait bien étayé empiriquement par la psychologie cognitive. Et cela a des conséquences directes sur la manière dont les programmes d'awareness doivent être construits s'ils veulent réellement produire un effet.
La conférence suit une ligne claire : quatre illusions, quatre étapes psychologiques, une conclusion inconfortable.
Étape 1 : l'attention peut être détournée
La première illusion montre quelque chose que la plupart des participants ne croient pas avant de l'avoir vécu eux-mêmes : même concentré et attentif, on passe à côté de l'essentiel.
En psychologie cognitive, ce phénomène est connu sous le nom d'inattentional blindness. Daniel Simons et Christopher Chabris ont montré en 1999, dans leur célèbre expérience, que des personnes concentrées sur une tâche spécifique passent de manière fiable à côté de changements évidents dans leur environnement immédiat, même lorsqu'elles pensent être pleinement attentives.*
Le problème n'est pas un manque de concentration. Le problème, c'est que l'attention a déjà un travail, et que tout ce qui se trouve hors de ce travail passe automatiquement à l'arrière-plan.
Pour le social engineering, cela signifie : rendre une chose visible permet de détourner l'attention de l'attaque réelle. L'urgence d'un faux e-mail, le rôle autoritaire d'un appelant, un objet familier : ce ne sont pas des astuces qui travaillent contre le cerveau. Ce sont des leviers que le cerveau n'a pas besoin de surmonter, parce qu'ils l'utilisent tout simplement.
Étape 2 : la cohérence ressemble à la vérité
La deuxième illusion rend visible quelque chose d'encore plus inconfortable : même ce que nous vivons subjectivement comme certain n'est pas une réalité neutre. C'est une construction plausible de notre cerveau.
La rubber hand illusion, décrite pour la première fois par Botvinick et Cohen en 1998, le démontre de manière impressionnante : le cerveau intègre des stimuli sensoriels contradictoires en un ensemble plausible, plus vite et plus convaincamment que nous ne l'imaginons.** Le cerveau ne construit pas une copie 1:1 du monde. Il construit une hypothèse.
Lorsque suffisamment de signaux concordent, quelque chose paraît réel. Le rôle convient. Le langage convient. Le timing convient. Le canal convient. La cohérence est alors facilement confondue avec la vérité. Et dans les entreprises, on appelle parfois cela : « ça avait l'air plausible ».
La certitude subjective n'est pas un label de vérité. C'est l'une des phrases centrales de la conférence, et elle a des conséquences directes pour tous ceux qui évaluent des simulations de phishing ou des tests de social engineering.
Étape 3 : la familiarité nous rend paresseux dans la vérification
La troisième illusion montre à quel point nous détectons mal les changements lorsque le contexte paraît familier.
Change blindness, l'incapacité à percevoir des changements dans une scène lorsqu'ils sont introduits au bon moment, a été largement étudiée par Daniel Simons et Daniel Levin.*** Les personnes détectent les changements de contexte, de rôle et d'identité beaucoup moins bien qu'elles ne le pensent. Lorsqu'un environnement semble familier, le cerveau réduit automatiquement l'effort de vérification.
Pour les attaquants, c'est l'une des propriétés les plus précieuses de la perception humaine. Un nouvel interlocuteur, une adresse e-mail légèrement modifiée, une étape de processus à peine différente : tout paraît encore assez familier pour que personne ne freine intérieurement.
Étape 4 : même en réfléchissant, nous cherchons la confirmation, pas la réfutation
La quatrième illusion touche le plus durement ceux qui se fient à leurs capacités analytiques.
Le confirmation bias, c'est-à-dire la tendance à rechercher de préférence des informations qui confirment notre première hypothèse, fait partie des biais cognitifs les mieux documentés. Peter Wason l'a décrit pour la première fois en 1960 ; Daniel Kahneman l'a rendu accessible à un large public dans "Thinking, Fast and Slow".**** Dès que nous avons une explication plausible, nous la stabilisons au lieu de la remettre en question.
Cela ressemble à de l'analyse. Mais souvent, ce n'est qu'une confirmation confortable. En incident response, dans l'évaluation de la fraude et dans l'appréciation des risques, c'est un vrai problème. La manipulation ne s'arrête pas à la première impression. Elle devient vraiment forte lorsque notre pensée l'aide ensuite.
La conclusion : ce que cela signifie pour l'awareness
Si ces quatre étapes sont justes, il ne suffit pas d'informer les collaborateurs sur les schémas d'attaque. La simple reconnaissance ne suffit pas.
Une awareness efficace doit entraîner autre chose : interrompre la première impression. Ne pas confondre plausibilité et vérité. Ne pas confondre familiarité et légitimité. Ne pas confondre première hypothèse et connaissance.
Cela ne fonctionne pas avec des slides. Cela fonctionne avec des formats dans lesquels les personnes n'entendent pas seulement parler de ces mécanismes, mais les vivent dans leur propre corps. C'est précisément l'approche que Mindcraft poursuit dans ses formats. Et c'est précisément ce qu'Eric Flury et Tomislav Bodrozic montreront en direct sur scène à la Take Aware 2026 le 21 mai.
À propos de la conférence : pourquoi cette intervention est pertinente maintenant
La Take Aware 2026 se tient sous la devise #8ORING, mindfulness et nouvelle forme d'ennui avec et par l'IA. Le contexte : une étude de psychologie des profondeurs menée par le Brand Science Institute pour le BSI montre que l'IA ne fait pas seulement gagner du temps, mais crée aussi de l'agitation intérieure et des temps morts. Et le temps mort, comme une sous-sollicitation générale, constitue un risque sérieux pour la sécurité de l'information.
L'intervention d'Eric Flury et Tomislav Bodrozic s'inscrit dans ce cadre plus précisément qu'il n'y paraît d'abord. Car si l'IA modifie la charge cognitive des collaborateurs, en retirant des tâches routinières tout en sollicitant autrement concentration et jugement, les quatre étapes de la conférence deviennent d'une urgence nouvelle : qui, dans un quotidien de travail marqué par l'IA, est encore capable d'interrompre la première impression ? Qui vérifie la plausibilité lorsque des contenus générés par IA sonnent plausibles par définition ?
Pour les CISOs et awareness managers qui veulent comprendre pourquoi leurs programmes, malgré des investissements élevés, ne produisent pas le changement de comportement souhaité, cette intervention offre un point d'entrée concret : pas une présentation de plus sur les types d'attaque, mais une confrontation directe avec ce qui rend l'awareness difficile dans son coeur même.
La Take Aware aura lieu du 19 au 21 mai 2026 au b'mine Hotel à Düsseldorf-Flingern. L'intervention d'Eric Flury et Tomislav Bodrozic est prévue le 21 mai à 13 h 45 dans le programme principal.
Conclusion
La manipulabilité n'est pas un signe de stupidité. C'est le prix à payer pour un cerveau qui travaille vite, efficacement et généralement de manière utile. Les attaquants utilisent précisément cette force, et en font une faiblesse.
Une bonne awareness ne commence pas par de meilleures explications. Elle commence par mieux vivre, vérifier et interrompre.
* Simons, D. J. & Chabris, C. F. (1999). Gorillas in our midst: Sustained inattentional blindness for dynamic events. Perception, 28(9), 1059–1074.
** Botvinick, M. & Cohen, J. (1998). Rubber hands 'feel' touch that eyes see. Nature, 391, 756.
*** Simons, D. J. & Levin, D. T. (1998). Failure to detect changes to people during a real-world interaction. Psychonomic Bulletin & Review, 5(4), 644–649.
**** Wason, P. C. (1960). On the failure to eliminate hypotheses in a conceptual task. Quarterly Journal of Experimental Psychology, 12(3), 129–140. Kahneman, D. (2011). Thinking, Fast and Slow. Farrar, Straus and Giroux.