Julien Piperault, Ingénieur Avant-vente Cybersécurité chez Exclusive Networks estime que les bonnes pratiques de demain s’apprennent dès aujourd’hui. Cela est d’autant plus vrai en cybersécurité, alors que la majorité des salariés mettent en danger leur entreprise en adoptant des comportements à risque sans le savoir. Pour éviter de favoriser les cyber-attaques, et pour mieux intégrer l’utilisateur au cœur des stratégies de cybersécurité, il faudrait enseigner les bons réflexes dès l’école.
Cybersécurité : la négligence des salariés est un danger pour l’entreprise
Aujourd’hui, l’utilisateur est la plus grande vulnérabilité des entreprises en termes de cybersécurité – une vulnérabilité qu’aucun patch ou antivirus ne pourra venir pallier. Ainsi, les salariés ont tendance à oublier de déconnecter leurs comptes avant de rentrer chez eux, à noter leurs mots de passe, ou, pire, à les divulguer à leurs collègues, ou encore à copier des données de l’entreprise sur clé USB.
A lire aussi : Comment concilier télétravail agile et cybersécurité ?
Des imprudences qui se doublent d’un contrôle insuffisant de la part des DSI qui peinent encore à maîtriser la gestion des accès privilégiés. Face à ces mauvaises pratiques encore trop répandues aujourd’hui, la problématique des entreprises est de sécuriser toutes les zones d’ombre du réseau dont le dernier maillon est l’utilisateur. Une faiblesse d’autant plus stratégique que certains pirates, échaudés par un maillage sécuritaire trop sophistiqué, n’hésitent pas à recourir à de stratagèmes plus malicieux en ciblant directement l’humain via le « social engineering », c’est-à-dire en cherchant à le compromettre pour lui faire exécuter des ordres et divulguer des informations. Une stratégie non-électronique qui dessine les limites de la cybersécurité curative implémentée au sein des SI.
Les usages évoluent, mais la vigilance stagne
Il faut dire que la France, et les sociétés occidentales de manière générale, manquent cruellement d’une culture de la cybersécurité, pourtant essentielle dans le monde hyper-connecté dans lequel nous évoluons. Cette prise de conscience, encore inexistante chez la majorité des utilisateurs, est le produit d’une société qui n’en a pas encore saisi toute l’importance et de fournisseurs de contenus qui fondent leurs business modèles sur le partage de données personnelles.
Ainsi, 89 % des enfants de moins de huit ans ont une interaction régulière avec les écrans. Pire : 30 % des bébés ont une empreinte numérique… avant même leur naissance ![1] On nait dans un monde tellement connecté que l’on ne peut plus échapper au digital. Les écrans sont partout, surtout au sein du foyer, et les applications sont désignées pour être si intuitives et rétentives que même avec des outils comme le contrôle parental, assez simple à contourner, les enfants sont exposés au web et à ses dangers dès leur plus jeune âge. Et si l’on apprend aux enfants à se créer une adresse mail au collège, on ne leur enseigne pas pour autant comment se prémunir contre les attaques de phishing.
L’arrivée de la 5G et l’explosion concomitante de l’IoT ne devraient que renforcer cette dynamique et décupler les besoins dans les prochaines années. Or, les entreprises cherchant à recruter un expert en cybersécurité se trouvent aujourd’hui face à une pénurie de profils.
Cybersécurité : quel rôle pour l’école ?
Il y a quelques années, on parlait de leur apprendre à coder dès l’école primaire, autant pour assimiler ce nouveau langage qui leur serait plus tard indispensable, que pour réveiller des vocations et renforcer le marché du développement en proie à des pénuries de profils malgré une demande qui explose.
De la même manière, comme l’école a pris sur elle d’enseigner l’éducation civique pour former les citoyens de demain, elle aurait toutes les cartes en main pour donner les bases de la cybersécurité à ses jeunes élèves particulièrement friands d’écrans, et donner une formation plus complète aux étudiants qui souhaitent suivre des cursus spécialisés. Une éducation numérique stratégique pour mieux les préparer au monde de demain, déjà férocement digital : plutôt que de changer de mauvaises habitudes, la France doit enseigner les bons réflexes à ses futurs utilisateurs.
A lire aussi : Intelligence digitale : il est urgent de préparer les prochaines générations
Ce choix paraît d’autant plus logique que les enfants sont une cible privilégiée pour les cyber-attaquants. Hyperconnectés, ils sont quotidiennement exposés aux écrans : plus de 75% des plus de 12 ans possédaient un smartphone en 2019[2]. Que Fortnite, TikTok ou YouTube restreignent leur accès via une limite d’âge ne change rien. Leur capacité à braver les interdits digitaux offrent une porte d’entrée aux attaquants, qui investissent dans des subterfuges malicieux comme des jeux gratuits à télécharger ou des bonus gratuits sur leurs jeux favoris, pour les inciter à cliquer sur des liens frauduleux, et ainsi pénétrer le device parental ou le réseau domestique.
Comment enseigner la cybersécurité ?
Si les universités doivent être les premières à démocratiser la cybersécurité en créant des filières spécifiques à ce sujet aujourd’hui primordial, l’école a aussi un beau spectre d’action possible pour enrayer le plus tôt possible les mauvais réflexes de demain. Bien sûr, l’Éducation nationale a déjà pris des mesures, notamment en sensibilisant les enfants et adolescents via des interventions sous forme de cours magistraux. Mais s’ils ont bien pris la mesure de certains dangers liés à internet comme la pédopornographie ou le cyber-harcèlement, la notion de « cyberattaque » reste majoritairement énigmatique pour eux, et ces interventions péri-scolaires ont davantage un goût de récréation qu’une réelle valeur de sensibilisation.
Certaines solutions de sensibilisation à la cybersécurité existent pour des apprenants adultes : on pourrait imaginer le même type d’enseignement adapté aux enfants, de façon ludique et interactive, notamment via l’e-learning. Elles sont néanmoins complémentaires d’une formation du personnel enseignant, absolument indispensable, et plus profondément d’une amplification de l’offre de formation sur la cybersécurité pour pallier au manque de compétences qui, demain, mettront en péril la sécurité de nos entreprises.
[1] Selon une étude menée par l’institut de sondage GECE
[2] Selon le baromètre du numérique 2019