[Série Futurs Numériques 3/4] La cybersécurité peut-elle être suffisamment simple pour imaginer que nos univers numériques, demain, ne soient pas le Far West ? Préparer un tel avenir nécessite une remise en cause profonde pour les experts du domaine.

Quelle expérience cyber vivrons-nous au quotidien en 2030 ? Le Center for Long-Term Cybersecurity (CLTC) de l’université de Berkeley aux États-Unis travaille actuellement sur la troisième édition de son exercice d’anticipation stratégique sur l’avenir des mondes digitaux. La conception de cette variété de scénarios, à l’horizon 5 à 7 ans, est réalisée avec des experts de l’industrie de la sécurité numérique mais également des représentants de la société civile.

En 2015, lors de la première édition, le CLTC avait notamment mis en avant le risque d’un scénario dit de « New Normal ». « Après des années de multiplication des violations de données, les internautes s’attendent désormais à ce que leurs données soient volées et que leurs informations personnelles soient diffusées […] tandis que les cyberattaques à petite échelle se banalisent et deviennent plus personnelles. […] Le cyberespace est le nouveau Far West [et] toute personne qui s’aventure en ligne dans l’espoir de bénéficier de protection et de justice doit en fin de compte s’en charger elle-même », peut-on notamment y lire.

Termes guerriers et effet boite noire

Heureusement, ces années 2020 imaginées ne se sont pas complètement transformées en réalité. Pour autant, les innovations et services numériques sont de plus en plus souvent vus à travers le prisme de l’inquiétude sur les abus et dérives qu’ils peuvent entraîner. L’écosystème de la cybersécurité est-il capable de rassurer suffisamment pour que les citoyens se projettent avec plus de confiance dans leurs usages de demain ? Ou bien la discipline est-elle condamnée à être perçue comme un domaine ésotérique, complexe et inquiétant ? « C’est sans conteste le challenge numéro un de la cybersécurité aujourd’hui », estime Fabien Lemarchand, vice-président plate-forme et sécurité de ManoMano, spécialiste français du commerce en ligne. « On se retrouve dans la situation de défiance, qui est justifiée et légitime : on paye le fait qu’on a voulu mettre la sécurité dans une boîte noire », assène-t-il.

Né au cœur des préoccupations régaliennes de protection des communications et des expertises des forces armées, le domaine cyber n’a pas trouvé naturellement sa place dans le boom de l’Internet grand public et des systèmes numériques qui ont suivi. Les failles et vulnérabilités se sont rapidement multipliées. L’héritage d’un vocabulaire guerrier, comme « cyber-attaque » ou « cyber-combattants », n’a par ailleurs pas aidé à construire une vision apaisée et positive des usages de sécurité numérique auprès de la population dans son ensemble.

Mais Fabien Lemarchand va plus loin : « Pendant des années et des années, les spécialistes ont eu le réflexe de rendre le sujet obscur et complexe, alors qu’il ne l’est pas plus que d’autres. La complexité, cela peut en effet être un moyen d’acheter de la tranquillité, et de ne pas avoir à rendre de compte, que ce soit dans une entreprise auprès des collaborateurs ou d’un comité exécutif, ou plus largement vis-à-vis des utilisateurs ». Pour le directeur sécurité, la remise en cause doit donc être profonde, alors que « la place du numérique est devenue telle qu’il faut trouver les moyens de la réassurance ».

Changer le design de la sécurité

Pour rassurer justement, les organisations se mettent en ordre de marche depuis plusieurs années pour proposer des services numériques pour lesquels la cybersécurité a été intégrée cette fois-ci au plus tôt. Le « security by design » est ainsi devenu un thème récurrent des exposés stratégiques. « Le problème, c’est que « security by design », cela ne veut pas forcément dire simplicité d’utilisation pour un usager », souligne cependant Hervé-François Le Devehat, CEO et fondateur de l’entreprise Keopass, qui propose une clé physique pour remplacer mots de passe et badge d’accès. « Le sujet est en fait aussi celui du design de la sécurité », poursuit-il.

En effet, les choix et comportements des utilisateurs restent au cœur des « failles » des systèmes numériques. « Or, l’humain cherche plutôt naturellement à éviter les contraintes. Cela amène des comportements de contournement bien connus, comme le fait de réutiliser un mot de passe pour s’en souvenir, ou de l’inscrire sur un post-it. Il faut donc réconcilier l’irréconciliable en évitant que la sécurité soit ressentie comme une contrainte », poursuit le dirigeant de la jeune entreprise basée en Bretagne. Il épingle à ce titre, la propension des démarches de sécurité d’ajouter des étapes et des clics dans les parcours utilisateurs, instaurant comme une gêne fastidieuse pour tout un chacun.

Une analyse que partage Nathalie Granier. Psychologue de formation, cette analyste est désormais spécialisée dans le renseignement sur la cybermenace et sur les comportements humains dans un contexte de cybersécurité. « La loi de Miller définit l’empan mnésique, c’est-à-dire la mémoire à court terme, à sept mots, plus ou moins deux mots. Au-delà on parle de surcharge informationnelle. Cet élément purement physiologique est-il pris en compte dans toutes les procédures de sécurité ? » illustre-t-elle.

Mieux prendre en compte les ressorts psychologiques

L’experte, qui travaille pour Anozr Way, entreprise lauréate du Grand Défi Cyber 2023, appelle à mieux entremêler technologie et psychologie dans la définition des stratégies de sécurité. « Il faut faire gagner du temps, il faut des outils simples, des procédures qui ne soient plus chronophages, car elles vont faire perdre la motivation et l’intérêt. On est déjà en surcharge de travail au quotidien, il ne faut pas ajouter une couche de plus de complexification. Il faut plutôt donner la priorité à la convivialité : réduire la charge cognitive en minimisant l’effort mental. Et réduire la frustration et les efforts des utilisateurs » liste Nathalie Granier.

La promesse souvent faite, mais plus rarement tenue, de mettre l’humain au centre des pratiques de cybersécurité dans les entreprises, implique pour elle différentes étapes. « Il est nécessaire de comprendre comment les humains et l’ordinateur interagissent. Comprendre en quoi l’humain est une faille mais aussi un maillon fort. Et comprendre la cognition, car les humains ont des perceptions et des connaissances différentes, en fonction de leur culture ou de leurs expériences passées ». Elle rappelle ainsi que l’égo, l’envie d’immédiateté ou même le simple effet de mode, pèsent très lourdement dans les comportements des utilisateurs et leur facilité à adopter ou non de nouveaux outils ou de nouvelles habitudes.

Ce n’est qu’avec cette base qu’une organisation pourra ensuite espérer « pouvoir développer des systèmes adaptés à l’humain et des programmes de cybersécurité efficaces. C’est de l’ergonomie cognitive. Il faudra prendre en compte le processus de pensée et de comportement de l’être humain pour concevoir logiciel et procédure. » souligne la spécialiste.

Vers une transparence assumée

« L’avenir de la cybersécurité passe par des processus qui doivent être réduits au minimum : tout ce qui facilite l’adoption doit être porté au premier plan. La disruption doit venir de là » insiste également Hervé François Le Devehat. Pour le fondateur de Keopass, cette disruption par la simplicité est le seul moyen d’espérer pouvoir vraiment faire des individus des acteurs de la sécurité globale. « En amenant de la simplification, on donne envie de contribuer à la sécurité des données, qu’elles soient de l’entreprise ou personnelles. La simplicité est un moyen de responsabilisation ».

Mais au-delà de la prise en compte des ressorts psychologiques, comment passer un cap en matière de simplification, alors que pendant des années la cybersécurité n’a pas réussi à échapper à son image obscure ? « Adopter une posture de transparence au niveau cyber pousse à la simplicité, car cela nous oblige à démystifier un sujet sur lequel règne encore beaucoup de croyance » revendique Fabien Lemarchand. « La transparence est une vertu qui oblige chacun à assumer sa part de responsabilité. Un monde numérique plus sûr, ce n’est pas seulement la responsabilité des institutions et des entreprises, c’est un engagement de chacun. L’utilisateur doit comprendre le rôle qu’il doit jouer. »

Dédramatiser

Pour le directeur de la sécurité de ManoMano, le terme transparence ne doit donc pas être un vain mot. « Je joue tout là-dessus car il est impossible de gérer toutes les menaces uniquement avec son équipe de sécurité. On a toujours besoin d’alliés : les partenaires, les collaborateurs, les clients… Nos capacités de défense passent par cette responsabilité partagée. Il ne suffit pas d’augmenter la taille des équipes cyber ! Il est donc nécessaire d’anticiper, de communiquer extensivement en interne et vis-à-vis de ses clients, des utilisateurs. Arrêtons de faire croire à l’invulnérabilité, mais dédramatisons aussi : le risque cyber n’est pas pire que bien d’autres. Être anxiogène, cela contribue à complexifier la situation. Difficile d’aller chercher la confiance des gens quand on leur dit en permanence que tout va mal ».

« Avez-vous déjà craint de monter dans un avion ? Peur des serpents ? Des chiens ? De parler en public ? L’exposition et la désensibilisation sont deux volets essentiels en cybersécurité » confirme Nathalie Granier avant d’ajouter : « Personnellement je privilégie l’humour à la peur, car la peur peut être bloquante ».

Les scénarios imaginés par Berkeley pour 2030 intègreront-ils un bond en avant en matière de simplicité d’usage et l’idée d’une dédramatisation notable ? Rien n’est moins sûr. Dans la dernière édition publiée, tournant 2020, l’un des scénarios, baptisé « The New Wiggle Room » (Le nouvel espace de liberté, NDLR), prévoyait que l’explosion des capacités d’intelligence artificielle puisse permettre de restaurer une importante stabilité et prévisibilité dans la vie digitale de chacun… mais au détriment de comportements et habitudes qui « rendaient jusqu’à présent la vie, socialement et économiquement, gérable ».