Insight 〰️ La France veut-elle vraiment diffuser la culture de la cybersécurité ?

Tribune par Sylvan Ravinet.

Ce 27 septembre a été lancé le mois européen de la cybersécurité. Cette édition 2022 marque la 10e année de cette initiative commune à l’Agence Européenne de cybersécurité (ENISA) et aux Etats membres. Les actions de communication se multiplient dans tous les pays et un grand nombre de supports et d’événements sont créés. Il faut se féliciter de cette initiative d’ampleur.

Mais l’ENISA le reconnaît dans son rapport d’évaluation du mois européen de 2021 : l’efficacité de ce programme reste fondamentalement… inconnue. L’agence estime avoir touché 20 millions d’Européens sur les près de 450 millions d’habitants de l’Union. Soit, au maximum, 4,4 % d’entre nous. Moins d’un Européen sur 20 a été touché par la campagne de 2021, sans toutefois que la mémorisation et les changements effectifs ne soient mesurés. Consciente des limites des indicateurs dont elle dispose, l’institution appelle aussi à mener des recherches sur la mesure de l’aspect comportemental de la cybersécurité. Mais cela parmi les multiples initiatives qu’elle mène, avec les moyens limités dont elle dispose1.

Donnons-nous vraiment les moyens de diffuser cette culture de la cybersécurité ? Il est permis d’en douter. A quel point est-elle vitale pour notre résilience collective ? Quelle est l’urgence ?

Il est urgent de mieux diffuser la culture de la cybersécurité

Et cela en Europe comme dans l’ensemble de la société française. Malgré la couverture média désormais fréquente, le travail de plus en plus intense des institutions (ENISA, ANSSI, Gendarmerie, cybermalveillance.gouv.fr, IHEDN…), des associations et clubs professionnels (CIGREF, CESIN, AMRAE, CDSE, ISSA…) et l’arrivée du lieu totem qu’est le Campus Cyber, il faut bien le reconnaître : pour le moment, la cybersécurité reste un sujet d’experts. 

Car le thème cyber est perçu comme anxiogène, complexe, peu accessible. De surcroît, il requiert des compétences digitales de base, alors que l’illectronisme est un phénomène réel qui touche 19% des Français (INSEE). Plus largement, plus d’un Français sur trois éprouve des difficultés d’usage de base du numérique. En pratique, malgré les bonnes intentions et les incantations, les compétences de base en cybersécurité sont donc loin d’être accessibles à tous. Sans parler des comportements à modifier.

Pourtant le cyber fait partie des enjeux fondamentaux. Car il concerne chacun d’entre nous dans sa vie quotidienne, à domicile comme au travail. Il concerne encore plus nos enfants, qui vivront dans un univers totalement numérisé. Et il est illusoire de penser que la cybersécurité n’est qu’une affaire purement technologique, sous la seule responsabilité d'ingénieurs. Pour Imade Elbaraka, Associé cybersécurité de Deloitte, “Nous devons aller au-delà des démarches de sensibilisation, encore insuffisantes, afin de créer une « culture cyber » au sein de la population française”. L’ANSSI l’indique même en slogan depuis 2019 : “Tous connectés, tous impliqués, tous responsables”.

Les investissements augmentent mais le compte n’y est toujours pas

Financièrement, le compte n’y est pas. Les investissements nationaux sont devenus significatifs (1 milliard d'euros sur 5 ans jusqu’en 2025 pour le plan national d’accélération cyber, dévoilé en 2021 - soit 200 millions d’euros annuels2). Mais cet effort est, somme toute, relativement limité en proportion3. Pour comparaison, la stratégie nationale de cybersécurité britannique, sur la période 2021-2025, annoncée à 2,6 milliard de pounds, soit près de 3 milliards d’euros. Trois fois plus. Avec une dépense annuelle de l’ordre de 1 pour mille dédiée au sujet cyber, l’effort financier de l’Etat Français n’est manifestement pas adapté aux enjeux. 

Le compte n’y est pas non plus en qualité. C’est l’analyse d’organisations internationales (l’Union internationale des Télécommunications - UIT - positionne la France en 9e position en 2021) de centres de recherche (ici classement NCSI, la France en 11e position) ou encore de cabinets d’analystes (Oliver Wyman positionne la France en 15e position). 

Le problème est loin d’être réglé. Prenons l'exemple de l’éducation. Car, depuis peu sans conseiller dédié au sein du cabinet du ministre, dans le gouvernement actuel, la France n’a, à proprement parler, plus de politique numérique pour l’éducation4. Alors imaginez la densité de la politique spécifique de l’éducation sur la cybersécurité. C’est simple, à l’école, ce sujet régalien est laissé à la bonne volonté de quelques associations spécialisées et aux initiatives, remarquables, de grands assureurs tels que Axa. Mais ce n’est ni homogène, ni aligné sur les programmes, ni déployé à l’échelle. C’est peut-être une explication :  si le NCSC britannique a mis en place depuis au moins 2016 un département dédié à la cybersécurité socio-technique, qui publie, on attend son équivalent en France.

Une grande cause nationale ? Comme le dit Guillaume Poupard, Directeur général de l’ANSSI, en septembre 2022 : “la cybersécurité mérite d’être une grande cause nationale”. Ce qu’il avait déjà appelé de ses vœux devant l’assemblée nationale à l’été 2021 et en 2017. Malgré la sagesse de ses propos, il n’a pas encore été entendu.

Les conséquences sont déjà dramatiques

Ce n’est pas uniquement symbolique. A court terme comme à long terme, nous formons des générations de citoyens qui manquent de compétences numériques de base (“digital literacy”). Certes, ils auront probablement accès aux services essentiels dans le numérique (santé, commune…).  Mais ils sont d’avance condamnés à être des consommateurs du numérique, proies de l’économie de l’attention promue par les GAFAM plutôt que des utilisateurs-concepteurs capables d’innover pour créer les nouveaux usages, augmenter notre indépendance et développer notre économie. Comme ils manquent aussi de “cyber literacy", ils ne sont pas en capacité d’avoir les bons gestes numériques. Peu seront en capacité de prendre, à l’échelle de leur famille, de leur emploi, de leur entreprise, les décisions les plus adaptées à la sécurité de tous. 

Depuis plusieurs années, les écoles spécialisées manquent de candidats dans leurs formations en cyber. Le vivier de cyber experts pour le secteur privé ou de cyber combattants pour les armées reste limité. Alors que les ambitions sont fortes pour le développement du marché de la cybersécurité en France : tripler le chiffre d’affaires du secteur cyber et créer 37 000 emplois d’ici 2025. Au point où, dans ce marché, il est devenu plus difficile de recruter des experts que de vendre des prestations.

Tout aussi grave, les termes et leurs concepts fondamentaux restent peu maîtrisés, comme la cyberdéfense, la cyberdéfense et souveraineté / indépendance, dont les contours sont souvent flous autant pour les décideurs que pour les citoyens… et cela même pour nombre d’experts. 

Les conséquences ne sont pas simplement anodines mais déjà graves : elles créent des incompréhensions, des désalignements et des marges d’erreur importantes dans chaque décision. Nous en payons déjà le prix : c’est sur cette inaction et de longues années de négligence que se déploient aujourd’hui les gangs de rançonneurs numériques, qui munis de rançongiciels bloquent l’activité de nos entreprises et services essentiels tels que très récemment l'hôpital de Corbeilles Essonne. 

La société civile doit se saisir du sujet cyber

En période de paix, la résilience collective se trouve déjà affaiblie du manque de culture générale de la cybersécurité. Mais nous sommes entrés il y a quelques semaines en “économie de guerre”. Nous devons non seulement nous préparer à ce que la guerre en Ukraine se poursuive sur la durée (mois, années ?) mais aussi à ce qu’un conflit armé arrive, potentiellement, à nos frontières. Avec des défenses numériques collectives à mettre à niveau.

Donnons à la société civile les moyens de se saisir du sujet cyber. Comme l’indique Nicolas Glady, directeur de Telecom Paris dans sa tribune pour l’Opinion en octobre 2021 et le reprend le site de l’école : “En matière numérique comme en matière militaire, la question n’est pas de savoir comment ériger des murs infranchissables, mais comment former une nation entière !”. Pour former une véritable cyber résilience nationale. C’est au cœur de la stratégie nationale britannique de cybersécurité. Nous aussi, nous pouvons le faire. 

Si un conflit armé venait à nous toucher au cœur de notre pays, nous espérons tous que chaque citoyen saura se mobiliser, comme le font aujourd’hui les Ukrainiens qui prennent les armes face à l’envahisseur Russe. Dans le domaine numérique, au niveau de la société toute entière, comme de chaque entreprise et administration, et de chaque famille, n’attendons pas que la situation s’aggrave pour réagir trop tard. Utilisons pleinement les méthodes et outils aujourd’hui disponibles pour aider la société civile à se saisir du sujet cyber. Mobilisons et donnons dès aujourd’hui à chacun le pouvoir de participer à la cyber sécurité de tous.