Diane Rambaldini (ISSA) "En matière de cybersécurité, nous devons passer de la sensibilisation à l'acculturation"
La sensibilisation est un des enjeux clés de la cybersécurité, pour éviter des attaques futures et créer des projets de carrière chez le jeune public. Entretien avec Diane Rambaldini, présidente et cofondactrice de l'ISSA France.
JDN. Quel est votre point de vue sur l'état de la sensibilisation en matière de cybersécurité ?
La sensibilisation au risque cyber est un peu en échec. Quand je dis cela, je parle plus de ce qu'on a fait de cette sensibilisation. On a l'impression, quand on regarde les chiffres de la cybercriminalité, que cela ne cesse d'augmenter. On en parle partout, même au journal de 20 heures. Il y a aussi le sujet du cyberharcèlement qui entraine parfois des morts. Donc, on a une prise de conscience au sein de la population. Mais paradoxalement, les gens se retrouvent tout de même un peu démunis. Les personnes qui ne sont pas issues du sérail de la cybersécurité sentent que le sujet est inaccessible, car trop technique. De plus, elles ne savent pas qui joindre en cas d'urgence cyber, car il n'y pas d'équivalent du 15 ou du 17. Certes, il existe des initiatives comme Cybermalveillance, mais il faut du temps pour pénétrer dans les foyers.
Et dans les entreprises ?
Cela dépend énormément. Dans certaines, le sujet est pris à bras le corps et on y dédie un budget. Dans d'autres c'est plus de l'ordre du décorum, on va acheter un module de e-learning ou on fait quelques campagnes test de phishing. C'est pour cela que nous sommes un peu en échec sur la sensibilisation, qui est quelquefois devenue un simple gadget. Au final, combien d'entreprises sont capables d'expliquer leurs campagnes de sensibilisation? Quels objectifs ont-elles ? Qui en a la en charge ? Est-ce qu'on multiplie les méthodes de sensibilisation ? Toutes sont-elles travaillées ? On a l'impression que le sujet n'a pas été posé scientifiquement et managé. C'est pour cela que pour nous, il faut appuyer sur l'accélérateur et passer dans un schéma d'acculturation. Que l'on rentre dans une démarche plus réfléchie et managée.
Comment effectuer cette acculturation ?
Il existe un excellent document fait par l'Enisa (Agence de l'union européenne pour la cybersécurité, ndlr), dans lequel on suit un projet de bout en bout. On nomme des responsables, on fixe des objectifs et on trouve des indicateurs de performance. Et en définitive, ce qui distingue une acculturation d'une sensibilisation, c'est la place qu'on accorde à la personne concernée. La sensibilisation impose et ne prend pas en compte les besoins de l'utilisateur.
J'ai par exemple une mission de sensibilisation dans une industrie, avec des agents dans des usines qui avaient tous un poste et un mot de passe partagé. Si on commence à vouloir appliquer le petit manuel de la cybersécurité, on va vouloir changer tout cela sans chercher à comprendre d'où vient cette spécificité du mot de passe commun, et on crée une situation pire que celle de départ. Mais si on analyse la manière dont travaillent ces agents, on se rend compte que la raison d'être du mot de passe commun était que dans le secteur de l'industrie on n'a pas de temps à perdre avec des mots de passe différents. Il faut vraiment s'intéresser aux personnes et voir s'il s'agit d'un caprice, d'une mauvaise habitude, ou s'il existe une vraie raison qui bloquerait un changement dans les pratiques. La sécurité doit prendre en compte les contraintes de chaque personne. Par exemple, c'est ce que fait l'ISSA avec le jeune public : comprendre pour mieux accompagner.
Y-a-t-il un pays modèle en termes d'acculturation ?
Le Canada, qui est très avancé sur un grand nombre de sujets, dont la cybersécurité grâce à une meilleur pédagogie. On peut aussi citer la Suisse, où à l'école on a une semaine dédiée à la protection numérique.
L'ISSA mène des actions auprès des jeunes, quels seraient vos conseils pour les parents ?
Depuis deux ans, nous menons des ateliers de parentalité numérique. Et quand on dit parents, nous parlons aussi des professeurs, des éducateurs, en fait de toutes les personnes ayant des responsabilités auprès d'une jeune personne. Le fait nouveau dans l'histoire de l'humanité, c'est que les parents ont l'impression que les rôles d'apprenant et d'apprenti sont inversés. Résultat, certains parents ne se sentent pas assez confiants pour jouer leur rôle. Alors que le fait d'être un parent donne le poids suffisant pour rester le point de repère de son enfant. Quand un jeune vit une mésaventure numérique, il faut qu'il puisse se dire "je peux aller voir papa ou maman pour en parler ". Le parent doit s'intéresser à la vie numérique de son enfant et ne surtout pas se fermer sur la question, sinon cela empirera la situation.
Faudrait-il intégrer le ministère de l'Education nationale dans l'écosystème cyber public ?
Il commence à s'intégrer à cet écosystème. Il ne faut pas oublier que le ministère de l'Education nationale est une grande machine, donc cela prend du temps, mais nous sommes en bonne voie. Des initiatives apparaissent. Par exemple, toutes les classes de seconde doivent désormais suivre la matière SNT (sciences numériques et technologiques). On a quelques critiques sur ce programme car tout ce qui touche au social et à l'économie n'est pas abordé, on laisse beaucoup de place à la technique. Et cette surcharge de technique a pour effet de désintéresser un grand nombre d'élèves de la filière cybersécurité. Sur les 1 500 jeunes passés dans nos ateliers et qui en parallèle suivent ces cours de SNT, un seul souhaite rentrer dans le monde de la cybersécurité. L'écosystème cyber doit aussi aller à la rencontre de ces jeunes. L'initiative du Campus Cyber qui fait se rencontrer des professeurs avec des membres du secteur cyber aura un effet bénéfique, car les professeurs vont ensuite parler de ces métiers à leurs élèves. Pour résumer, nous sommes en bonne voie mais il ne faut pas relâcher nos efforts.