La mobilisation la plus large est le seul levier viable et pérenne pour contrer les cyberattaques

La mobilisation la plus large est le seul levier viable et pérenne pour contrer les cyberattaques

Photo de Jason Goodman sur Unsplash

Notre vision collective de la cyber, autant chez les non-spécialistes que chez les experts et les dirigeants, est à réexaminer en profondeur. Pour maximiser l'efficacité de nos interventions individuelles et notre protection collective. Car l'écosystème des attaquants évolue beaucoup plus vite que celui des défenseurs.

L'efficacité collective des attaquants est redoutable. L’écosystème s’industrialise. Sur leurs enjeux cyber, les cybercriminels pensent “client” beaucoup plus efficacement que les défenseurs. Et détournent les outils marketing usuels (publicité en ligne, plateformes d’e-mailing, landing pages, partage de fichiers, services du cloud…). Les cybercriminels et cyber espions collaborent, échangent des outils, partagent leur R&D. Ils coopèrent avec les mafias criminelles classiques. Comme le font certains États. Quand nous, défenseurs, sommes aux balbutiements. Et nous restons dispersés, malgré les initiatives d’ampleur comme le Campus Cyber, qui va dans le bon sens de constituer cette “équipe de France” cyber, dans une logique de structuration du marché. Ou encore, dans l’Union Européenne, la directive NIS2, le Cybersecurity Act et l’arrivée de la labellisation cyber.

Ne cherchons plus à sensibiliser : cela ne fonctionne pas. Dans notre étude menée avec Harris Interactive, publiée en 2020, 80% des salariés d'entreprises françaises de plus de 50 collaborateurs (échantillon représentatif de 648 salariés) disent appliquer les bonnes pratiques de cybersécurité. Simultanément, ils sont tout aussi nombreux à déclarer des usages inadaptés. Pour ne prendre qu’un seul exemple, ils sont 78% à utiliser des mots de passe identiques pour plusieurs plateformes. À quoi bon ajouter une couche de sensibilisation ? Faut-il l’ajouter au marteau ? Ou à coup de tests de phishing ?

Dès à présent, nous devons mobiliser le plus largement. La mobilisation appelle les volontaires. Parions sur notre intelligence collective, en la nourrissant d’informations cyber de qualité. Et d’expériences engageantes. Au quotidien, mesurons l'efficacité de cette mobilisation. Cette mobilisation est démontrée par une démarche soutenue par la science.

En creux, Guillaume Poupard, le DG de l’ANSSI, sur LinkedIn, lie clairement l’efficacité de la cybersécurité aux aspects humains : “𝐂𝐲𝐛𝐞𝐫𝐬𝐞́𝐜𝐮𝐫𝐢𝐭𝐞́ : Malgré tous nos efforts d’anticipation, de sensibilisation, de prévention, de détection, de réponse à incident, de défense... il demeure primordial que chacun se protège à son niveau face aux menaces numériques en appliquant les gestes barrières numériques”.

Cette idée de gestes barrières numériques, si leur mise en application est clé, rappellent pour beaucoup l’analogie du “firewall humain”. Pourtant, cette analogie correspond difficilement à la réalité sociologique, qui n’est pas binaire, et aux besoins fondamentaux de chacun. Heureusement, ces besoins ne se limitent pas aux travaux de Maslow (1943).

Il est déjà tard pour bien faire. Par bien des aspects, trop tard. Car nous accumulons un retard, collectif, conséquent. Aujourd’hui encore, sont mis sur le marché des produits, parfois même des dispositifs médicaux, qui comportent des familles de failles pourtant connues depuis plus de 20 ans. C’est une faillite collective.

Mais sans une véritable révolution du domaine, ce sera pire demain : smart cities avec reconnaissance faciale et gestion des services publics de proximité, exosquelettes, cobots en usine, voire robots “chien” ou humanoïdes de Boston Dynamics auxiliaires de police, au bureau ou en restauration collective, etc. Dans plusieurs secteurs, ce numérique bien physique est déjà une réalité quotidienne, notamment au travers de drones de surveillance.

Ensemble, avec tous ceux qui se sentent concernés par cet enjeu majeur de notre monde, nous ne devons pas subir une telle transformation digitale. Menons cette révolution collective, celle d’une sécurité digitale en même temps plus efficace et plus éthique, au service de l’humain.