Chronique de Mounir Chaabane, Conférencier Sécurité et Stratégie IT

Spécialiste de la sécurité informatique et des conformités juridiques sur la protection des systèmes d’information, depuis plus d’une dizaine d’année Mounir exerce en tant que responsable de la sécurité informatique. Témoin des évolutions technologiques et des organisations dans les entreprises, il s’interroge sur la place de la cybersécurité à l’ère de la transformation numérique des modèles business et des usages.

Conférencier en sécurité économique auprès de l’INHESJ, c’est par une approche transversale qu’il tente de rapprocher les regards entre les utilisateurs des technologies du numérique et les professionnels de la cybersécurité. Pour une protection positionnée « entre le clavier et la chaise », les enjeux de chacun ne doivent pas tuer le « Je ».

Mounir prépare actuellement la parution de son premier ouvrage « Digital parano ». Retrouvez dans cette chronique, en avant-première, les extraits des chapitres qui le constitueront.

Retrouvez les derniers articles de cette chronique :
Voir tous les articles

Sensibiliser à la sécurité numérique : ça fonctionne ou pas ?

Le numérique s’installe durablement dans notre quotidien avec une position de plus en plus dominante pour les années à venir. La sensibilisation à un usage averti et sécuritaire est donc devenue un enjeu de société qui dépasse la seule sphère économique des entreprises, l’enjeu du citoyen numériquement responsable. A ce jour, cet enjeu fait face à des lacunes et la sensibilisation fait encore débat chez les experts : Comment faire ? Qui est responsable ? Qui paye ?

sensibiliser

« Peut-être devrions nous commencer par créer un intérêt ? »

Les initiatives ne manquent pas et certaines organisations publiques et privées prennent leurs responsabilités. Mais les usages du numériques ont déjà largement dépassés les usages de sécurité et les méthodes de sensibilisation sont devenus inadaptées.

Sensibiliser c’est l’acte de « rendre réceptif à quelque chose pour lequel on ne manifestait aucun intérêt auparavant ». Peut-être devrions nous commencer par créer un intérêt ?

Un résultat discutable: Depuis des années et pour des raisons économiques, la sensibilisation à la sécurité du numérique est essentiellement portée par les entreprises. L’objectif est clair, pour protéger son activité face aux menaces qui visent directement les individus, chaque employé doit protéger son activité numérique et être capable de déjouer des attaques cybers comme le Phishing, les virus, la perte de données, etc. Les entreprises multiplient les initiatives : Serious Game, eLearning, journée de sensibilisation, campagne d’information, vidéo youtube, testing des comportements. Une panoplie d’outils à disposition mais qui représente un coût non négligeable. Mobiliser quelques heures de temps de chaque employé, ça ne fait pas rire les financiers, les ressources humaines ni les employés eux-mêmes. D’où la difficulté de justifier de telles initiatives. Surtout pour les PME, les TPE et les Start-Up. Du fait de son coût, la sensibilisation n’est pas accessible à tous.

Mais le plus gros défaut, c’est que la sensibilisation n’est pas une garantie de sécurité et de résultats. Quelques soient les initiatives et l’investissement, cela n’empêchera pas les attaques de réussir. Le turn-over et l’évolution des menaces font de la sensibilisation un sujet à recommencer et donc à financer. L’objectif a beau être clair, la sensibilisation reste un débat sur la volonté et la capacité des dirigeants à engager les budgets nécessaires, pour un résultat discutable et difficile à quantifier.

« L’écart est devenu gouffre »

Alors que le débat continue, l’écart entre les habitudes d’usage et la sécurité du numérique ne fait que croitre. Pour une économie florissante et pour un monde meilleur, le numérique poursuit sa pénétration sociétale, innove et s’installe durablement. Les pirates marquent à la culotte l’innovation et les failles de données font la une des journaux. Et pendant ce temps-là, les entreprises en sont encore à expliquer ce qu’est un mot de passe.

L’écart est devenu gouffre. Pendant que les menaces font la course, la sensibilisation est restée sur place en termes de contenu. Mot de passe, anti-virus, mails frauduleux, sauvegarde, des pratiques de bases si vieilles qu’elles ressemblent à des recettes de grands-mères en comparaison à la sophistication des attaques. Les simples utilisateurs stagnent à comprendre les fondamentaux pendant que la menace est déjà ailleurs. En plus du frein financier, la sensibilisation se heurte à une oreille peu réceptive. Un message qui ne passe toujours pas.

Un dialogue rompu : La pénétration des outils numériques dans nos usages est équivalente à une télévision ou un frigo, un bien de consommation qu’il suffit de brancher pour l’utiliser. De l’ordinateur à l’objet connectés, tout est conçu pour fonctionner sans besoin de lire une thèse. Comprendre la cybersécurité c’est comme comprendre un lave-linge, un sujet qui ne passionne personne à part les ingénieurs. Dans les entreprises, la sensibilisation est confiée au département informatique et aux responsables de la sécurité. Mais le dialogue avec les ingénieurs a toujours été difficile. Comme la finance, l’informatique est considérée comme complexe et hermétique, avec une culture d’expertise très éloignée des autres métiers. La cybersécurité hérite de cette image d’expert enfermé dans sa bulle et au discours technique. La sensibilisation se transforme souvent en un dialogue contradictoire avec d’une part les experts qui considèrent que l’humain est le maillon faible de la sécurité et que la technologie va résoudre ses défauts et d’autre part, les utilisateurs qui sont persuadés que c’est la technologie qui est mal conçue et que les experts vont corriger ses défauts. Une mésentente qui se traduit par des comportements de fermeture et un rejet des responsabilités.

« Se faire traiter de maillon faible n’est pas des plus engageant… »

Il n’est pas étonnant que le dialogue ne passe pas entre une informatique qui traite l’humain de « maillon faible » et une majorité d’utilisateurs qui considèrent que ce n’est pas leurs problèmes. La rupture est consommée, les départements informatiques dépensent des fortunes à surveiller les employés et certains vont jusqu’à interdire tout accès internet de peurs de leurs comportements. Ce n’est ni en culpabilisant les utilisateurs ni en les sanctionnant qu’on va réussir à les impliquer. Ce manque de confiance de l’informatique se traduit aussi par le peu d’outils qu’elle propose. Le mot de passe est la seule sécurité confiée aux humains. Tout le reste est aux mains des experts. Difficile de sensibiliser avec si peu, le mot de passe fait figure de dinosaure du numérique.

Le maillon faible reprend la main : Vu comment les fondamentaux de la cybersécurité sont actuellement appliqués et vu la relation avec l’informatique, autant dire que tout reste à faire. Pour rattraper l’écart la sensibilisation ne suffit plus. Une autre approche est devenue nécessaire, impliquant de nouveaux acteurs. Les experts de la cybersécurité et les entreprises ne peuvent plus répondre à eux seuls aux enjeux de la société numérique. Le sujet doit être repris directement par le « maillon faible ». L’initiative doit venir des individus. L’objectif est que l’humain se transforme en atout et non en contrainte et pour ce faire, il faut créer un intérêt général.

L’intérêt le plus évident est de favoriser la confiance entre les acteurs économiques et les usagers. Mais cette confiance ne peut s’établir via les directions informatiques. Il est nécessaire de faire intervenir des acteurs intermédiaires entre l’informatique et les utilisateurs, comme les organismes d’enseignements et de certifications ainsi que les Ressources Humaines. Leur rôle est de mettre en relation l’entreprise et les individus autour de critères communs et de référentiels reconnus. L’usage de certification et de programmes de tests est déjà répandu dans les entreprises et utilisé par les RH pour qualifier les compétences. Comme le « TOEIC » pour les langues ou « l’IAE-message » pour la culture générale et comme le permis de conduire, ces organismes se positionnent comme un intermédiaire de confiance, formant et qualifiant les individus. Cela évite aux entreprises de prendre à leurs charges ces qualifications.

Concernant l’usage avertie et sécuritaire du numérique, le plus connu des organismes est le C2I, certificat de compétences numériques. Utilisé dans le milieu de l’enseignement, pour les étudiants et pour les enseignants, le C2I propose de répondre aux enjeux du Citoyen Digitale en intégrant la cybersécurité, l’identité numérique, le RGPD, mais aussi les responsabilités juridiques et éthiques. Sensibilisant autant sur les aspects de sécurité que sur la maturité d’analyse face à l’information et aux FakeNews. De plus, le C2I est aussi reconnu et implémenté au niveau européen.

« La sensibilisation reste une initiative limitée qui ne répond pas aux enjeux d’une société numériquement responsable »

Les entreprises ont tout intérêt à intégrer ce type de certification dans leurs critères d’emploi. Afin de renforcer la maturité d’usage du numérique tout en bénéficiant d’un acquis de savoir-faire. Cette approche alimentera l’intérêt des utilisateurs pour la cybersécurité, au contraire d’une sensibilisation vécue comme une contrainte professionnelle. Le rôle de l’entreprise sera par contre de maintenir le bon niveau de pratique.

Des outils plus adaptés : Les fondamentaux étant acquis en amont, les entreprises pourront se focaliser sur la sensibilisation interne comme une démarche de mise à niveau des évolutions. Mais cette sensibilisation risque de perdre encore du terrain si les pratiques du quotidien ne sont pas adaptées. Ici aussi, les utilisateurs doivent reprendre la main. Leurs responsabilités doivent s’étendre plus loin que le simple mot de passe et la vigilance. Chaque individu doit devenir un maillon de la chaine de sécurité en ayant accès à des outils plus perfectionnés tels que les Firewall, les DLP, le chiffrement et surtout les SIEM. Ces outils ne doivent plus être la chasse gardée des experts informatiques.

Contribuer à la maturité et à la réduction de l’écart, c’est aussi donner des moyens plus innovants. L’entreprise à tout à gagner si chaque utilisateur a une capacité d’action sur sa protection numérique. Le fait de répartir ces outils au plus proches de chacun, permet d’amplifier la réaction face aux menaces. Pourquoi attendre que ce soit un expert inconnu au fin fond d’un centre de surveillance qui fasse le job ? Les centres opérationnels de sécurité sont loin du terrain et représentent même un goulot d’étranglement dans le temps de détection et de réaction. Le fait de répartir la veille à chaque utilisateur, amplifie le périmètre de sécurité tout en ayant une population active plutôt que passive. Un investissement « Win-Win » pour l’entreprise à condition qu’elle forme au lieu de sensibiliser. Cette approche résoudra aussi le débat sur les résultats quantifiables.

A l’instar de la sécurité routière, la sensibilisation est un complément au permis de conduire, avec pour rôle de maintenir le niveau d’attention et mettre à jour les connaissances. La sensibilisation ne qualifie pas les compétences ni la mise en pratique. Pour ces raisons elle reste une initiative limitée qui ne répond pas aux enjeux d’une société numériquement responsable. Les acteurs économiques et les départements informatiques devront à terme changer d’orthodoxie en faisant confiance aux compétences de l’humain. Accepter que l’enjeu dépasse leurs sphères de savoir-faire et confier les clés à d’autres acteurs plus proches de l’intérêt humain. Sensibiliser c’est bien, mais former c’est mieux !


Commenter

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *