Insight 〰️ Contre les cyberattaques ? Arrêtons de sensibiliser.

Tribune par Sylvan Ravinet

Notre “logiciel” collectif sur le domaine cyber est à mettre à jour

Pourquoi ? Pour maximiser l'efficacité de nos interventions individuelles et notre protection collective. Car l'écosystème des attaquants évolue beaucoup plus vite que celui des défenseurs.

En effet, l'efficacité collective des attaquants est redoutable. L’écosystème s’industrialise. Sur leurs enjeux cyber, les cybercriminels pensent “client” beaucoup plus efficacement que les défenseurs. Et détournent les outils marketing usuels (publicité en ligne, plateformes d’e-mailing, landing pages, partage de fichiers, services du cloud…). Les cybercriminels et cyber espions collaborent, échangent des outils, partagent leur R&D. Ils coopèrent avec les mafias criminelles classiques. Et même avec certains États. 

Quand nous, défenseurs, sommes aux balbutiements. Et nous restons dispersés, malgré les initiatives d’ampleur comme le Campus Cyber, qui va dans le bon sens de constituer cette “équipe de France” cyber, dans une logique de structuration du marché. Ou encore, dans l’Union Européenne, la directive NIS2, le Cybersecurity Act et l’arrivée de la labelisation cyber.

Et si l’on arrêtait de chercher à sensibiliser ? 

80% des salariés d’entreprises françaises de plus de 50 collaborateurs disent appliquer les bonnes pratiques de cybersécurité. 

Simultanément, l’étude révèle aussi que 78% d’entre eux utilisent des mots de passe identiques pour plusieurs plateformes, ce qui peut laisser penser que bon nombre de salariés se voilent la face.

Alors, y a-t-il vraiment un intérêt à ajouter une couche de sensibilisation ? Faut-il l’ajouter au marteau ? Ou à coup de tests de phishing ?

Le secret est-il dans la mobilisation ?

La mobilisation appelle les volontaires, il devient donc impératif de mobiliser le plus largement autour de nous. Parions sur notre intelligence collective, en la nourrissant d’informations cyber de qualité. Et d’expériences engageantes.

Au quotidien, mesurons l'efficacité de cette mobilisation. Cette mobilisation sera démontrée par une démarche soutenue par la science.

Cette idée de gestes barrières numériques, si leur mise en application est clé, rappellent pour beaucoup l’analogie du “firewall humain”. Pourtant, cette analogie correspond difficilement à la réalité sociologique, qui n’est pas binaire. Elle ne correspond pas non plus aux besoins fondamentaux de chacun. Heureusement, ces besoins fondamentaux ne se limitent pas aux travaux de Maslow (1943), bien obsolètes. Mais combien d’experts cyber connaissent les théories plus récentes et leurs implications pratiques ?

Est-il déjà trop tard ?

À vrai dire, il est déjà tard pour bien faire, voire bien trop tard. Car nous accumulons un retard, collectif, conséquent. Aujourd’hui encore, sont mis sur le marché des produits, parfois même des dispositifs médicaux, qui comportent des familles de failles pourtant connues depuis plus de 20 ans. C’est une faillite collective.

Mais s’il n’y a pas de révolution rapide dans le domaine, demain sera pire : smart cities avec reconnaissance faciale et gestion des services publics de proximité, drones de surveillance ou d’intervention, exosquelettes, cobots en usine, voire robots “chien” ou humanoïdes de Boston Dynamics auxiliaires de police, au bureau ou en restauration collective, etc. Dans plusieurs secteurs, ce numérique bien physique est déjà une réalité quotidienne,

La mobilisation la plus large est le seul levier viable et pérenne pour contrer les cyberattaques. Alors, ensemble avec tous ceux qui se sentent concernés par cet enjeu majeur, agissons, mobilisons et menons la révolution d’une sécurité digitale plus efficace et plus éthique, au service de l’humain.

Sylvan Ravinet, expert en cybersécurité.