09.10.2024
L’importance du facteur humain dans la lutte contre la cybercriminalité : développer une résilience durable par une meilleure prévention et formation au niveau national
Tribune
3 mars 2023
S’attaquer à la cybercriminalité nécessite d’abord d’en comprendre le fonctionnement. Circonscrire ce phénomène, en définir les composantes, analyser les profils et motivations de celles et ceux qui la pratiquent : tous ces éléments doivent servir de base aux politiques de cybersécurité, qu’elles soient publiques ou privées, qu’elles s’adressent à des organismes ou à des particuliers.
Une bonne maîtrise des enjeux de la cybersécurité, une meilleure appréhension des angles morts des politiques cybersécuritaires ainsi qu’une volonté forte et centralisatrice sont nécessaires à une lutte plus efficace et au développement d’une nation cyber-résiliente.
Par son aspect protéiforme et sa visibilité réduite, la cybercriminalité constitue un phénomène difficile à saisir. Intégrant des pratiques qui sont propres à Internet (ransomware, phishing) et d’autres qui ne sont qu’une adaptation de pratiques existant dans le monde réel (pédopornographie, extorsions et escroqueries), la cybercriminalité brouille les pistes et se joue des frontières pour tenter d’échapper à la répression policière et judiciaire. Son caractère nébuleux complexifie toute évaluation précise, d’autant plus que les victimes d’une cyberattaque ne sont pas toujours promptes à se déclarer, quand elles sont vraiment conscientes de l’être.
Par ailleurs, elle véhicule encore l’image d’une criminalité hautement technique, ce qui est vrai lorsqu’il s’agit de mener des attaques sur des infrastructures stratégiques et étatiques normalement bien protégées. Mais l’ingénierie sociale, qui exploite la psychologie humaine et ses faiblesses, permet à des cybercriminels sans grandes compétences techniques de profiter de ces failles pour pénétrer des réseaux sans réellement s’attaquer à leur architecture informatique. Leurs profils et motivations échappent aux stéréotypes du génie informatique agissant par défi : le cybercriminel ressemble ainsi de plus en plus à « monsieur tout le monde ». Il agit moins souvent de manière isolée et s’intègre, via le dark web, à des communautés qui se professionnalisent, se conseillent et donnent à la cybercriminalité une dimension industrielle.
La méconnaissance de ce phénomène et des acteurs qui s’en nourrissent offre des opportunités à un secteur qui se développe et s’étend avec la numérisation de nos vies personnelles et professionnelles, que ce soit à travers le télétravail ou l’utilisation du cloud computing. Si l’individu derrière son écran n’est plus forcément une victime rentable, les infrastructures insuffisamment protégées – hôpitaux, collectivités territoriales, petites et moyennes entreprises (PME) – constituent des cibles de choix pour les cybercriminels.
Face à ce phénomène en expansion, le secteur de la cybersécurité est marqué par de fortes disparités et souffre d’un manque d’inclusion. Si les opérateurs d’importance vitale (OIV) et les infrastructures étatiques sont en général bien dotés et font l’objet d’un suivi de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les PME et les collectivités territoriales les moins bien préparées constituent le ventre mou des politiques de cybersécurité. À l’autre bout du spectre, les particuliers font l’objet de campagnes de sensibilisation qui se renforcent, mais qui manquent encore de visibilité. Globalement, l’être humain est encore perçu comme le maillon faible, alors qu’il est devenu la cible principale des cybercriminels.
Pourtant, les risques juridiques liés à la cybercriminalité nécessiteront de mieux sensibiliser l’humain, notamment dans le cadre du travail. Si le risque pénal relève encore de la chimère, le renforcement des règlementations au niveau national et européen (cf le Règlement général sur la protection des données ou RGPD), les risques liés à l’extraterritorialité des sanctions américaines et le débat actuel sur l’assurabilité des rançongiciels démontrent que les sanctions financières vont peser plus lourdement sur les personnes morales, mais dans certains cas aussi sur les personnes physiques, en tout cas au moins pour les dirigeants d’entreprises par exemple.
La difficulté à sensibiliser et à diffuser une véritable culture de la cybersécurité se retrouve notamment dans l’externalisation des politiques de cybersécurité. Celles-ci se concrétisent par l’appel à des entreprises extérieures spécialisées, les entreprises de services du numérique (ESN), qui se chargent de gérer les données et les politiques cybersécuritaires de leurs clients. L’avantage est de ne pas avoir à gérer en interne une politique complexe quand on ne dispose pas des moyens financiers et des compétences techniques pour le faire. En revanche, cette externalisation crée une dépendance à l’égard de sociétés de services qui sont elles-mêmes de plus en plus visées par les cybercriminels. En effet, ces derniers peuvent accéder plus facilement, de cette manière, à un vaste portefeuille de clients et à leur réseau informatique. Les clients, quant à eux, perdent de manière plus ou moins prononcée, selon le contrat passé avec l’ESN, le contrôle de leur data base.
Développer une approche globale de la cybersécurité au niveau national est une nécessité. Les organismes qui sont chargés d’aider à la prévention et la sensibilisation (ANSSI, Groupement d’intérêt public Acyma) assurent un suivi de qualité, mais manquent de moyens pour développer leurs missions. En général, on constate une dispersion des ressources, comme l’illustre la façon dont l’Éducation nationale cherche à développer des politiques de sensibilisation pour les jeunes et à intégrer plus de cybersécurité dans les formations supérieures en informatique. Programmes de sensibilisation dès la fin du cycle primaire en association avec la Gendarmerie, intégration d’éléments liés aux usages numériques dans les programmes du collège et dans certains programmes du lycée, partenariat avec l’ANSSI pour le kit « CyberEnjeux » à destination de tous ceux qui, dans la communauté éducative ou ailleurs, souhaitent créer des activités autour de la cybersécurité : les initiatives sont nombreuses, mais saupoudrées dans les programmes. La multiplication de projets avec des partenaires extérieurs masque l’insuffisance de compétences en interne et donne l’impression de devoir composer avec un « mille-feuille du numérique ».
Dans le monde du travail, il faut aussi promouvoir une approche plus humaine, basée sur la récurrence et la régularité des politiques préventionnistes, ainsi que sur l’adaptabilité de ces dernières aux personnels visés, et ce, grâce à une pédagogie adaptée.
L’État d’Israël développe une nation cyber-résiliente en s’appuyant notamment sur la formation des jeunes défavorisés (socialement et géographiquement), à travers le programme « Magshimim » et le National Center for Cyber Education. Il permet, sur des cycles relativement courts, de former des experts en cybersécurité, en partie pour l’armée mais aussi pour aider au développement des start-up dans ce secteur. Cela pourrait constituer une piste de réflexion quant aux évolutions possibles des politiques françaises en la matière, même si cet exemple doit être replacé dans le contexte géopolitique propre à l’État d’Israël.
Faire de l’humain le maillon fort de la cybersécurité constitue un changement de paradigme dont les effets positifs ne se verront que dans la durée. Mais il important de saisir que les investissements faits au service de l’humain aideront à développer une nation résiliente et à rendre la lutte contre la cybercriminalité moins coûteuse. Car les cybercriminels, eux, n’attendront pas l’attribution de moyens humains et financiers conséquents à cette lutte ou encore l’évolution des normes juridiques et techniques pour s’adapter et continuer à prospérer dans un marché florissant.