Pour une cybersécurité collaborative
La cybersécurité n 'est pas un sujet d'une complexité insurmontable. Encore faut-il que les différentes parties-prenantes changent de culture, et s'impliquent dans la protection de l'ensemble des acteurs de l'économie.
Adoption des protocoles les plus efficaces, pari d'une éducation à la cybersécurité, les pistes sont nombreuses pour un Internet plus sûr.L’affaire des infrastructures
Nos infrastructures numériques sont construites autour de normes qui fournissent un cadre tangible : réseau, protocoles, services.
Utilisateurs d’internet, entreprises, institutions, nous pâtissons d’une mauvaise habitude : une adoption lente et tardive des innovations. C’est le cas du protocole HTTPS. Au départ, il était uniquement réservé aux interfaces de paiement, particulièrement sensibles.
Puis la sécurisation HTTPS s’est généralisée car elle permet aussi de sécuriser les données personnelles, dont les mots de passe, dans une relation transactionnelle avec un site. Une adoption massive et généralisée qui protège les utilisateurs lors de leurs navigation et transactions a finalement eu lieu ces dernières années. Elle est due à la décision prise par Google de moins bien référencer ceux qui ne feraient pas l’effort du tout HTTPS. Décision intervenue en 2014 et confirmée en 2016 alors que le HTTPS fêtera l’année prochaine ses 20 ans, la RFC[1] 2660 qui définit HTTPS a été publiée en… 1999.
C’est le risque d’une moindre visibilité chez Google qui aura permis ce déploiement massif et rapide. Tandis que des spécialistes et associations recommandent depuis longtemps son adoption par défaut.
Les normes de sécurité ont ceci de commun avec les obligations légales que les utilisateurs oublient le pourquoi de leur existence. Or s’en emparer dès qu’elles sont disponibles, les déployer intelligemment permet de gagner du temps contre les attaques informatiques et les comportements inappropriés des individus qui peuvent créer des failles dans les systèmes de sécurité.
L’affaire des plateformes
Il est impossible de compter les plateformes qui existent. Rien qu’en France, et celles-ci sont internationales le plus souvent, la FEVAD recense 204 000 sites de e-commerce, et il n’existe pas de chiffre qui totalise les plateformes de service en ligne, de mise en relation, de divertissement, etc.
Introduite par le Règlement Général sur la Protection des Données (RGPD), qui entrera en vigueur le 25 mai prochain, la notion de « Security by Default » doit s’imposer comme un contrat de confiance entre services en ligne et utilisateurs.
Cette notion tend à obliger les services en ligne à prévoir la sécurisation des données personnelles dès la conception d’un service et à considérer que la sécurité est un standard. Le Règlement dit : « les mesures appropriées doivent être prises », en fonction de la nature des données.
C’est donc la jurisprudence qui fera office de guide dans les précisions; néanmoins, on peut souhaiter une prise de conscience de ceux qui publient sur Internet. Les développements Web ne devraient pas se faire sans une prise en compte de la sécurité et la mise en œuvre des tests qui la vérifient. De même la notion de cybersécurité devrait faire partie intégrante de tout cahier des charges et être un attendu fondamental. Les marchés publics techniques doivent intégrer la sécurité dans leurs livrables. Enfin, les formations du web et les cursus techniques doivent intégrer l’enseignement des concepts de sécurisation des applications.
La cybersécurité est un enjeu sociétal, et si elle n’existe pas dans toutes les phases de conception et de production, cela signifie qu’un grand nombre d’acteurs, de parties prenantes impliquées, n’en mesurent pas l’importance, jusqu’au prochain acte malveillant. Alors que tous peuvent l’intégrer dans leur travail en amont.
L’affaire de tousLa sécurité n’est pas le dévolu d’une élite scientifique, institutionnelle et entrepreneuriale, qui réglerait tous les problèmes, tant les possibilités sont infinies et les sujets complexes.
Nous devons donc considérer que la sécurité est l’affaire de tous, y compris de chaque utilisatrice ou utilisateur d’Internet. Les internautes sont des citoyens et à ce titre ils sont directement impactés par la malveillance et la négligence informatique. Vols, arnaques, détournement d’identité, fragilisation du système d’information de son entreprise, les exemples sont légion.
Pour cela, nous devons renforcer la prise de conscience de l’importance des problématiques de sécurité, sans agiter la peur, mais en activant la connaissance. Plusieurs pistes sont à soutenir. Ensemble, elles constituent un corpus d’action fortes qui peuvent transformer sainement notre rapport individuel au risque. On peut citer le soutien financier aux formations spécialisées qui viennent renforcer les cursus de développeurs web. Le renforcement de ce thème dans les démarches d’Éducation au Numérique de la CNIL. Et bien sûr, la question de la cybersécurité doit faire partie du socle commun d’enseignement à chaque fois qu’il est question d’Internet, de code ou d’algorithme.
Soyons, toutes et tous, en conscience, mobilisés pour faire d’Internet un espace plus sûr.
[1] Request for comment, littéralement « demande de commentaire » ; il s’agit d’un ensemble de documents qui font référence auprès de la Communauté Internet et qui décrivent, spécifient, aident à l'implémentation, standardisent et débattent de la majorité des normes, standards, technologies et protocoles liés à Internet et aux réseaux en général.