Cybersécurité : comment renforcer la confiance des Français ?
Alors que les Français sont de plus en plus inquiets des risques cyber, le point sur quelques pistes pour renforcer leur confiance.
Une nouvelle enquête publiée mercredi 30 mars 2022 montre que la peur des cyberattaques et du piratage de données est une préoccupation pour l’ensemble des Français. En effet, d’après cette étude réalisée par l’institut de sondages Ifop, 89% des personnes interrogées estiment "élevés" les risques de cyberattaques et de détournements des données personnelles aujourd’hui. Ce chiffre a grimpé de 9 points par rapport à décembre 2019.
D’après l’étude KPMG CEO Outlook 2021, la cybersécurité est devenue une préoccupation prioritaire des dirigeants d’entreprise et les Français sont de plus en plus inquiets des risques cyber, notamment dans le contexte actuel de la guerre en Ukraine. Comment renforcer leur confiance ?
L’évaluation de la confiance
Dans un monde hyperconnecté, il est crucial de s’assurer que les solutions utilisées soient réellement sécurisées et fiables. Il existe en effet de nombreux critères à prendre en compte pour savoir quel niveau de confiance leur accorder. Aujourd’hui en France, des organismes essentiels comme l’Agence nationale de la sécurité des systèmes d'information (ANSSI) participent à la promotion d’une culture de la cybersécurité auprès des particuliers et des entreprises de toutes tailles. L’ANSSI accompagne les organisations, notamment celles aux activités sensibles (signalisations aériennes, hôpitaux, acteurs du nucléaire, etc.), dans la sécurisation de leurs systèmes d’information. Elle délivre des certifications et des qualifications aux éditeurs de logiciels en fonction du niveau de sécurité des solutions. En choisissant un produit certifié, l’utilisateur est assuré que ses fonctionnalités offrent un niveau de sécurité éprouvé et résistent aux attaques d’un niveau déterminé. La qualification est une deuxième étape. Elle confirme la recommandation par l’État français de produits ou services de cybersécurité éprouvés et approuvés par l’ANSSI.
En plus des certifications et qualifications, des labels viennent aussi attester de la sécurité des solutions, comme "France Cybersecurity" ou "Cybersecurity Made in Europe". De plus, des groupements d’acteurs de la cybersécurité apportent une visibilité et une autorité à ses membres, comme l’Alliance pour la confiance numérique (ACN) ou Hexatrust. Contrairement aux certifications de l’ANSSI, ces labels et groupements ne présentent aucune valeur d’ordre technique, mais ils permettent de créer un écosystème identifié autour de la cybersécurité et de sensibiliser l’opinion publique, les décideurs politiques et les entreprises.
Vulgarisation
En parallèle, il est important de vulgariser les termes techniques liés à la cybersécurité afin de sensibiliser le plus grand nombre et d’éviter toute confusion, comme ça peut être le cas pour le chiffrement de bout en bout. Cette technologie de sécurité, aussi appelé end-to-end encryption ou E2EE, assure que seuls émetteurs et destinataires sont à même d’avoir accès à des données échangées. Elle est différente du "cryptage", qui signifie que personne ne connaît le moyen de décoder les données pour les comprendre. Grâce à la vulgarisation de ces notions, le grand public aura toutes les clés en mains pour faire des choix avisés. De plus, il est crucial que l’État continue de promouvoir et de défendre des technologies de sécurité telles que le chiffrement de bout en bout. Il doit poursuivre la mise en place de règlementations pour protéger les utilisateurs et leurs données, comme le Digital Service Act (DSA).
Points de vigilance
Se tourner vers des solutions sécurisées et recommandées par l’Etat est une première étape, mais il est également important de regarder dans le détail le niveau de sécurité d’une solution. Ainsi, il convient de vérifier si une petite partie ou la totalité de la solution a été évaluée. L’utilisateur pourra juger de la fiabilité de l’évaluation uniquement s’il y a une vraie cohérence globale dans le contrôle. Aujourd’hui, certains éditeurs demandent à des organismes de certification européens, qui sont impartiaux et indépendants, d’évaluer une partie insignifiante de leur solution pour obtenir une certification, ou bien affichent un label de cybersécurité sur leur site web. Cependant, cela ne garantit en aucun cas l’évaluation complète de leur solution. C’est à l’utilisateur de se poser les bonnes questions et de vérifier quelles certifications, qualifications ou labels ont été obtenus.
De plus, les certifications et qualifications sont datées. Elles doivent être renouvelées régulièrement afin que l’éditeur améliore son niveau de sécurité au fur et à mesure de l’évolution des technologies. Il est donc essentiel pour l’utilisateur de vérifier la date des dernières évaluations réalisées. Enfin, pour être valides, elles doivent être effectuées par une entité ou une personne extérieure à l’entreprise. Ainsi, de nombreux éditeurs font du bug bounty, qui consiste à payer des entreprises spécialisées dans le piratage informatique ou hacking afin que des professionnels testent le niveau de sécurité de leur solution.
Vers une généralisation du critère cybersécurité
Le 3 mars 2022, l’État a annoncé le vote d'une certification attestant du niveau de sécurité des plateformes numériques destinées au grand public : le CyberScore, qui entrera en application le 1er octobre 2023. Cette nouvelle règlementation souligne la préoccupation croissante des Français concernant la cybersécurité. Ce critère ne sera plus réservé qu’aux éditeurs de solutions de cybersécurité mais bien à toutes les solutions numériques. Une démarche importante qui viendra également renforcer la confiance des Français dans le numérique.
Un éditeur ne pourra plus mettre de côté la cybersécurité de ses solutions, à l’image d’un constructeur automobile qui ne peut plus faire l’impasse sur l’installation d’airbags, alors même qu’ils ne sont pas obligatoires. La démocratisation du sujet de la cybersécurité et l’exigence des utilisateurs ne seront que bénéfiques pour tout l’écosystème du numérique, qui sera obligé de revoir à la hausse les niveaux de sécurité de toutes ses solutions.