Bruno Teboul travaillera étroitement avec les équipes Produit, Intelligence Artificielle et Technique de Mailinblack. À terme, ces recherches pourraient permettre à Mailinblack de personnaliser davantage son outil de formation aux cyberattaques Cyber Coach en fonction des comportements propres à chaque collaborateur.

Les sciences cognitives au coeur de son parcours académique

Bruno Teboul, âgé de 52 ans, est diplômé d’une maîtrise de philosophie et d’un DEA de Sciences Cognitives de l’Ecole polytechnique et de l’EHESS (double diplôme). Doctorant au Centre de recherche en épistémologie appliquée de l’Ecole Polytechnique (CREA), il s’intéresse au phénomène de « psychose naissante » et publie un mémoire critique sur l’approche de la psychiatrie traditionnelle (dont l’ouvrage de références est le DSM III-R) sous l’angle des neurosciences et de la psychopathologie cognitive.

Après son entrée dans la vie active, il complète sa formation en 2004 par l’obtention du diplôme Executive MBA HEC Paris. En 2012, il concentrera ses recherches sur les neurosciences du consommateur (critique du neuromarketing), l’économie comportementale et notamment les travaux de Kahneman & Tversky sur la « behavioural economics » à travers un doctorat de l’Université Paris-Dauphine (PSL).

Des recherches donnant naissance à la “cybersécurité cognitive”

En parallèle de ses activités académiques, il poursuit sa carrière professionnelle dans le conseil (Data, IA & Cybersécurité) au sein de grandes ESN. En 2020, il rejoint la startup ALEIA (plateforme souveraine d’IA) et commence à publier des articles sur l’approche neurocognitive de la cybersécurité. Son article sur l’« Approche cognitive des cyberattaques par ingénierie sociale » montre comment et pourquoi les cyberattaques sont en réalité des « attaques psychologiques ».
Il explique : « Les cyberattaques par ingénierie sociale sont l’un des types d’attaques informatiques qui exploitent les failles et les faiblesses psychologiques, bien humaines, en tentant de persuader un individu (une victime) à agir comme prévu, selon un scénario malicieux et efficace à la fois. Ces attaques informatiques exploitent les faiblesses des interactions humaines et des constructions comportementales et culturelles qui se produisent sous de nombreuses formes, y compris le « phishing », « l’escroquerie », les « fraudes au Président », le « spear phishing » et les « sock puppets » sur les réseaux sociaux ».

En avril 2022, il publie un nouvel article fondateur, « le tournant cognitif de la cybersécurité : changement de paradigme et prolégomènes à la cybersécurité cognitive », où il décrit l’avènement d’une nouvelle discipline : la cybersécurité cognitive. Il explique dans un premier temps les limites actuelles d’une approche « technocentrée » de la cybersécurité, impuissante et incapable de faire face à l’explosion des cyberattaques par ingénierie sociale.
Dans une seconde partie, il énonce l’erreur de raisonnement et de diagnostic à l’origine de la prolifération des cyberattaques par ingénierie sociale. Puis, il formule les premières fondations, au sens de « prolégomènes » à toute cybersécurité future. Il associe à l’analyse de certains biais cognitifs (connus de la littérature et des hackeurs), l’évaluation des traits psychologiques comme le stress, la baisse de la vigilance, ou encore la charge cognitive trop élevée, états dans lesquels peuvent se trouver les victimes avant une cyberattaque.
Enfin, il présente son « Neurocyber Framework » composé de 8 critères d’évaluation qui sont tous des facteurs de vulnérabilité́ psychologique face aux cyberattaques par ingénierie sociale. Ce cadre propice à l’expérimentation prendra la forme de tests psychologiques grâce auxquels il pourrait définir des profils psychologiques (des « psychotypes neurocyber ») plus ou moins vulnérables aux cyberattaques.