Vous êtes le plus en danger lorsque vous êtes occupé : le "clic dangereux" causé par le multitâche - Les raisons surprenantes pour lesquelles vous tombez dans le piège des e-mails de phishing

Introduction──Au-delà des notifications incessantes

Zoom, Slack, feuilles de calcul et courriels non lus. Passant la majorité de notre temps de travail en "simultané", nous avons tendance à ignorer les petites anomalies dans les courriels. Des recherches récentes montrent que cette "négligence" n'est pas qu'une impression, mais un phénomène reproduit en laboratoire. L'attention dispersée——ou l'état de multitâche——aggrave la détection des tentatives de phishing. Et face à cette faiblesse, ce ne sont pas des "entraînements lourds" mais des légers "nudges" (incitations) efficaces "à l'instant" qui fonctionnent. C'est un point crucial rapporté par Phys.org le 11 octobre 2025.Phys.org

Essence de la recherche──Ce qu'une expérience comportementale à grande échelle a révélé

La recherche a été menée par une équipe centrée sur Binghamton University et University at Albany. Environ 977 participants ont été soumis à une tâche de discernement de la véracité des courriels sous "charge de mémoire de travail". Les résultats ont montré que plus la charge était élevée, plus la précision de détection de phishing diminuait. En revanche, l'ajout de simples rappels comme des bannières d'avertissement colorées en haut de l'écran ou des phrases courtes telles que "Ce message pourrait être une arnaque" a amélioré la détection même en multitâche.Phys.org

De plus, l'efficacité des nudges varie selon le "framing" du message. Les courriels utilisant un "framing de gain" avec promesse de récompense (ex : "Recevez votre carte cadeau maintenant") sont particulièrement trompeurs et les nudges sont efficaces. En revanche, pour les messages de "framing de perte" contenant des menaces (ex : "Compte suspendu sous 24h"), les destinataires sont déjà sur leurs gardes, rendant l'effet des nudges limité.techxplore.com

Les résultats de cette recherche sont publiés dans le European Journal of Information Systems (DOI: 10.1080/0960085X.2025.2548543).Phys.org techxplore.com

Pourquoi le multitâche nous rend-il vulnérables──Le nombre "de places" dans la mémoire de travail est limité

L'expéditeur suspect d'un courriel, une anomalie dans le texte, le domaine d'un lien——ces "signaux d'alerte" nécessitent des places libres dans la mémoire de travail. Cependant, lorsque nous gérons plusieurs tâches en parallèle, ces places se remplissent rapidement. L'expérience a démontré quantitativement que cet état "plein" conduit à des jugements imprécis, c'est-à-dire à des omissions de phishing. Les nudges proposés par l'équipe de recherche visent à "libérer une place d'attention juste à cet instant". Des UI légères comme des bannières ou des rappels textuels suffisent, selon les implications pratiques.techxplore.com

Intervention "à l'instant" plutôt que formations annuelles lourdes

En réponse à la question "La formation des employés peut-elle prévenir cela ?", une autre étude à grande échelle a jeté un froid. L'équipe de l'UC San Diego a testé 19 500 personnes dans des établissements de santé avec 10 simulations de phishing sur 8 mois, révélant que les formations annuelles et l'apprentissage intégré après un clic étaient peu efficaces, réduisant le taux de clics de seulement 2%. La conclusion était que "la forme actuelle de formation a peu de valeur pratique".techxplore.com

Dans ce contexte, l'étude sur le multitâche qui préconise des "nudges légers et adaptatifs au contexte" et leur intégration dans les outils quotidiens semble être une approche plus rentable que les formations théoriques lourdes. Comme le soulignent les résumés de Phys.org et TechXplore, l'intégration d'interventions "sur place" dans les flux de travail existants, tels que les bannières d'avertissement dans Outlook, l'intégration avec Slack/Teams, ou les invites de vérification liées aux notifications d'agenda, est la clé.Phys.org

Réactions sur les réseaux sociaux──"C'est la réalité" "Fatigue des bannières ?" Les avis du terrain

Depuis la publication de l'étude, la diffusion s'est poursuivie sur X (anciennement Twitter) à partir des communiqués universitaires et des publications des chercheurs. Le compte officiel de l'University at Albany a partagé un post présentant l'étude, et le service de communication de Binghamton a également diffusé le message clé "Le multitâche réduit la détection, un simple nudge fonctionne".X (anciennement Twitter)

Dans la communauté des professionnels, le débat est animé, souvent en lien avec les rapports sur l'inefficacité des formations lourdes. Sur les forums de cybersécurité de Reddit, de nombreuses voix expriment leur scepticisme quant à l'efficacité des formations annuelles, et appellent à des "mécanismes qui changent le comportement 'à l'instant'" et à une "réallocation des ressources vers des solutions techniques".Reddit

En parallèle des réactions positives, des préoccupations en termes de conception UI/ergonomie humaine sont également partagées, telles que "Éviter la fatigue des bannières (saturation des avertissements)" et "Les messages de menace (framing de perte) sont déjà perçus avec méfiance, donc une surabondance de nudges pourrait être contre-productive". Cela est en accord avec la différence observée dans l'étude, où les nudges sont plus efficaces avec le framing de gain.techxplore.com

Feuille de route pour une mise en œuvre pratique (efficacité immédiate × faible coût)

1. Bannières d'avertissement des clients de messagerie adaptées au "type de suspicion" (intervention plus forte pour les cas de gain).Phys.org

2. Prompts de vérification intégrés aux chats/calendriers——Affichage d'une question "L'URL que vous allez ouvrir est-elle authentique ?" juste avant ou après une réunion ou lors d'un changement de tâche.Phys.org

3. Tâches légères d'inspection d'URL (mise en évidence du nom de domaine ou réentrée) pour ralentir intentionnellement "l'élan d'un clic".arXiv

4. Renforcement des mesures techniques (adoption stricte de FIDO2/2FA, gestionnaires de mots de passe liés aux domaines).techxplore.com

5. Simulations ajustées "synchronisées au contexte"——Augmenter les envois pendant les périodes chargées, avec des nudges pour influencer le comportement "à l'instant".techxplore.com

6. Matériel pédagogique spécialisé pour le phishing par gain (framing de gain) disponible sous forme de courtes vidéos ou d'interactions.techxplore.com

7. KPI centrés sur l'humain (temps en secondes pour "ouvrir→lire attentivement→décider") pour éviter une surdose de nudges.

8. Anticiper la montée du phishing à l'ère de l'IA en adoptant la génération de texte d'avertissement en langage naturel et des UI dynamiques (pour éviter la saturation des modèles).strongestlayer.com

Conclusion──"Visualiser l'attention" pour sauver les gens de la dernière ligne de défense

Nous ne pouvons pas éliminer le multitâche. C'est pourquoi nous devons repenser la gestion de notre ressource limitée qu'est "l'attention". Ce que cette étude a démontré, c'est l'efficacité non pas de l'accumulation de formations lourdes, maisd'un mécanisme pour récupérer l'attention des gens pendant une seconde juste à cet instant. En insérant un minimum de friction dans l'UI des outils quotidiens, pour dire "attendez une seconde" juste avant un clic dangereux. Les organisations doivent investir dans cette "légèreté" dès maintenant.

Propulsé par Froala Editor