La cybersécurité, Cyril Hanouna et l’effet extra-terrestre by Clément Rossi, CEIS

Cet article fait suite au petit-déjeuner de l’Observatoire FIC du 6 avril 2016 qui portait sur la sensibilisation. Ce petit déjeuner, animé par Gérard Pesch, organisateur du Festival du film sécurité, rassemblait Gil Delille, directeur de la sécurité des systèmes d’information du Groupe Crédit Agricole, Jean-François Escolier, directeur général de Getzem Secure, Laurent Huberson, journaliste, et Jean Paul Mazoyer, président du Cercle cybersécurité du CIGREF.

D’abord cantonnée pendant près de 15 ans à une communauté quelque peu fermée – ou du moins limitée – de techniciens et d’ingénieurs spécialistes de l’informatique, la cybersécurité jouit depuis maintenant 4 ans d’une plus forte visibilité. Journaux télévisés, reportages documentaires, presse écrite ou radio, films hollywoodiens, séries et jeux vidéos grand public, il ne manque plus qu’un spoofing live de Cyril Hanouna sur Nabilla dans Touche Pas à Mon Poste pour que l’ensemble de la société française ne puisse plus oser dire qu’elle n’a jamais entendu parler du sujet. Désormais considérée comme un enjeu majeur (merci Edouard Snowden, Sony ou TV5 Monde, au choix) grâce également à l’important travail de sensibilisation des professionnels du secteur, RSSI en tête, la thématique semble avoir atteint les 3 cibles permettant l’émergence de cette prise de conscience collective : les entreprises ou administrations elles-mêmes, en particulier les Directions Générales, les salariés et le grand public. Malgré cette amélioration, le chemin de croix n’est pas fini et ce, pour des raisons malheureusement intrinsèques.

Franchir la barrière du langage

La première de ces raisons est à chercher à l’intérieur même des entreprises. La sécurité informatique était (est ?) vue par les DSI uniquement comme un coût, sans aucun ROI. Comme le confiait Jean-Pierre Mazoyer, président du cercle cybersécurité du Cigref, l’enjeu était à la fois d’impliquer les DSI sur le sujet et de développer pour les RSSI une approche globale des risques IT. Il s’agissait notamment d’utiliser la politique d’achats informatiques comme d’un levier pour faire du « security by design » ou, du moins, s’assurer que la sécurité fasse partie intégrante des critères d’acquisition des solutions informatiques. Mais cette approche ne suffit pas. Le défi reste encore, et ce n’est pas une nouvelle, de pouvoir abattre les silos entre DSI, Directions Sécurité/Sûreté, Directions Métiers, Directions administratives et juridiques ou Directions Générales. Ce décloisonnement se heurte à une barrière majeure : celle du langage. Il importe donc d’adopter une logique empathique pour créer des ponts entre ces mondes, et surtout impliquer le top management. A de rares exceptions près, le sujet n’est en effet pas encore perçu dans le CAC 40 comme un enjeu global devant impliquer le COMEX. Pour preuve, l’organisation d’exercice de cybercrise paraît encore totalement impensable au niveau d’une Direction Générale, confie Jean-Pierre Mazoyer. Il s’agit donc d’actionner des leviers particuliers, en jouant par exemple sur les responsabilités des mandataires sociaux en la matière, ou, de manière indirecte, en touchant les actionnaires.

1% du budget d’une DSI est consacré à 80 % des problèmes

La deuxième raison est que la sécurité n’est efficace que si elle est transparente pour l’utilisateur et intégrée dans les usages quotidiens. Ce qui peut être aussi le revers de la médaille, lorsque les salariés finissent par considérer que leur entreprise est très bien sécurisée, et donc invulnérable. « On est tellement bien sécurisé en interne que j’envoie tous mes mails perso sur ma boîte mail pro pour être sûr », expliquait ainsi un salarié d’une grande entreprise à son RSSI qui s’étonnait du nombre d’incidents de sécurité détectés sur le poste de l’individu. Cette anecdote rapportée par Jean-François Escolier, directeur général de Getzem, illustre bien le chemin restant à parcourir pour passer de la sensibilisation à la mise en application des bonnes pratiques par les salariés. D’après la dernière étude du Cigref, le budget SSI représente environ 6% du budget d’une DSI. Et sur cette part, le pourcentage consacré à la sensibilisation est d’environ 16%. Les entreprises consacrent donc moins de 1% de leur budget informatique à un sujet qui concentre 80% des problèmes…

Un message positif, voire amusant

Une campagne de sensibilisation efficace implique quatre choses : une vision précise des cibles, un message efficace, un canal de diffusion adapté et des indicateurs permettant d’évaluer son ROI, notamment pour la hiérarchie. Reste que quantifier de « l’humain » est par nature difficile. Il faut donc faire preuve d’imagination : évaluation des remontées volontaires d’incident auprès de la sécurité, tracking des incidents classiques (taux de clic sur de fausses campagnes de phishing) ou encore questionnaire déclaratif anonymisé permettant d’effectuer une véritable mesure statistique. Quant au message, on sait que lorsqu’on touche à des sujets liés à la sécurité, le ton se doit d’être positif, voire amusant, car le discours anxiogène est souvent contre-productif. Le risque est alors de tomber dans l’effet Hanouna : léger, divertissant mais dont on ne retient rien car vide de sens. L’interactivité est de ce point de vue primordiale, et c’est là la vraie force de Cyril Hanouna : il ancre son émission dans la vie de ses téléspectateurs par le biais d’une interaction live via twitter. Au sein des entreprises, il faut donc toucher au quotidien des salariés avec une démarche de story learning bien plus efficace que la simple sensibilisation. Le serious game est en cela beaucoup plus efficace même s’il demande du temps au salarié. Un temps si précieux que les RH veillent à sa bonne utilisation. Il est donc important d’impliquer dans le projet non seulement les RH mais également le top Management, qui constitue d’ailleurs une cible idéale pour les attaquants. Comme le soulignait Gil Dellile, président du Forum des compétences, si une attaque est sophistiquée et très bien réalisée, elle réussira dans tous les cas. L’équation demeure donc difficile à résoudre.

Le succès de la Hackacademy

Le première véritable opération de communication grand public a été menée par le Cigref, avec le soutien des acteurs institutionnels et l’apport financier de 30 grandes entreprises françaises. Le but des clips de la Hackacademy était en effet de toucher l’opinion publique et donc, in fine, la majorité des salariés de ces grandes entreprises. De ce point de vue, le projet a été une réussite incontestable, avec plus d’un million de vues sur les plateformes internet et une forte reprise au sein des grandes entreprises. Le résultat auprès du grand public demeure néanmoins plus nuancé avec seulement quelques reprises sur Arte ou LCP et des discussions toujours en cours avec France Télévision. Cette difficulté à s’adresser au grand public est à l’image du problème persistant qu’ont les mass medias dans le traitement des thématiques liées à la cybersécurité. Comme l’expliquait Laurent Huberson, journaliste et rédacteur en chef d’Enquête d’investigations sur D8, ces derniers recherchent avant tout des sujets fédérateurs pour des programmes télévisuels qui regroupent à une plage horaire, généralement fortement concurrentielle, un public qui se veut le plus large possible. Il faut alors bien saisir les mécanismes qui président au choix de diffusion d’un sujet. Le questionnement de tout rédacteur en chef pourrait se résumer en 3 questions : la thématique est-elle nouvelle ? Sort-elle de l’ordinaire ? Porte-t-elle à conséquence ? Or pendant longtemps, force est de constater que la cybersécurité est restée associée à des problématiques BtoB, voire parfois à des enjeux géopolitiques, donc éloignés des préoccupations quotidiennes du grand public. Mais depuis 5 ans, les faits divers et l’imagination des pirates aidant, la thématique a aussi émergé dans la vie quotidienne : arnaque à la carte bancaire, sécurité des smartphones, fiabilité d’internet, campagne de phishing par de faux mails du Trésor Public, vol de voiture sans effraction etc. Avec 20% des personnes interrogées affirmant par exemple avoir été victime d’arnaques bancaires, la cybersécurité est devenue un sujet mobilisateur. D’autant que le caractère mystérieux et, à tort ou à raison, spectaculaire, que l’on prête aux attaques informatiques plaisent évidemment beaucoup aux médias.

Un sujet difficile à matérialiser pour une équipe de télévision

Une double contrainte demeure néanmoins : la cybersécurité reste un sujet complexe et d’essence technique, difficilement explicable au grand public, et surtout difficile à matérialiser pour une équipe de réalisation télévisuelle ! Le traitement qui va en être fait va donc souvent se limiter aux effets les plus spectaculaires, sans aucun travail de vérification, de sourcing, de pédagogie et de mise en perspective, pourtant absolument nécessaire pour un traitement grand public de l’information. Le traitement du piratage l’an dernier de TV5 Monde illustre parfaitement cette difficulté, soulignait Laurent Huberson. Pour la première fois dans l’histoire contemporaine française, l’antenne d’une chaîne de télévision internationale était coupée par une attaque informatique. Pourtant, malgré son importance et bien que médiatisé, l’événement n’a pas été traité à la hauteur de ses enjeux et n’a jamais été réellement décrypté. Avec comme corollaire un autre risque : qu’une médiatisation hâtive et une vulgarisation à l’excès puissent laisser la place à toutes les théories du complot et accentuer le mystère. C’est l’effet extraterrestre. Les professionnels de la cybersécurité doivent donc avant tout faire un effort de vulgarisation et de pédagogie auprès des journalistes eux-mêmes s’ils veulent espérer toucher le grand public.

Clément Rossi