Face à une situation évoluant vite, le think tank Digital New Deal a publié un rapport sur la cybercriminalité. Il explore une dizaine de pistes pour améliorer aussi bien la sensibilisation que les compétences face à la cybermalveillance au sens large. Si certaines solutions semblent « naturelles », d’autres sont plus osées.
Digital New Deal (DND) est un think tank français composé essentiellement de PDG, professeurs, président(e)s de structures diverses d’associations et ONG. On y retrouve par exemple Sébastien Bazin (PDG d’AccordHotels), Nicolas Dufourcq (directeur général de Bpifrance), Axelle Lemaire (directrice stratégie, innovation et transformation de la Croix-Rouge), Judith Rochfeld (professeur agrégée de droit à la Sorbonne) ou encore Bruno Sportisse (PDG d’Inria). Son délégué général est Arnaud Pons.
Il publie régulièrement des rapports sur l’état d’un secteur en particulier. Dans le cas qui nous intéresse aujourd’hui, le rapport fait un état des lieux sur la cybersécurité en France, sur sa perception, sa débilisation, l’accessibilité de l’offre, son financement, son cadre juridique ou encore la possibilité d’aller vers de nouvelles normes. Dans cette première partie, nous abordons les thèmes de l'éducation et de la formation. Dans la seconde, nous reviendrons sur la souveraineté, certaines mesures plus techniques et la certification.
Comme nous allons le voir, le rapport est volontairement peu technique. État des lieux oblige, il tire dans toutes les directions, mais certaines pistes sont très intéressantes. Tout comme le « timing » : dans le sillage des activités cybercriminelles en Ukraine (moins intenses que prévu, voir notre article), il a semblé important au think tank de faire le point aussi bien pour les entreprises que pour les particuliers, en passant par l’État.
Digital New Deal évoque la prise en compte « graduelle » de la menace cyber en France avec la création en 2009 de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information), ainsi que les lois de programmation militaire de 2013 et 2018, revoyant à la hausse les obligations des OIV (opérateurs d’importance vitale) et des OSE (opérateurs de services essentiels).
Puisque la situation a progressé, les changements rapides dans ce domaine appellent, selon le think tank, à un éveil plus généralisé.
- Cybersécurité en France : la délicate question de l’éducation et de la formation
- Cybersécurité en Europe : Digital New Deal veut plus de souveraineté et un « contrôle technique » obligatoire
Sensibiliser le plus grand nombre
DND estime que chacun a au moins été une fois victime d’une tentative de fraude au cours des deux ou trois dernières années. Les exemples ne manquent pas : fraude à la panne informatique (appareil bloqué et rançon à payer), chantage au crypto porno ou encore les désormais célèbres escroqueries téléphoniques à MonCompteFormation. Rien que sur ces derniers, l’argent siphonné représenterait plusieurs dizaines de millions d’euros.
Dans ce domaine spécifique, la compréhension de certains mécanismes psychologiques et sociaux semble l’une des clés du problème. Le think tank aborde notamment la honte ressentie de s’être « fait avoir », qui empêche dans certains cas d’en parler à son entourage et surtout aux autorités, souvent parce que les sommes ne sont pas jugées si importantes – une centaine d’euros par exemple. Les criminels restent « en-dessous des seuils d’acceptabilité (individuel et/ou collectif) ». Ce qui fait dire à Digital New Deal que les statistiques officielles sont « très probablement largement sous-estimées ». N'hésitez donc pas à prendre le temps d'en parler autour de vous en cas de fraude avérée ou même de suspicion.
Dans ce contexte, le think tank estime que l’information est primordiale. Sa première recommandation est donc de réaliser une campagne nationale pluriannuelle de sensibilisation sur la cybersécurité. Il se permet une analogie avec le monde des voitures, notant que la complexité technique des véhicules a beau être masquée aux conducteurs, ces derniers sont conscients des dangers de la route.
La campagne n’irait pas chercher midi à 14h : plutôt que de « former » les gens à de nouveaux outils, il s’agirait surtout qu’ils sachent exploiter ceux déjà présents dans les produits actuels, du moins dans la plupart des cas. La campagne, de type « prévention routière », serait tournée vers les adultes de 18 à 60 ans, qui entraîneraient alors le reste de la population par effet levier. Le mot « campagne » ne renvoie d’ailleurs pas l’idée précise qu’a en tête DND, qui parle plutôt de programme sur le long cours, toujours accessible et « s’appuyant également sur la notoriété acquise par le mois européen de cybersécurité », en octobre.
Le think tank décrit des messages techniques transformées – pour les besoins du programme – en messages « simples, forts et ludiques » pour « favoriser leur appropriation et leur propagation active ». Le programme sera multicanal : spots et émissions dédiées sur TV, et messages sur les réseaux sociaux pour l’essentiel.
Digital New Deal estime le coût, par une « étude approfondie », à environ 4 millions d’euros. Il faudrait cependant dégager un budget pluriannuel pour l’entretenir sur le long terme, même si les messages des années suivantes pourraient être plus ciblés.
Formation : tout rassembler autour de Pix de l’Éducation Nationale
Pix est un groupement d’intérêt public initié par l’État en 2016, avec pour mission d’accompagner l’élévation du niveau général des compétences numériques. Depuis l’année dernière, il a même pour mission de valoriser les acquis des élèves de 3e par une évaluation obligatoire. Il contient un volet cybersécurité dans deux thématiques : sécuriser l’environnement numérique, et protéger les données personnelles et la vie privée.
Si Digital New Deal met en avant ce programme, c’est qu’il aimerait que d’autres du même acabit viennent s’y greffer. C’est sa deuxième recommandation : concentrer tous les efforts autour de Pix. Le think tank cite notamment le Permis Internet pour les enfants ou encore CyberEnJeux, lancé conjointement par l’ANSSI et le ministère de l’Éducation Nationale, de la Jeunesse et des Sports en 2019. Il s’agit à chaque fois d’initier les élèves – parfois dès le primaire – aux enjeux de la vie numérique, les précautions à prendre et les enjeux.
Si DND propose cette unification autour de Pix, c’est que le programme est reconnu et concerne très largement l’ensemble de la population (il implique 1,2 million d’agents et 12 millions d’élèves). Le think tank apprécie également son aspect global d’acculturation à la vie numérique et pas uniquement centrée sur la cybersécurité. Son contenu pourrait, selon lui, bénéficier d’une « montée en puissance » qui commencerait dès le cycle 2, le premier étant prématuré pour ces notions :
- CP, CE1, CE2 : principaux risques associés à la découverte d’internet (notamment les mauvaises rencontres)
- CM1, CM2, 6e : développement de l’autonomie au travers des bonnes pratiques (mots de passe, comptes email, avatars et pseudos, achats en ligne)
- 5e, 4e, 3e : empreintes numériques et conséquences (données personnelles, cyber harcèlement fraudes, usurpation d’identité)
Comme au judo, DND imagine des ceintures de couleur qui viendraient valider les étapes franchies. L’approche dépendrait surtout de l’âge des élèves, avec un angle plus ludique d’abord, plus sérieux ensuite. Et puisque Pix peut accompagner l’élève au lycée et en enseignement supérieur, la formation pourrait être complétée ensuite par des modules correspondant au niveau et à la spécialité de chacun : notions de chiffrement, hachage des mots de passe, attaques par force brute, etc.
L’élément le plus à même de faire fonctionner cette intensification, selon Digital New Deal, est la mise à l’échelle de Pix, qui peut toucher tous les élèves et qui dispose déjà d’une structure établie. Elle permettrait à la fois de couvrir la formation obligatoire aux NTIC et de mettre en lumière les risques associés.
De bonnes intentions, mais qui risquent d’être compliquées à mettre en place dans toutes les écoles. Si former les élèves est important, il faut également que les professeurs puissent acquérir les compétences nécessaires, que ce soit en école primaire, au collège et au lycée. C’est pour le moment loin d’être le cas.
Formation professionnelle : la situation n’est pas brillante
Le think tank part d’un constat : les générations déjà formées n’auraient pas d’acquis sur la cybersécurité. Par exemple, la génération X en aurait très peu entendu parler pendant ses études. Même les ingénieurs spécialisés en programmation informatique.
La solution serait de capitaliser sur MonCompteFormation. Le service est déjà très utilisé et bien intégré dans le quotidien. Pour Digital New Deal, il faudrait donc le compléter, notamment en incitant les organisations de formation des ESN (Formind, Advens, Atos, H2S, OCD et autres) à y déposer leurs formations et obtentions de certifications.
La démarche serait ensuite promue auprès des entreprises via une campagne de communication, pour mettre également en avant la dotation. Pour cette dernière, DND évoque 25 millions d’euros pour le seul créneau de la formation en cybersécurité. La somme lui paraît réaliste compte tenu des sommes déjà engagées par l’ANCT (Agence Nationale de la Cohésion des Territoires). DND rappelle également que le plan France 2030 prévoit 140 millions d’euros pour des formations en cybersécurité via un appel à manifestation d’intérêt.
DND propose cependant une idée plus « disruptive » (sic), qui pourrait être appliquée dans un second temps : intégrer la cybersécurité dans les dispositifs légaux de sécurité au travail, au même titre que les risques psychosociaux. Le risque cyber serait alors intégré dans un code du travail amendé, spécifiquement dans deux articles : les conditions d’exécution du travail (R.4141-13) et la conduite à tenir en cas d’accident ou de sinistre (R4141-17).
Centraliser les fonctions et informations cyber
Le think tank fait un tour de table relativement élogieux de la politique de dématérialisation engagée en France depuis une vingtaine d’année. Lente au départ, elle concerne aujourd’hui la quasi-totalité des services de l’État.
La cybersécurité n’est pas en reste, et trois mécanismes se répartissent aujourd’hui les signalements : Pharos (contenus et comportements illicites), Percev@l (utilisation frauduleuse de la carte bancaire) et cybermalveillance.gouv.fr, groupement d’intérêt public une veille et apportant une assistance aux victimes.
Et de la même manière que l’on peut se sentir un peu perdu devant la multitude de services de l’État, on peut être démuni après une attaque. Le think tank note, à juste titre, que « le citoyen moins alerte en outils numériques et déjà fortement perturbé par le préjudice qu’il vient de subir, risque de vite se sentir découragé face à la complexité de l’arbre de décision auquel il est confronté pour effectuer son signalement ».
La recommandation de Digital New Deal ? Tout centraliser autour d’une nouvelle application, TousActeursCyber. Disponible sur Android et iOS, elle pourrait être utilisée par tous, intégrerait toutes les fonctions de Pharos, Percev@l, cybermalveillance.gouv.fr, Signal-Spam et autres, afficherait des synthèses vulgarisant des informations à jour sur la cybersécurité, permettrait la mise en relation directe avec les autorités (gendarme ou police), etc.
L’idée se base volontiers sur l’exemple de TousAntiCovid. Le think tank ne s’attend pas cependant à ce que cette application soit autant téléchargée, à moins d’une crise, comme une attaque à l’échelle nationale. Il est également conscient du travail qu’il faudrait fournir sur la vie privée, car l’application serait nominative, avec FranceConnect par exemple pour l’identification.
