Face à une situation évoluant vite, le think tank Digital New Deal a publié un rapport sur la cybercriminalité. Il explore une dizaine de pistes pour améliorer aussi bien la sensibilisation que les compétences face à la cybermalveillance au sens large. Si certaines solutions semblent « naturelles », d’autres sont plus osées.
Digital New Deal (DND) est un think tank français composé essentiellement de PDG, professeurs, président(e)s de structures diverses d’associations et ONG. On y retrouve par exemple Sébastien Bazin (PDG d’AccordHotels), Nicolas Dufourcq (directeur général de Bpifrance), Axelle Lemaire (directrice stratégie, innovation et transformation de la Croix-Rouge), Judith Rochfeld (professeur agrégée de droit à la Sorbonne) ou encore Bruno Sportisse (PDG d’Inria). Son délégué général est Arnaud Pons.
Il publie régulièrement des rapports sur l’état d’un secteur en particulier. Dans le cas qui nous intéresse aujourd’hui, le rapport fait un état des lieux sur la cybersécurité en France, sur sa perception, sa débilisation, l’accessibilité de l’offre, son financement, son cadre juridique ou encore la possibilité d’aller vers de nouvelles normes. Dans cette première partie, nous abordons les thèmes de l'éducation et de la formation. Dans la seconde, nous reviendrons sur la souveraineté, certaines mesures plus techniques et la certification.
Comme nous allons le voir, le rapport est volontairement peu technique. État des lieux oblige, il tire dans toutes les directions, mais certaines pistes sont très intéressantes. Tout comme le « timing » : dans le sillage des activités cybercriminelles en Ukraine (moins intenses que prévu, voir notre article), il a semblé important au think tank de faire le point aussi bien pour les entreprises que pour les particuliers, en passant par l’État.
Digital New Deal évoque la prise en compte « graduelle » de la menace cyber en France avec la création en 2009 de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information), ainsi que les lois de programmation militaire de 2013 et 2018, revoyant à la hausse les obligations des OIV (opérateurs d’importance vitale) et des OSE (opérateurs de services essentiels).
Puisque la situation a progressé, les changements rapides dans ce domaine appellent, selon le think tank, à un éveil plus généralisé.
- Cybersécurité en France : la délicate question de l’éducation et de la formation
- Cybersécurité en Europe : Digital New Deal veut plus de souveraineté et un « contrôle technique » obligatoire
Sensibiliser le plus grand nombre
DND estime que chacun a au moins été une fois victime d’une tentative de fraude au cours des deux ou trois dernières années. Les exemples ne manquent pas : fraude à la panne informatique (appareil bloqué et rançon à payer), chantage au crypto porno ou encore les désormais célèbres escroqueries téléphoniques à MonCompteFormation. Rien que sur ces derniers, l’argent siphonné représenterait plusieurs dizaines de millions d’euros.
Dans ce domaine spécifique, la compréhension de certains mécanismes psychologiques et sociaux semble l’une des clés du problème. Le think tank aborde notamment la honte ressentie de s’être « fait avoir », qui empêche dans certains cas d’en parler à son entourage et surtout aux autorités, souvent parce que les sommes ne sont pas jugées si importantes – une centaine d’euros par exemple. Les criminels restent « en-dessous des seuils d’acceptabilité (individuel et/ou collectif) ». Ce qui fait dire à Digital New Deal que les statistiques officielles sont « très probablement largement sous-estimées ». N'hésitez donc pas à prendre le temps d'en parler autour de vous en cas de fraude avérée ou même de suspicion.
Dans ce contexte, le think tank estime que l’information est primordiale. Sa première recommandation est donc de réaliser une campagne nationale pluriannuelle de sensibilisation sur la cybersécurité. Il se permet une analogie avec le monde des voitures, notant que la complexité technique des véhicules a beau être masquée aux conducteurs, ces derniers sont conscients des dangers de la route.
La campagne n’irait pas chercher midi à 14h : plutôt que de « former » les gens à de nouveaux outils, il s’agirait surtout qu’ils sachent exploiter ceux déjà présents dans les produits actuels, du moins dans la plupart des cas. La campagne, de type « prévention routière », serait tournée vers les adultes de 18 à 60 ans, qui entraîneraient alors le reste de la population par effet levier. Le mot « campagne » ne renvoie d’ailleurs pas l’idée précise qu’a en tête DND, qui parle plutôt de programme sur le long cours, toujours accessible et « s’appuyant également sur la notoriété acquise par le mois européen de cybersécurité », en octobre.
Le think tank décrit des messages techniques transformées – pour les besoins du programme – en messages « simples, forts et ludiques » pour « favoriser leur appropriation et leur propagation active ». Le programme sera multicanal : spots et émissions dédiées sur TV, et messages sur les réseaux sociaux pour l’essentiel.
Digital New Deal estime le coût, par une « étude approfondie », à environ 4 millions d’euros. Il faudrait cependant dégager un budget pluriannuel pour l’entretenir sur le long terme, même si les messages des années suivantes pourraient être plus ciblés.
Formation : tout rassembler autour de Pix de l’Éducation Nationale
Pix est un groupement d’intérêt public initié par l’État en 2016, avec pour mission d’accompagner l’élévation du niveau général des compétences numériques. Depuis l’année dernière, il a même pour mission de valoriser les acquis des élèves de 3e par une évaluation obligatoire. Il contient un volet cybersécurité dans deux thématiques : sécuriser l’environnement numérique, et protéger les données personnelles et la vie privée.
Si Digital New Deal met en avant ce programme, c’est qu’il aimerait que d’autres du même acabit viennent s’y greffer. C’est sa deuxième recommandation : concentrer tous les efforts autour de Pix. Le think tank cite notamment le Permis Internet pour les enfants ou encore CyberEnJeux, lancé conjointement par l’ANSSI et le ministère de l’Éducation Nationale, de la Jeunesse et des Sports en 2019. Il s’agit à chaque fois d’initier les élèves – parfois dès le primaire – aux enjeux de la vie numérique, les précautions à prendre et les enjeux.
Si DND propose cette unification autour de Pix, c’est que le programme est reconnu et concerne très largement l’ensemble de la population (il implique 1,2 million d’agents et 12 millions d’élèves). Le think tank apprécie également son aspect global d’acculturation à la vie numérique et pas uniquement centrée sur la cybersécurité. Son contenu pourrait, selon lui, bénéficier d’une « montée en puissance » qui commencerait dès le cycle 2, le premier étant prématuré pour ces notions :
- CP, CE1, CE2 : principaux risques associés à la découverte d’internet (notamment les mauvaises rencontres)
- CM1, CM2, 6e : développement de l’autonomie au travers des bonnes pratiques (mots de passe, comptes email, avatars et pseudos, achats en ligne)
- 5e, 4e, 3e : empreintes numériques et conséquences (données personnelles, cyber harcèlement fraudes, usurpation d’identité)
Comme au judo, DND imagine des ceintures de couleur qui viendraient valider les étapes franchies. L’approche dépendrait surtout de l’âge des élèves, avec un angle plus ludique d’abord, plus sérieux ensuite. Et puisque Pix peut accompagner l’élève au lycée et en enseignement supérieur, la formation pourrait être complétée ensuite par des modules correspondant au niveau et à la spécialité de chacun : notions de chiffrement, hachage des mots de passe, attaques par force brute, etc.
L’élément le plus à même de faire fonctionner cette intensification, selon Digital New Deal, est la mise à l’échelle de Pix, qui peut toucher tous les élèves et qui dispose déjà d’une structure établie. Elle permettrait à la fois de couvrir la formation obligatoire aux NTIC et de mettre en lumière les risques associés.
De bonnes intentions, mais qui risquent d’être compliquées à mettre en place dans toutes les écoles. Si former les élèves est important, il faut également que les professeurs puissent acquérir les compétences nécessaires, que ce soit en école primaire, au collège et au lycée. C’est pour le moment loin d’être le cas.
Formation professionnelle : la situation n’est pas brillante
Le think tank part d’un constat : les générations déjà formées n’auraient pas d’acquis sur la cybersécurité. Par exemple, la génération X en aurait très peu entendu parler pendant ses études. Même les ingénieurs spécialisés en programmation informatique.
La solution serait de capitaliser sur MonCompteFormation. Le service est déjà très utilisé et bien intégré dans le quotidien. Pour Digital New Deal, il faudrait donc le compléter, notamment en incitant les organisations de formation des ESN (Formind, Advens, Atos, H2S, OCD et autres) à y déposer leurs formations et obtentions de certifications.
La démarche serait ensuite promue auprès des entreprises via une campagne de communication, pour mettre également en avant la dotation. Pour cette dernière, DND évoque 25 millions d’euros pour le seul créneau de la formation en cybersécurité. La somme lui paraît réaliste compte tenu des sommes déjà engagées par l’ANCT (Agence Nationale de la Cohésion des Territoires). DND rappelle également que le plan France 2030 prévoit 140 millions d’euros pour des formations en cybersécurité via un appel à manifestation d’intérêt.
DND propose cependant une idée plus « disruptive » (sic), qui pourrait être appliquée dans un second temps : intégrer la cybersécurité dans les dispositifs légaux de sécurité au travail, au même titre que les risques psychosociaux. Le risque cyber serait alors intégré dans un code du travail amendé, spécifiquement dans deux articles : les conditions d’exécution du travail (R.4141-13) et la conduite à tenir en cas d’accident ou de sinistre (R4141-17).
Centraliser les fonctions et informations cyber
Le think tank fait un tour de table relativement élogieux de la politique de dématérialisation engagée en France depuis une vingtaine d’année. Lente au départ, elle concerne aujourd’hui la quasi-totalité des services de l’État.
La cybersécurité n’est pas en reste, et trois mécanismes se répartissent aujourd’hui les signalements : Pharos (contenus et comportements illicites), Percev@l (utilisation frauduleuse de la carte bancaire) et cybermalveillance.gouv.fr, groupement d’intérêt public une veille et apportant une assistance aux victimes.
Et de la même manière que l’on peut se sentir un peu perdu devant la multitude de services de l’État, on peut être démuni après une attaque. Le think tank note, à juste titre, que « le citoyen moins alerte en outils numériques et déjà fortement perturbé par le préjudice qu’il vient de subir, risque de vite se sentir découragé face à la complexité de l’arbre de décision auquel il est confronté pour effectuer son signalement ».
La recommandation de Digital New Deal ? Tout centraliser autour d’une nouvelle application, TousActeursCyber. Disponible sur Android et iOS, elle pourrait être utilisée par tous, intégrerait toutes les fonctions de Pharos, Percev@l, cybermalveillance.gouv.fr, Signal-Spam et autres, afficherait des synthèses vulgarisant des informations à jour sur la cybersécurité, permettrait la mise en relation directe avec les autorités (gendarme ou police), etc.
L’idée se base volontiers sur l’exemple de TousAntiCovid. Le think tank ne s’attend pas cependant à ce que cette application soit autant téléchargée, à moins d’une crise, comme une attaque à l’échelle nationale. Il est également conscient du travail qu’il faudrait fournir sur la vie privée, car l’application serait nominative, avec FranceConnect par exemple pour l’identification.
Commentaires (24)
#1
Très intéressant, il y a de bonnes pistes en effet !
sinon : “Le think tank décrit des messages techniques transformées – pour les besoins du programme – en messages « simples, forts et ludiques » pour « favoriser leur appropriation et leur propagation active ». Le programme sera multicanal : spots et émissions dédiées sur TV, et messages sur les réseaux sociaux pour l’essentiel.”
Je crois que c’est mort pour la nouvelle génération, au BAC, ils ont butés sur ce mot xD
#1.1
Des messages « simples, forts et lubriques »
#1.2
Perso j’ai tout suite buté sur think tank.. ils appelle vraiment ça comme ça?
Entre ça et Digital New Deal, la langue française se perd vraiment avec tout ces commerciaux franglish
Allez je m’en vais lire l’article maintenant..
Édith: d’un autre côté je viens de lire le mot “débilisation”, ceci explique peut-être cela
#2
c’est tout de suite plus motivant comme ça !
#2.1
hahaha.
In fine, tout passe par l’éducation. Le problème c’est que c’est long, il faut attendre le renouvellement des générations.
#3
C’est clair que si cela pouvait rentrer dans la formation professionnelle continue, cela serait un plus.
Dans le domaine de la santé, il n’y a pas de formation sur la sécurité informatique, en dehors de la formation déguisée au logiciel professionnel (formation payée par la collectivité, cela me questionne).
Résultat, on balance une application pour signer numérique les certificats a des personnes qui ignore la notion 2 FA. Ça loupe pas, des malins ont réussit à duper les professionnels de santé et obtenir des signatures.
Et avec l’obligation d’utiliser la double authentification pour toutes personnes (professionnels ou patients) se connectant a une interface manipulants des données de santé, si il n’y a pas formation, cela va être un beau bazar…
#4
Excellent article et bonnes initiatives proposées.
Merci.
HS: c’est un exemple d’article qui a pile la bonne longueur pour moi.
#5
Des formations dès le CP??
Il y a vraiment des parents qui lâchent leurs gosses internet à cet âge?!?
#6
Il y aurait pas CapGenimi dans le groupement ? Non parce que l’idée d’une appli pour ça …
Un portail unique, oui, ça serait une bonne idée.
#7
Et alors ? tu as des cours de prévention routière dès la 6e et pourtant les élèves n’ont pas tous des véhicules
C’est le principe même de la prévention.
Autre exemple: dès la maternelle, on explique aux enfants qu’il ne faut pas s’approcher des inconnus, et pourtant la majorité des parents ne laissent pas les enfants seuls.
#7.1
Je dois être vieux alors j’ai pas souvenir d’avoir eu de prévention routière en 6e..
À la rigueur un genre stage en primaire pour apprendre le bases du code de la route en vélo mais c’est tout!
Et de mémoire c’est pas l’école qui m’a appris à ne pas m’approcher des inconnus mais mes parents ;)
Qu’on fasse de la prévention je veux bien, mais plusieurs années avant d’être confronté au problème j’ai du mal à voir l’utilité..
Après encore une fois c’est peut-être moi qui devient vieux (con )… c’est quoi l’utilité d’internet avant CM2/6e?
#8
+1 pour l’intégration en RPS et dans le Code du Travail. Même l’employeur est démunit en cas de comportement à risques d’un employé (sans aller jusqu’à la brèche et l’incident), il n’y a pas grand-chose à faire face à quelqu’un qui distribue ses films de vacances via un disque USB sur les postes de travail commun :/ (sauf à aller très loin dans le délictuel).
et +1 pour l’éducation parent/prof aussi, j’en aide une trentaine tous les ans (sur 5 classes de 6èmes qui rentrent) perdus avec Pronote et les procédures d’inscription educonnect.
#9
Les pistes évoquées sont plutôt sensées et intéressantes, ça fait bizarre. En règle générale, on a droit un à déluge de voeux pieux inapplicables.
C’est vrai que ça a avancé, mais pas toujours dans le bon sens. Et je trouve que la démarche du « tout numérique » créé plus de problèmes qu’elle n’en résous … c’est parfois pratique et rapide, mais dès qu’il y a un imprévu c’est ingérable et ça prends des plombes … quand ça peut être résolu :/
#10
Une solution que j’ai déjà croisé (ok c’est contraignant et pas user friendly pour les petites boites), c’est d’empêcher la lecture de périphériques non reconnus sur les postes, les périphériques de stockage “autorisés” étant chiffrés et non lisibles en dehors de la boutique ;)
#11
Concernant la sécurité routière je n’en ai pas eu non plus en 6e, mais aujourd’hui il y a les ASSR
Pour internet, à partir du CP, il faut comprendre qu’on parle de programmes par cycle.
Dans le cycle 1, l’informatique est déjà abordé pour présenter les outils et apprendre à lire et à écrire sous une forme numérique. Je ne pense pas qu’Internet soit présenté dès le CP, mais en CE1/CE2 je suis quasi sur.
Encore une fois il s’agit d’une présentation des outils pas d’une utilisation intensive quotidienne.
Faire de la prévention dans ce cadre la n’est donc pas complètement idiot.
#11.1
Juste une petite précision : c’est le cycle 2 en CP/CE1/CE2 (cycle des apprentissages fondamentaux) et le cycle 3 (cycle de consolidation) en CM1/CM2/6e.
Le cycle 1 correspond à la maternelle (cycle des apprentissages premiers) et le cycle 4 à la fin du collège 5e/4e/3e (cycle d’approfondissement).
https://eduscol.education.fr/619/l-organisation-des-enseignements-au-college
Notons que des repères annuels de progression ont été remis et donc, finalement, on revient plus ou moins à des programmes annuels…
#11.2
Ah óui c’est vrai qu’on aborde l’informatique assez tôt je ne me rappelais plus! Portant je donnais des conseils à ma prof sous Word 98(95?) à l’époque
Donc oui en effet dans le cadre de la présentation des concepts et (probablement?) de mises en situation je comprends qu’on commence à évoquer les questions de sécurité
#12
Je pense qu’il manque le lien vers l’article https://www.nextinpact.com/article/69579/cybersecurite-en-europe-digital-new-deal-veut-plus-souverainete-et-controle-technique-obligatoire sur la liste :
#13
Ce qui me fait marrer perso, c’est qu’en 1988, dans mon école, nous avions déjà des cours d’informatique, une salle d’informatique très bien équipée, une table traçante, autocad etc et je donnais des cours à mon prof sur Works (sous MS-DOS xd) donc entendre parler de cours de numérique en 2022 cela me fait doucement rigoler puisqu’il était possible de le faire depuis tellement longtemps ! Il n’y a pas besoin d’attendre des ordres ou de le conseil de l’état pour anticiper l’avenir ^^
#13.1
Non, bien sûr mais y’a besoin de budgets pour le faire. Et c’est pas l’école de mon quartier où les profs ont dû se cotiser pour acheter un pc qui dira le contraire.
#13.2
Pas forcément de budgets mais de la volonté déjà :) Grâce aux déductions que cela apporte, des grandes marques de l’informatique peuvent faire des dons de machines (c’était le cas dans mon école et à l’époque les apports fiscaux était moins intéressant). Pareil dans la réparation informatique, tous les ans, nous récupérons des centaines voire des milliers de machines qui ne seront jamais revendues et qui pourtant, pourraient très bien être réutilisées une fois révisées. Le problème n’est pas tant l’équipement au final que la non connaissance de l’équipement, du numérique en général (oui parce qu’avant de vouloir donner des leçons aux élèves il fraudrait déjà que les profs ne fassent pas d’erreurs grossières dans l’utilisation du numérique) . Bref, y’a du boulot la dessus depuis plus de 30 ans et j’ai l’impression que l’éducation commence seulement à se réveillée aujourd’hui ^^
#14
J’en connais qui laissent leur téléphone à leurs gamins en maternelle…
#15
Vincent qui se lâche un peu
Oui c’est bête, car dans le temps on appelait ça un groupe de réflexion ou cercle de réflexion. Certains emploient encore ce terme et c’est heureux.
#16
Je me souviens qu’en primaire (probablement plus vers la 7e) j’avais eu de la prévention routière avec la classe, avec tout ce qui est priorité, signaux principaux, et également une sensibilisation aux réflexes et au temps de réaction pour freiner (pour les voitures et aussi quand on est à vélo). Je trouve que c’est une bonne idée.
Ça a même dû arriver 2 fois, avec une fois un policier et un circuit au sol pour simuler.