La sensibilisation à la sécurité informatique ne sert à rien

« L’informatique est le problème, l’humain est la solution », « L’utilisateur est le dernier rempart », « L’humain au cœur de la sécurité », voire mon préféré « L’humain maillon fort de la cyber » : en matière de poncifs, il y en a pour tous les goûts, manifestement conçus la plupart du temps par le stagiaire en marketing (voire de 3^e). Et blablabla et blablabla. Sauf que tout cela, c’est du flan, bernique et gloubi-boulga en sauce. Voici pourquoi.

Récemment, j’ai participé à une rencontre entre confrères, et le sujet de la sensibilisation était à l’ordre du jour de la petite sauterie. On n’avait pas perdu trop de temps sur le volet enfumage susnommé que l’un de nous sort tout de go : le problème des campagnes de phishing n’est pas tellement le taux de hit (comprendre : le nombre de salariés qui se sont fait prendre comme des bleus à cliquer sur le lien sur lequel il ne fallait pas ou ouvrir la pièce jointe de test) que de savoir comment l’interpréter. Et de développer : si on lance une campagne de phishing incitant à cliquer sur le lien qui permet de faire un don à la petite Marie qui attend sa greffe de moelle osseuse (un grand classique d’il y a quelques années), le taux de hit (assez faible dans ce cas) ne renseigne en rien sur le taux de hit d’une autre campagne de phishing, par exemple cliquer sur le lien pour le bon cadeau à la Fnac pour les fêtes (curieusement quand il s’agit de gagner des sous, on clique plus souvent que quand il s’agit d’en donner). Bref, à moins de faire des campagnes de phishing à longueur de temps et de stresser à fond tous les agents de la boîte (pas sûr que le DRH vous laisse faire longtemps du reste), un test de phishing n’est jamais représentatif du phishing en général, mais juste du thème mentionné dans le mail. Je ne résiste d’ailleurs pas au plaisir de vous mentionner le test auquel un autre participant s’est livré. Il s’agissait d’envoyer à toute la DSI (90 % de gars) un mail intitulé « Boobs – tu ne vas pas en croire tes yeux », avec un lien vers des photos supposées prometteuses. Mon tact proverbial et ma retenue légendaire m’interdisent de vous communiquer le taux de hit, qu’il vous suffise de savoir qu’il est considérablement plus élevé que celui de la petite Marie – on est hyperétonnés, non ?

On pourra toujours argumenter que faire de la sensibilisation vaudra toujours mieux que de ne rien faire (dixit les fournisseurs de solutions, les mêmes qui prétendent mettre « l’humain au centre de la cyber », on a hyperconfiance), sauf que ce raisonnement souffre de deux tares. La première, c’est qu’il suffit d’un seul clic au sein d’une entreprise de 10 000 agents pour tout cryptolocker : en d’autres termes, si la sensibilisation ne touche pas 100 % du personnel, c’est comme si rien n’avait été fait. Et la seconde, c’est que toute affirmation doit être prouvée, sans quoi elle est nulle : pour démontrer que la sensibilisation fonctionne, il faudrait conduire un protocole de recherche précis avec des groupes de test, des tests en double aveugle et tout le tralala (sans même parler de l’impact avéré de la tare précédente). À ma connaissance, cela n’a jamais été fait, et pour cause.

Le dernier truc à la mode, ce sont les escape games. C’est trendy, c’est hype. Il s’agit de mettre 10 ou 12 gugusses dans une pièce et de les faire jouer à une sorte de jeu de rôle plus ou moins sophistiqué avec tous les codes des parties de Donjons et Dragons des années 1980 : les gadgets, le maître de jeu, les événements qui surviennent en cours de partie. Si vous avez tout plein de sous, certains prestataires mettent même à disposition des locaux avec tout le décorum : pièces décorées, écrans avec des chiffres 0 et 1 qui défilent comme dans Matrix (authentique) et même les types en capuche pour effrayer la donzelle, mais c’est en option. C’est trendy, c’est hype, et c’est idiot : par fournées de 12 personnes, il va falloir combien de temps pour sensibiliser tout le personnel d’un GHT, y compris les VIP, y compris les médecins, les soignants, la DSI ? Sans compter qu’il faut mettre tout ce beau monde pendant 2 ou 3 heures, voire plus, dans une pièce – c’est vrai qu’on n’est pas du tout en tension RH dans les hôpitaux en ce moment[1]. Bref, cela peut être utile, mais pour quel type de population ? Quelle étude a été réalisée pour mesurer l’impact des escape games selon le type d’utilisateur ? Quelle est leur efficacité ?

La vérité, c’est que la sensibilisation à la SSI est nécessaire : ce billet n’a pour objectif que de soulever les questions en suspens. Mais la maturité globale des acteurs du marché (fournisseurs de solutions logicielles ou prestations, entre autres mais pas que, cela fait vivre du monde) se situe entre le Précambien supérieur et le Phanérozoïque inférieur. Injecter à fonds perdu des sous dans une activité dont on est incapable d’estimer l’efficacité, mais qui raisonne encore de la sorte au xxi^e siècle ? Qui a encore le toupet d’aller vendre un machin supposé réduire un risque sans être capable d’en quantifier la diminution, même à la grosse louche ? Vendre à son boss une formation SSI à 12 000 agents de deux heures par personne (24 000 heures de travail en remplacement à reconduire a minima tous les trois ans, je vous laisse faire le calcul de la facture finale, sans même parler du logiciel très cher qu’on va me refourguer), faut être très motivé. Le seul intérêt remonté par ceux qui ont testé, c’est que les utilisateurs sont plus enclins à signaler un message suspect à la DSI –, mais pas tous les utilisateurs, et c’est bien le problème, on en revient toujours à la notion d’évaluation.

Le champ de la sensibilisation ne sortira de cette situation (qui finira par lui retomber dessus quand certains décideurs interrogeront l’efficacité des sommes mobilisées) qu’aux conditions suivantes, certainement pas exhaustives :

• Distinguer les populations à former. Qu’il faille former la DSI et la DG est évident, mais pour le reste des agents, contenus et outils ne sont pas les mêmes ; qu’un escape game soit opportun pour les adminsys, OK, mais à mon sens, pour « le reste », faire à budget minimum ;
• Mener une étude de l’efficacité des différentes palettes de techniques. Ce champ d’étude relève plus de la psychologie et de la sociologie que de l’informatique ; il n’a pas été abordé à ce jour, malgré des sujets de thèse passionnants. Ce point est absolument majeur ;
• Orienter des ressources internes (RSSI, CSSI) vers la sensibilisation de personnes ciblées. Je doute qu’un DG doive se plier à un escape game, par contre un échange en face à face avec son RSSI est indispensable, sans parler bien entendu des populations cibles (VIP, adminsys, etc.). Sensibiliser ces populations n’est bien entendu remis en doute par personne ;
• Mutualiser avec des risques connexes. J’ai été surpris de constater à plusieurs reprises que certaines DAF n’ont absolument jamais entendu parler de la fraude au président ;
• Mutualiser des exercices de crise (qui peuvent être réalisés sous forme d’escape game), y compris la crise cyber ;
• Capitaliser des modes d’attaque connus passés au sein d’un logiciel de formation ;
• Bref, disposer d’une vraie stratégie de formation cyber pluriannuelle avec des évaluations d’efficacité.

Mais bon, faites quand même un peu de sensibilisation. Si vous avez un gros pépin, on vous reprochera de n’en avoir pas fait : c’est son seul intérêt démontré.

[1] Attention, les simulations de gestion de crise SI sont elles, par contre, tout à fait indispensables mais ne s’adressent pas aux mêmes personnes et ne traitent pas les mêmes thèmes.