FIC : les citoyens, grands oubliés de la sensibilisation à la cybersécurité
L’Anssi a profité de l’ouverture du Forum International de la Cybercriminalité, qui se tenait ces 28 et 29 janvier à Lille, pour présenter la première version stable de son précis de sécurité informatique. Un document à destination des entreprises qui fait encore l’impasse sur l’information des citoyens. Un terme d’ailleurs absent du discours de Fleur Pellerin, ministre de l’Economie numérique.
La question de la sécurité informatique serait-elle trop sérieuse pour être l’affaire de simples citoyens? C’est quelque peu le sentiment que l’on serait tenté d’éprouver à l’issue de la première journée du Forum International de la Cybercriminalité (FIC) qui s’est ouvert ce 28 janvier. De fait, le lieu semble plus centré sur les problématiques des acteurs économiques et de l’Etat que sur celles des citoyens, des civils pourrait-on dire sur cet événement où la Gendarmerie Nationale tient une place non négligeable.
Marc Wattin-Augouard, Général d’armée et directeur du Centre de recherche de l’Ecole des officiers de la Gendarmerie nationale, a ainsi ouvert les débats en évoquant les spécificités du domaine «cyber» en matière de sécurité et de cybercriminalité : «réduction considérable de l’espace-temps», indéfinition des «zones de criminalité» et uniformité des moyens employés par les attaquants quels que soient leurs objectifs - «ce qui va faire la différence, c’est l’intensité, la préparation, la cible, la motivation.»
Internet, un domaine aux règles nouvelles
Dès lors, le champs cybernétique apparaît comme un «espace où les forces de défense et de sécurité peuvent être parfaitement imbriquées» au point de nécessiter une organisation ad-hoc des forces de l’ordre. Mais l’Etat ne peut pas tout et le Général appelle ainsi à un «décloisonnement» entre public et privé, à nouer un «dialogue beaucoup plus fort avec les entreprises ». Un rapprochement qui semble d’autant plus justifié que «le pouvoir égalisateur du cyber permet au faible de frapper le fort là où il est faible », selon le Général Eric Bonnemaison, directeur adjoint de la délégation aux affaires stratégiques du ministère de la Défense.
D’ailleurs, pour Patrick Pailloux, directeur de l’Anssi, «nos sociétés sont extrêmement fragiles ». Notamment du fait de la faible adoption de pratiques de sécurité de base, ce qui justifie son guide de l’hygiène de la sécurité informatique, 40 recommandations qui constituent «l’alpha et l’omega de la sécurité des systèmes d’informations ».
Le citoyen, cet oublié
Mais quid des acteurs humains? Stéphane Janichewski, directeur de l’offre de services sécurité de Sogeti, souligne que la sécurité informatique n’est «pas qu’une question d’outils ». Que «la technique ne résoudra pas des questions qui n’ont pas été clairement posées au sein de l’organisation ». Pour lui, «sensibiliser 100 000 personnes en interne, ça a un coût, mais il faut le voir comme un investissement ». Et si justement, cette approche, consistant peu ou prou à considérer que les personnels d’une organisation constituent sa première ligne de défense, pouvait être étendue à la nation ? Alors que, de l’aveu même du Général Eric Bonnemaison, dans le monde cybernétique, «l’asymétrie est reine» et qu’il est possible «d’influencer directement la population civile par Internet», pourquoi ne pas miser sur la sensibilisation des citoyens, suivant l’exemple britannique?
Le guide d’hygiène informatique de l’Anssi vise les entreprises ; une cible sur laquelle l’Agence concentrerait 70 % de ses efforts. Interrogée sur la pertinence de renforcer ses activités à destination du grand public, Fleur Pellerin, ministre de l’Economie numérique, a indiqué que «c’est quelque chose sur lequel on a échangé sur le stand de l’Anssi un peu plus tôt ». Mais sa réponse s’est très largement concentrée sur la question de la «formation» des ingénieurs et développeurs, d’une part, et sur la «sensibilisation des directeurs informatiques», d’autre part, estimant qu’il faudrait peut-être insister sur les missions de sensibilisation de l’Anssi «notamment dans les PME qui sont peu outillées pour faire face aux menaces ».
Pour les simples citoyens, il faudra alors peut-être s’en remettre à l’idée évoquée par Eduardo Rihan Cypel, député et membre de la commission de la défense nationale et des forces armées, qui reconnaît un enjeu «pour les citoyens» avec «tout ce qui va vers la dématérialisation» : un «code du cyber» qu’il suggère en faisant le parallèle avec le «code de la route ». Dès lors, pourquoi pas un permis d’Internet comme cela a déjà pu être évoqué par le passé?
Mais que l’on rassure : selon le député, «le cyber, au-delà de poser des difficultés en termes de menaces, de risques et de sécurité nationale, constitue aussi une formidable source d’opportunités ». Et là, la France peut même être «précurseur» et doit «être à l’avant-garde ».