Debrief 2022 S7> Faut-il entrer en résistance digitale ?

Il est grand temps que les citoyens se mobilisent face à la cybercriminalité. Qu’ils prennent leur part du combat, en assurant leur self-défense numérique. Et ainsi que chacun seconde les autorités, qui ne peuvent pas ouvrir un parapluie magique. Faut-il entrer en résistance digitale ?

Les Etats se mobilisent face à la cybercriminalité et face à l’espionnage cyber, et en même temps expérimentent les premiers conflits armés du cyberespace. Le marché de la cybersécurité se structure, avec l’aide de l’Etat et des grands donneurs d’ordre. Fort bien. C'est indispensable pour limiter notre dépendance aux solutions venant de l'étranger, assurer notre souveraineté et contribuer au développement économique de notre pays. Mais qu’en est-il des citoyens ? Sont-ils suffisamment engagés ? Je trouve que ni les études, ni l’actualité de cette semaine (du 14 au 20 février 2022) ne sont rassurantes. Voici pourquoi.

Aujourd'hui, ni les salariés, ni les citoyens ne sont prêts à faire face aux risques cyber.

Petit retour en arrière. Une étude BVA, réalisée de décembre à février 2020, dévoilée par l’ANSSI en octobre 2020 montrait que 96 % des Françaises et Français se disent conscients que l’usage des outils numériques comporte des risques. Ah, quelle bonne nouvelle ! Mais pour contrer la menace il faut commencer par la nommer. Or seules 40 % des personnes sondées connaissent l’hameçonnage et 21 % sont familières avec le terme « rançongiciel ».

Concernant les pratiques de sécurité, plus d’un Français sur 2 indiquait ne pas appliquer les pratiques de sécurité par manque de connaissance des solutions. 25% indiquaient ne pas le faire par manque de temps, 19% estimaient ne pas en avoir besoin. Depuis, cybermalveillance.gouv.fr a accentué sa communication et sa visibilité augmente. Et les médias généralistes traitent désormais bien plus fréquemment de cybercriminalité. Est-ce suffisant ? Peut-on aujourd'hui constater un progrès significatif ? Une chose est sûre, cette étude BVA n’a pas été renouvelée en 2021 (sinon ses résultats communiqués). 

A la même période, en décembre 2019, avec l’étude Captain Cyber - Harris Interactive nous avons voulu mieux connaître les attentes des salariés d’entreprises françaises de 50 collaborateurs et plus. Parmi les enseignements de cette étude : les salariés déclarent très majoritairement connaître différents enjeux et pratiques associés à la cybersécurité, mais seule une moitié d’entre eux déclare les appliquer au quotidien. Et dans les faits, les salariés mélangent largement bonnes et mauvaises pratiques en matière de cybersécurité au quotidien et dans le cadre de leur emploi. Ainsi, 78% déclarent utiliser un mot de passe identique pour plusieurs plateformes. 73% connecter une clé USB à leur poste de travail, sans précaution particulière. Et 55% ouvrir la pièce-jointe d’un email sans être certain(e) de savoir qui l’a envoyé.

Au même moment, une étude Eurostat, menée à l'échelle de l'Union Européenne en octobre 2019 et publiée en janvier 2020, montrait que 76% des citoyens européens pensaient qu'il y a un risque accru d'être victime de la cybercriminalité. La confiance envers les sites web était endommagée : 68% étaient soucieux que leurs données personnelles en ligne ne soient pas conservées en sécurité par les sites web. La perte de confiance touche même le secteur public : plus de six sur dix (61%) des répondants craignaient que les autorités publiques ne conservent pas en sécurité leurs données personnelles.

Un peu plus de la moitié (52%) des Européens se disent capables de se protéger suffisamment contre la cybercriminalité. L'étude ne précise pas les moyens. Mais seuls 16% des répondants affirmaient qu'ils peuvent se protéger eux-mêmes face à la cybercriminalité. Avec une baisse par rapport à la vague précédente : - 9 points.

Pourtant, tous les jours, les vulnérabilités augmentent et la menace se professionnalise.

Plus le temps passe, plus ce manque d’implication, de compétence ou de capacité d'action, des citoyens et des salariés pose de sérieux problèmes. Avec des conséquences très concrètes, individuelles et collectives. On les perçoit encore cette semaine. 

Ainsi, on apprend que de nombreux chercheurs d’emploi sont ciblés par des campagnes malveillantes se présentant comme des emails issus de LinkedIn. 

Des centres d’appels, tout à fait légaux et "professionnels", ont été inculpés de fraude ciblant des milliers de citoyens américains. Entre mai 2015 et juin 2020, plus de 20 millions de dollars ont été extorqués. Ce type de centre d’appel déviant pourrait-il cibler efficacement les Français ? Très probablement, car l’essentiel de la communication de « sensibilisation » sur le phishing porte sur le seul canal email. Cette obsession pour le phishing email se retourne contre nous. Et plusieurs lieux du monde hébergent des centres d'appel francophones où le faible niveau de vie local peut constituer une incitation financière à participer à des campagnes malveillantes de ce type.

On apprend aussi que le malware Trickbot, s’attaque directement au grand public : 60 marques réparties un peu partout dans le monde sont ciblées, on peut citer Amazon, Microsoft ou encore PayPal. Ce malware est aussi versatile que « tricky » (piégeux) il vole les données de paiement et peut déclencher des ransomwares.

Et il se trouve qu’un certain nombre d’e-commerçants ne font pas le job pour protéger leurs sites, leur marque et leurs clients : cette semaine, il a été révélé que près de 300 sites d’e-commerce ont été infectés par un malware, qui exploite une faille majeure chez plus de 500 sites d’e-commerces. Tous fonctionnent sur Magento 1, obsolète. Les criminels volent les informations de carte de crédit de la victime alors qu’elle fait ses achats sur le site infecté. D’ailleurs, on ne compte plus l’annonce de nouvelles failles qui portent sur des types de vulnérabilités pourtant parfaitement connues et documentées depuis 15 à 20 ans.

L'enjeu est collectif : la société toute entière est concernée

Il faut l'espérer : la campagne présidentielle pourrait, quand elle sortira de sa léthargie, amener le sujet du digital dans les débats. Le Campus Cyber, voulu comme un « lieu totem » de la cybersécurité en France, a été inauguré cette semaine. C'est clairement un pas de géant dans l'histoire de la cybersécurité en France. A cette occasion, les groupes professionnels ont exprimé leurs propositions aux candidats : plan ambitieux de formation, rendre obligatoire la fonction de responsable cybersécurité en entreprise, ou encore créer un ministère du numérique. Est-ce à la hauteur des enjeux pour les citoyens ? C'est possible. Mais pour s'en assurer, il faudrait que les citoyens soient consultés et impliqués.

Car finalement, dans le domaine cyber, on connaît peu les attentes des citoyens et des salariés sur la cybersécurité. En laissant le débat aux experts cyber. Parfois en incluant les experts du risque. Plus rarement encore, en incluant les dirigeants. Jamais, à ma connaissance, en incluant les citoyens. C'est bien dommage, car des études ont démontré qu'en demandant leur avis aux gens, on arrive bien plus efficacement à les mobiliser.

En matière de cyber, il serait temps d'impliquer le plus grand nombre. Car la situation s’aggrave et s’accélère chaque jour : 25 milliards d’objets connectés seront utilisés dans le monde en 2025. C’est ce que prévoit la Commission Européenne. Un quart d’entre eux se trouveront en Europe, soit 6,25 milliards d’objets. On parle là de d'environ 8 objets connectés par habitant. Ces objets connectés sont intégrés à notre société et à notre mode de vie. Mais que se passerait-il en cas de cyberattaque à travers ces objets ? Sommes-nous plus vulnérables en leur présence ?

Cette semaine, les affaires des sex toys connectés de la marque hongkongaise Lovense ainsi que du babyphone de l’entreprise Nooie sont éloquentes : ces objets à qui l'on confie pourtant notre intimité, sont, aujourd'hui, de vraies passoires. En Europe, les travaux menés par la Commission et l'ENISA vont vers une amélioration de la situation, mais à quelle échéance cela aura-t-il un impact significatif sur la réalité de la sécurité des objets connectés ? Probablement plusieurs années, ce qui laisse le temps à de nombreuses difficultés. Sur le sujet des données personnelles par exemple, il suffit de prendre l'exemple d'une loi d'ampleur : le Règlement Général de Protection des Données (RGPD). En 2022, bientôt quatre ans après son entrée en vigueur le 25 mai 2018, les cas de fuites de données restent nombreux, ne serait-ce qu'à cause des rançongiciels. Il est difficile de dire ce que la loi a pu apporter (probablement beaucoup) mais ce n'est pas suffisant pour arrêter significativement le fléau des fuites de données.

Face à des défauts de conception de notre numérique du quotidien, tels que les défauts de nombreux objets connectés, les GAFAM et les leaders des réseaux sociaux semblent avoir compris qu’ils doivent prendre les devants. Ils mettent en place des mécanismes qui assurent plus de sécurité à leurs utilisateurs. Ainsi, chez Twitter, il n’est plus possible, pour le moment, d’utiliser la double authentification par SMS. Car elle a démontré sa relative inefficacité. Il est aujourd’hui recommandé d’utiliser une clé physique telle qu’Ubikey ou une application telle que Google Authenticator.

Une source d'espoir : les salariés veulent passer à l'action

Toutefois, conservons de l’espoir : car 65% des salariés sont prêts à consulter un média spécialisé (podcasts radio, interviews vidéos, articles, etc.) pour mieux comprendre l’actualité liée à la cybersécurité (source : étude Captain Cyber - Harris Interactive). C’est dans la lignée de ce qu’indique désormais l’agence européenne de cybersécurité (Enisa) dans ses communications : « changer les comportements commence par la bonne information ». La marge de progression est toutefois significative : dans l'étude Eurostat, un peu plus de la moitié des personnes interrogées (52%) pensent être bien informées sur la cybercriminalité, mais seulement 11% se disent très bien informées.

Il est encore temps de partager cette information actionnable pour mobiliser le plus grand nombre. Réveillons ce « hacker » bienveillant (white hat) qui est en chacun de nous. Parce qu'en cas de conflit armé en Ukraine, aux portes de l'Union Européenne, nos systèmes d'information et ce qui nous est cher dans le digital pourraient faire partie des victimes collatérales. Parce que si cette « résistance digitale » ne se met pas en place, proactive et « sachante », elle pourrait devenir une « résistance au digital », dans la lignée des gilets jaunes ou des antivax. Et cela sans même un conflit armé.

Ne laissons pas une "résistance au digital" prendre forme. Elle mettrait en péril les bénéfices des transformations digitales. Je crois que nous, professionnels du cyber et du numérique sous toutes ses formes, dirigeants éclairés et élus, salariés et citoyens devons agir.

Alors selon vous, que faut-il faire pour entrer en résistance digitale ? Etes-vous prêts à passer à l'action ?

Fidèlement,

Sylvan