La cybersécurité, du domicile au bureau

Cette chronique souligne la nécessité de former les particuliers non experts de la cybersécurité aussi bien dans le cadre de leur vie privée/personnelle que dans le cadre professionnel.

Tous les professionnels du secteur en ont déjà fait l’expérience. Il leur suffit d’évoquer la cybersécurité pour susciter chez les non experts des sentiments complexes qui oscillent entre incompréhension et curiosité.

Interpellez maintenant votre entourage sur la sécurité de leur domicile. Il y a fort à parier que vous aurez un intérêt plus marqué de leur part. La seule évocation d’un cambriolage en fera, par exemple, frémir plus d’un.

Alors pourquoi un tel décalage ?  D’un côté la sécurité physique des biens et des personnes, et de l’autre la sécurité numérique?

Le terme de cybersécurité est sans doute trop vaste et trop conceptuel pour nos concitoyens. A raison puisque, derrière le terme de cybersécurité se cache de multiples domaines d’expertise : protection des systèmes d’informations, protection des réseaux, chiffrement, protection des données personnelles, vie privée, conformité légale et normative, audit de sécurité, etc. Et la vaste majorité de ces domaines concernent aussi bien les professionnels que les particuliers dès lors que nous utilisons tous des systèmes d’information (ordinateur, smartphone, tablette, IOT etc.)

La continuité de la cybersécurité

Là est l’enjeu pour les professionnels de la cybersécurité : assurer la continuité de la sécurité numérique tout au long de la journée, depuis l’environnement personnel jusqu’à l’environnement professionnel. Si nous parlons de continuité d’activité dans le cadre de la sécurité des systèmes d’information, il est temps de parler de continuité de la sécurité depuis le domicile jusqu’au travail.

Nos environnements numériques personnels et professionnels sont liés et coexistent tant sur le plan des usages que sur le plan géographique. Le développement du télétravail et du nomadisme a créé une interdépendance forte. On parle d’ailleurs aujourd’hui de BYOD « bring your own device », concept créé pour désigner l’utilisation de systèmes d’information personnels pour une utilisation professionnelle.

Il devient donc urgent de créer cette continuité et cette cohérence des usages entre les environnement personnels et professionnels. On ne peut plus traiter séparément ces deux cadres de vie qui s’interpénètrent. Affirmer l’inverse reviendrait à adopter un comportement schizophrénique voué à l’échec.

Cela consisterait par exemple à dire qu’une personne qui n’a aucune hygiène numérique chez elle (pas de mise à jour systématique, mots de passe faibles, dispersion de données personnelles aux 4 coins du web), peut en revanche adopter un comportement irréprochable au bureau (mots de passe régulièrement changés, VPN, antivirus à jour, pas de connexions aux réseaux sociaux, etc.). Ce n’est tout simplement pas vrai.

Soyons cohérents et mettons en oeuvre cette continuité de l’hygiène numérique partout quelle que soit notre profession et notre style de vie numérique. C’est la condition d’une amélioration globale de la cybersécurité en France.

Trois faits d’actualité emblématiques

  1. Hameçonnage des comptes personnels de formation (CPF) : une fraude à hauteur de 43 millions d’euros, des milliers de victimes[1]
  2. Piratage de la banque en ligne Revolut : 50 000 clients se sont fait voler leurs données personnelles et bancaires[2]
  3. L’hôpital de Corbeil-Essonnes est rançonné à hauteur de 10 millions de dollars[3]

D’une part, on constate que tous les secteurs de la société sont impactés : une entreprise privée (une banque en ligne), une organisation publique (un hôpital) et des milliers de particuliers.

D’autre part, la grande majorité des attaques utilisent la principale vulnérabilité, la plus grande et la plus difficile à contrer : le facteur humain. Cette vulnérabilité ne pourra être résolue que grâce à la formation et la sensibilisation.

Pour corroborer ce propos, prenons les chiffres de demande d’assistance sur la plateforme gouvernementale : cybermalveillance.gouv.fr. En 2021, le public majoritaire était représenté par les particuliers (90%!) et l’une des demandes les plus importantes concernait l’hameçonnage «phishing», c’est à dire une forme d’attaque par ingénierie sociale, autrement dit de la manipulation.

Cybersécurité et vie privée

L’enjeu central des prochaines années ne se résume donc pas seulement à protéger les organisations, mais surtout et avant tout à former et sensibiliser les personnes.

Et pour éveiller l’intérêt de tous les Français, il nosu faut leur parler de leur vie numérique quotidienne, ce qu’ils font de leurs outils informatiques. Une simple sensibilisation à la sécurité ne peut pas suffire, il faut aller plus loin, susciter davantage d’interrogations sur les données personnelles qu’ils produisent quotidiennement.

Posons leur ces questions : qu’avez-vous créé comme données aujourd’hui ? Où sont-elles ? Sont-elles en sécurité ? Qui peut les utiliser ? Votre vie privée est-elle exposée ? Seriez vous prêt à laisser une personne inconnue y accéder pour des raisons commerciales ou malveillantes ? Ces quelques questions doivent les inciter à progressivement s’interroger sur ce qui est fait de leur vie numérique, sous l’angle à la fois de leur sécurité et de leur vie privée. Alors la cybersécurité pourra devenir une préoccupation réellement partagée par tous.