La sensibilisation à la sécurité informatique pourrait servir à quelque chose…

Critiquer c’est bien, proposer c’est mieux, et à la fin dudit article je listais quelques principes, notamment distinguer les populations à former, mutualiser avec d’autres risques (la fraude au président par exemple), capitaliser les modes d’attaque et surtout mener une évaluation des différents protocoles de sensibilisation. Poursuivons donc la réflexion.

Qu’il faille sensibiliser une DG au risque cyber, notamment pour amener ce sujet au niveau stratégique et accessoirement décrocher des budgets, il n’y a même plus débat. Mais alors que l’agent lambda se voit raconter par le menu les précautions habituelles sur le choix d’un mot de passe ou la méfiance vis-à-vis d’une pièce jointe suspecte dans un mail, ne serait-il pas opportun de faire les deux en même temps (les précautions habituelles et le volet stratégique, dans une même intervention) avec une DG, selon un format à penser, juste pour montrer les deux bouts de la chaîne à des décideurs, à savoir la facilité avec laquelle on peut se faire avoir et l’impact d’une potentielle maladresse ? En une heure seulement, on peut balayer large, et certains sont de véritables showmen de la menace cyber : j’ai souvenir d’une prise de main à distance d’un drone en plein vol par un ex-FSSI devant tout un parterre à un congrès de l’Apssis[2], un grand moment.

Le gros problème reste tout de même l’absence d’évaluation de l’efficacité des sensibilisations ou formations : imaginez un hôpital qui dirait à un patient qu’il faut prendre un médoc dont l’efficacité n’a même jamais été mesurée, mais qu’il vaut mieux avaler la pilule rose que rien du tout ! Les arguments en faveur de la sensibilisation tournent toujours autour de ce thème : on est un peu léger, l’an 2 de la sensibilisation cyber n’est manifestement pas près de montrer le bout de son nez. Dans Les Maîtres de la manipulation (titre un peu exagéré du reste), David Colon dresse un inventaire des meilleurs publicitaires, sociologues, cinéastes et j’en passe qui ont utilisé des techniques variées pour vendre des lames de rasoir, des présidents à un électorat (authentique), voire même l’idée de la guerre à une nation (Walt Disney a utilisé à fond ses dessins animés dans cet objectif). À partir des années 1970, les outils d’évaluation (ou de manipulation, c’est selon) pullulent, l’un des derniers en date étant le fameux « nudge ». Le nudge consiste, en gros, à utiliser des signaux faibles pour influencer le comportement des individus, qu’il s’agisse d’un message sur la déclaration d’impôts (« 70 % des contribuables payent dans les temps, et vous ? », qui augmente drastiquement le taux de recouvrement) ou de la célèbre mouche peinte sur les urinoirs, qui permet à ces messieurs de ne pas pisser à côté. Comme quoi nous disposons d’outils et de techniques éprouvées pour changer les comportements (cliquer et pisser) et pour les mesurer : à quand le nudge cyber ?

Bref, il va falloir imaginer des protocoles d’évaluation (lire à ce sujet l’excellent article sur l’évolution des protocoles médicamenteux dans le dernier numéro du Courrier international, qui pourra donner des idées), utiliser des techniques parfois centenaires de la publicité, des protocoles de tests universitaires (lire à ce sujet les ouvrages de Dan Ariely) avec des tests en double aveugle, etc. Sans quoi on restera sur de l’incantatoire (j’ai d’ailleurs systématiquement supprimé les commentaires à mon précédent article de gugusses qui écrivaient : « Venez chez nous, on a le produit de sensibilisation parfait »), de l’estimation au doigt mouillé, ce qui finira par nous retomber dessus parce qu’un jour quelqu’un se piquera de faire une évaluation purement comptable de tout ce bazar (les comptables à la petite semaine sont un des produits dont nos sociétés modernes disposent en abondance), et on n’aura rien à lui raconter, à lui opposer.

Enfin, un champ peu exploré reste l’intégration des outils de sensibilisation directement au sein des outils métiers. Les plateformes Web de passation d’ordres de bourse, par exemple, l’utilisent déjà et sont en mesure, selon votre profil renseigné et votre historique d’utilisation, de vous alerter sur l’ordre que vous vous apprêtez à passer. Que l’on ne vienne pas me dire que c’est impossible avec un DPI (des outils tel Daqsan[3] existent, et c’est français s’il vous plaît), que l’on ne peut pas appliquer des techniques basiques d’IA et comportementales pour éviter d’ouvrir une pièce jointe frelatée dans une messagerie. Le pompon dans le domaine revient à la fonction SF (serveur de fichiers), une des briques à la fois la plus utilisée d’un SI et la plus stupide : dès lors qu’une cochonnerie a réussi à s’y introduire, tous les collègues vont en profiter.

Bon, après, vous pouvez aussi considérer que si la formation c’est 100 % ou rien, alors c’est l’aveu que nos SI sont tout pourris au regard de la cyber : après tout, ils ont été conçus par une bande de barbus sous acide et en chemises à fleurs.

Et vous n’auriez pas entièrement tort.

[1] /article/4477/la-sensibilisation-a-la-securite-informatique-ne-sert-a-rien.html

[2] www.apssis.com

[3] https://daqsan.com/fr/