Jerome NOTIN,
Directeur général du GIP ACYMA cybermalveillance.gouv.fr
Par son positionnement spécifique, Cybermalveillance.gouv.fr est un poste d’observation original et unique de la réalité de l’utilisateur. Cette observation tend à démontrer qu’il peut y avoir un fossé de compréhension et d’acceptation entre l’écosystème de la cybersécurité et les utilisateurs qu’il cherche à atteindre.
L’utilisateur ce grand méconnu et incompris
Qu’il soit dirigeant d’entreprise ou collaborateur, l’utilisateur a une appréhension du numérique et de la cybersécurité au sein de son entreprise souvent très proche de son utilisation à titre personnel. Le numérique – et a fortiori sa sécurité – demeure encore un monde obscur voire confus pour une grande majorité d’utilisateurs qui se limitent souvent à essayer d’utiliser au mieux les multiples services dont ils ont besoin, sans intégrer les contraintes liées à la sécurité.
Si on devait comparer au monde automobile, lorsqu’un conducteur prend sa voiture, sa première pensée ne va généralement pas au risque d’accident. Pour démarrer son véhicule, il n’aura qu’un nombre minimal d’opérations à réaliser comme s’installer confortablement, boucler sa ceinture et lancer le démarreur. Durant son trajet, il fera confiance aux dispositifs de sécurité de son véhicule pour le protéger au mieux en cas d’accident et respectera le code de la route, code qui vise à se protéger mutuellement contre les défaillances involontaires, techniques ou humaines. Mais il ne protège pas contre les actes malveillants, heureusement fort rares dans la vie « réelle », car on n’est que très peu confronté à des acteurs qui à chaque coin de rue veulent vous voler ou même vous détruire.
Si on revient au monde numérique, la comparaison s’arrête là. On peut en effet considérer qu’à chaque instant, des cybercriminels vont tenter de profiter de nos usages numériques pour commettre leurs méfaits et nous faire dévier de notre trajectoire. Il faut donc que l’utilisateur ait conscience des dangers et reste perpétuellement en alerte contre les risques de cybermalveillance.
Sensibiliser mais aussi éduquer et accompagner
Une mesure de sécurité n’est acceptée que si elle est, par principe, acceptable : c’est-à-dire, comprise, admise et réaliste. Cette acceptation passe en premier lieu par la sensibilisation aux risques. Mais la sensibilisation ne suffit pas. Connaître un risque est une chose, savoir s’en protéger en est une autre.
Les efforts doivent donc également porter sur l’éducation. L’éducation des plus jeunes, bien évidemment, car le cadre scolaire le permet dès le plus jeune âge et qu’ils sont sans doute la cible la plus facile à atteindre. Mais les adultes sont également des publics vulnérables à adresser : ils ont pour la plupart découvert le numérique de manière empirique et peuvent se retrouver un peu perdus pour se sécuriser. Les solutions disponibles passent trop souvent par une démarche volontaire de l’utilisateur qui ne sait pas par où commencer. Il faut donc trouver des moyens d’aller au-devant de ces publics, que ce soit dans un cadre professionnel, associatif, de service public.
Mais, même éduqués, les utilisateurs peuvent avoir besoin d’aide pratique pour faire face aux menaces ou mettre en œuvre leurs dispositifs de sécurité. Tant les particuliers que les entreprises ont aujourd’hui besoin d’un accompagnement adapté et « accessible » pour assurer leur cybersécurité. Si pour le particulier, des démarches associatives ou de services publics d’accompagnement doivent être envisagées, pour les entreprises, le coût de cet accompagnement doit être « acceptable », ce qui est encore malheureusement peu souvent le cas.
Pour que notre « monde numérique » soit un monde de confiance et non un monde de fractures sociales, générationnelles ou même concurrentielles, la sensibilisation aux risques, l’éducation et l’accompagnement sont des leviers déterminants à considérer.
Amener la cybersécurité à la portée de l’utilisateur
Pour reprendre notre métaphore du conducteur, comment pourrait-il accepter que pour utiliser son véhicule il doive entrer – et retenir – un mot de passe de 12 caractères aléatoires, un autre pour démarrer l’autoradio, encore un autre pour ouvrir le coffre… ? Que pour s’assurer de pouvoir conduire en sécurité il doive avant de démarrer faire la mise à jour de son ordinateur de bord et de son ABS mais aussi s’assurer que leurs paramètres de sécurité sont bien cochés au fin fond de menus abscons ? Que pour pouvoir utiliser à nouveau son véhicule en cas de problème, il doive en faire des sauvegardes régulières ?
C’est pourtant ce que l’on demande aujourd’hui à l’utilisateur d’outils numériques pour assurer sa cybersécurité. Son ordinateur, sa tablette, son smartphone, son serveur domestique ou professionnel et les innombrables services auxquels ils permettent d’accéder ont chacun leurs « règles » et leur jargon spécifiques.
Considérer par exemple que « authentification à double facteur » puisse être réellement parlant pour le commun des mortels est certainement une gageure. D’autant qu’il y a quasiment autant d’appellations de cette option pourtant primordiale de cybersécurité que de services qui la proposent. Et encore faut-il savoir où la trouver pour l’activer ! Et que dire des règles de gestion des mots de passe qui sont différentes d’un service à l’autre que ce soit dans leur longueur ou leur composition ?
L’écosystème a sans doute pensé qu’il pourrait faire venir l’utilisateur à la cybersécurité, or, il vaut sans doute mieux faire venir la cybersécurité à l’utilisateur.
Éditeurs, constructeurs, opérateurs, intégrateurs, prestataires, services publics : l’ensemble des acteurs de l’écosystème de la cybersécurité doit aujourd’hui se fédérer pour apporter à l’utilisateur une cohérence et une simplification, voire une normalisation et une transparence, qui aujourd’hui font défaut, au risque de continuer à être rejeté pour son manque d’accessibilité.
