Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité numérique & économique : de la sensibilisation à l’acculturation

novembre 2019 par Emmanuelle Lamandé

Pour la 3ème édition du colloque SecNumeco en Bretagne, qui s’est tenue à Ploufragan et à Saint-Brieuc, l’ANSSI et le SISSE, en partenariat avec le département des Côtes d’Armor et la CCI Innovation Bretagne, ont choisi de mettre l’acculturation à la sécurité au cœur des débats. La sécurité, tant économique que numérique, est aujourd’hui l’affaire de tous. Chacun a un rôle à jouer pour se protéger et se prémunir des risques. La sensibilisation, l’éducation et la formation de tout un chacun sont en ce sens prépondérantes pour parvenir à terme à une acculturation à la sécurité.

Toutes les organisations sont aujourd’hui confrontées à de la malveillance numérique et/ou économique, mettant à mal leurs capacités de résilience. La transformation digitale qui s’opère aujourd’hui ne fait qu’amplifier les risques (numériques, juridiques, vie privée…). Les cas d’espionnage, d’escroqueries, de demandes de rançons, de sabotages… augmentent chaque année, et touchent indifféremment l’ensemble du territoire et des acteurs, qu’il s’agisse de citoyens, d’associations, d’entreprises ou de collectivités locales. Aucun secteur d’activité ni aucune structure, y compris les plus petites, n’est épargné, notamment parce que les attaquants recherchent les profits les plus immédiats auprès des cibles les plus fragiles.

Les enjeux sociétaux et de liberté soulevés par le monde digital qui nous entoure aujourd’hui sont actuellement très différents des premiers objectifs d’ARPANET, souligne Judith Nicogossian, anthropobiologiste. Nous voyons actuellement une interpénétration des univers physique et virtuel. Une attaque dans le cyberespace peut désormais tout à fait avoir des incidences dans le monde réel. Bon nombre d’humains sont aujourd’hui connectés de la tête aux pieds, sans véritablement en comprendre les enjeux. C’est un monde à deux vitesses qui se dessine, avec toutes ses contradictions et ses paradoxes.

La sécurité, tant économique que numérique, est donc plus que jamais l’affaire de tous. Chacune des parties prenantes a un rôle à jouer pour protéger et défendre son environnement des ingérences et et de toute autre menace. Il est essentiel de sensibiliser la société dans son ensemble aux risques et enjeux qui accompagnent cette transformation numérique. La montée en compétences des individus, des entreprises et des collectivités est également primordiale. Cette sensibilisation et formation de tous les acteurs impliqués sont d’ailleurs les conditions sine qua none pour parvenir à terme à une véritable acculturation à la sécurité.

Tel est d’ailleurs l’un des objectifs des évènements SecNumeco, initiés par l’ANSSI et le SISSE : sensibiliser les entreprises, les collectivités territoriales et les citoyens aux enjeux de sécurité numérique et économique, lors de colloques en régions. « L’ANSSI a pour principale mission d’élever le niveau de sécurité général des entreprises, des grands industriels et des collectivités », explique Pierre Gacic, Chef de la division de la coordination territoriale de l’ANSSI. « Cela nécessite une action au niveau national, mais aussi territorial. Pour ce faire, l’agence s’est dotée fin 2015 d’un dispositif d’action visant à soutenir le tissu économique et les institutions à l’échelle régionale. L’objectif est de faire évoluer l’écosystème et d’aller plus loin ensemble autour de trois axes : la formation, la donnée et la co-construction. Pour cela, il faut se donner les moyens de nos ambitions. » La question est aussi de savoir comment fédérer et canaliser les différentes initiatives existantes, et leur assurer un appui technique.

La cybercriminalité n’est ni un nouvel impôt, ni une fatalité

La sensibilisation de tous à la cybersécurité fait son chemin depuis quelques années déjà, mais beaucoup reste encore à faire en la matière. Le niveau de connaissance et de maturité quant à ces problématiques et enjeux reste aujourd’hui insuffisant, au vu de l’état de la menace. « Le nombre d’entreprises, y compris les TPE/PME, victimes de cyberattaques (notamment de ransomwares…) ne cesse d’augmenter, et ce phénomène est aujourd’hui devenu une triste banalité », constate Yves Duchesne, Co-fondateur d’ACCEIS. « La plupart des réseaux observés lors d’interventions chez les entreprises victimes souffraient de graves problèmes structurels et de manquements en matière de sécurité. Pourtant, on ne peut plus désormais faire l’économie de ces investissements-là, car l’incident arrivera, si ce n’est pas déjà le cas. C’est encore trop souvent quand la crise survient que les entreprises réagissent. Il faut que cela change. La cybercriminalité n’est ni un nouvel impôt, ni une fatalité. Il existe des prestataires qui peuvent remettre en état un SI, et mettre en place une méthodologie, ainsi qu’un système de gestion de crise. »

Plus on multipliera les échanges et plus la prise de conscience se fera. Il faut, de plus, que ce soit l’envie et non la peur qui drive la cybersécurité. Du côté des prestataires, d’audits de sécurité par exemple, il est également essentiel de ne pas mettre, selon lui, uniquement l’accent sur les lacunes et problèmes de l’entreprise, mais de lui donner aussi des pistes d’amélioration, afin que ce « chantier » ne paraisse pas insurmontable. En outre, la sécurité numérique, comme économique, s’apprend et nécessite donc d’y être formé.

La gestion de crise cyber ne s’improvise pas…

La formation est effectivement la clé en matière de sécurité, comme dans n’importe quel autre domaine d’ailleurs. Savoir protéger ses systèmes et ses données, savoir détecter un incident, savoir comment réagir et surmonter la crise… tout cela s’apprend. « La gestion de crise ne s’improvise pas et n’est pas innée », explique Stéphanie Ledoux, Présidente d’Alcyconie. Elle nécessite un apprentissage, au même titre que la conduite par exemple. Savoir conduire suppose d’avoir au préalable appris le code de la route, mais aussi d’avoir eu un certain nombre de leçons de conduite. Quel que soit le domaine en question, l’apprentissage passe effectivement par l’entraînement et la mise en pratique, jusqu’à développer des réflexes presque « naturels ». Enfin, ce qu’on ne tolère plus aujourd’hui n’est pas le fait qu’une entreprise se fasse attaquer, mais qu’elle ne sache pas y faire face et n’y soit pas préparée.

Dans la majorité des PME, la gestion de l’informatique est attribuée à une personne dont ce n’est pas le métier et qui occupe déjà d’autres fonctions, constate Yves Duchesne. Il est important que chaque entreprise désigne une personne référente en charge de la cybersécurité au sein de sa structure, qu’elle la forme à ses nouvelles fonctions et qu’elle l’intègre dans ses process, comme par exemple dans la boucle d’achat de solutions logicielles. La cybersécurité est avant tout un problème humain, de gouvernance et d’organisation, d’où l’importance d’acculturer les individus. Toutefois, il s’avère difficile de faire changer les habitudes de chacun. C’est pourquoi il est essentiel que cette démarche cybersécurité vienne du plus haut niveau de l’entreprise, afin qu’elle se fasse entendre auprès de tous et apparaisse comme « légitime ».

La protection des systèmes d’information nécessite effectivement une expertise à part entière, ainsi que des règles de fonctionnement en entreprise, explique Bernard Hayam, Conseiller du SISSE. Pour que tous les collaborateurs se mobilisent et adhèrent à ces règles, il faut déjà qu’ils les comprennent. Aussi, est-il essentiel de les accompagner en ce sens. De plus, la démarche doit, en effet, venir du plus haut niveau de l’entreprise, car la cybersécurité est avant tout une affaire de management.

En outre, il est clair aujourd’hui que la grande majorité des PME n’ont pas beaucoup de temps à consacrer à la cybersécurité. Pour ce type d’acteurs, les dispositifs existants ne sont pas forcément adaptés aujourd’hui. Il faudra donc être en mesure de mettre à leur disposition des solutions adaptées et clés en main.

MOOC de l’ANSSI : la formation à la cybersécurité à la portée de tous

L’ANSSI comme le SISSE jouent également un rôle prépondérant pour guider les entreprises dans la marche à suivre en matière de sécurité (panorama des risques, démarches à initier, bonnes pratiques…), mais aussi les mettre en relation avec les acteurs et prestataires qui pourront les aider dans leurs démarches.

L’ANSSI accompagne en effet les entreprises de différentes manières sur ces sujets, au travers de guides de bonnes pratiques, de référentiels et de dispositifs*, comme SecNumedu ou CyberEdu par exemple, explique Christian Cévaër, délégué ANSSI région Bretagne. Selon lui, la sensibilisation passe à la fois par la formation, mais aussi par des actions au quotidien.
Pour rappel, SecNumedu est un programme de labellisation des formations initiales en cybersécurité de l’enseignement supérieur. Ce label apporte la garantie qu’une formation initiale dans le domaine de la sécurité numérique répond à une charte et des critères définis par l’ANSSI. SecNumedu-FC en est une déclinaison visant à labelliser les formations continues en sécurité du numérique. De son côté, la démarche CyberEdu a pour objectif d’introduire des notions de cybersécurité dans l’ensemble des formations en informatique de France.
Outre la labellisation de formations existantes en sécurité numérique ou l’ajout de notions de cybersécurité dans celles qui n’y sont pas dédiées, ces démarches permettent aussi d’avoir une vision globale de ce qui existe déjà aujourd’hui en matière de formation dans le domaine, explique Pascal Chour, Chef du centre de formation de l’ANSSI. Cela met également en exergue les manquements et les formations qui restent à développer ou à compléter sur notre territoire.

Afin de sensibiliser le plus grand nombre à la sécurité numérique, l’ANSSI a également mis sur pied un MOOC dédié, disponible gratuitement sur le site https://www.secnumacademie.gouv.fr/. Ce premier MOOC français initié dans ce domaine constitue une bonne entrée en matière et un premier pas dans la formation à la cybersécurité. Il permet d’aborder le sujet de manière ludique et de se familiariser avec les concepts clés et les bonnes pratiques à adopter. Par ce biais, chaque individu a la possibilité d’apprendre le b.a.-ba de ce qu’il faut faire ou pas, et de se prémunir ainsi des risques les plus basiques. Avis donc à tous les curieux ou amateurs, mais aussi à ceux qui souhaitent parfaire leurs connaissances dans ce domaine…

De son côté, le SISSE (Service de l’information stratégique et de la sécurité économiques) agit dans une logique interministérielle, et développe un certain nombre d’outils visant à promouvoir les intérêts économiques et stratégiques de la France*, souligne Jérôme Lainé, Délégué du SISSE pour la Bretagne. Ces différentes actions contribuent à éveiller les consciences et amener les bonnes pratiques en matière de sécurité numérique au sein des entreprises françaises. Il est important, explique-t-il, que chaque entreprise parte du principe qu’elle est une cible potentielle, et ce quel que soit son domaine d’activité ou sa taille. Cela n’arrive pas qu’aux autres. Elles ne doivent pas non plus hésiter à mobiliser l’écosystème et les acteurs qui sont là pour les aider, comme le SISSE ou l’ANSSI...

La Délégation régionale à la recherche et à la technologie a elle aussi une mission de protection du patrimoine, explique Martine Bonnaure-Mallet, DRRT Bretagne. Pour ce faire, elle s’appuie sur un réseau de fonctionnaires sécurité défense (FSD) à travers le territoire, qui assurent également des missions de formations. Pour elle, si on veut protéger son entreprise, faut-il déjà savoir ce que l’on a, et avoir conscience de sa valeur. Les FSD sont là pour expliquer ces problématiques et enjeux, mais aussi pour anticiper et prévenir les risques.

GACyb Finistère : une initiative transposable dans les autres régions

Outre ces différents acteurs, les initiatives visant à favoriser la sensibilisation et la formation à la cybersécurité se multiplient aujourd’hui, et ce un peu partout sur notre territoire, mais aussi au-delà. C’est le cas par exemple du GACyb Finistère. Cette nouvelle association professionnelle, qui vise à regrouper les acteurs de la cybersécurité locaux, a vu le jour en avril dernier, explique Eric Hazane, chargé de mission stratégie des territoires, ANSSI. L’objectif de cette association est de sensibiliser le terreau économique local aux risques numériques, notamment les plus petites entreprises qui ne se sentent souvent pas concernées par ces problématiques, de promouvoir la diffusion de bonnes pratiques en termes de cybersécurité et d’œuvrer pour renforcer la confiance numérique. La création de cette association s’inscrit dans la continuité de la démarche expérimentale du Groupe de travail cybersécurité des prestataires informatiques lancée en janvier 2017 par la CCIMBO Brest, en partenariat avec la French Tech Brest Plus, Cap’tronic, l’ANSSI et Maître Lechien. La première action de ce Groupe de travail en 2017 avait été l’élaboration d’une Charte cybersécurité des prestataires de services informatiques et numériques, qui constitue aujourd’hui le socle de l’association. Les entreprises du secteur numérique domiciliées dans le Finistère qui y adhèrent s’engagent à adopter un ensemble de bonnes pratiques et de recommandations issues de l’ANSSI et de la CNIL.
D’autres actions ont également été initiées depuis par le GACyb, explique Jérôme Celler, Axians : la diffusion des bonnes pratiques au travers d’événements publics, l’organisation d’une journée dédiée aux objets connectés, la création de permanences numériques cybersécurité gratuites 1 mercredi par mois à la CCI du Finistère, ainsi qu’un essaimage au profit de la Région Normandie… Le « GT cybersécurité des prestataires du Finistère » a, en effet, depuis été transposé aux spécificités de la région Normandie, explique Renaud Echard, Délégué ANSSI région Normandie. Cette démarche est d’ailleurs tout à fait transposable à d’autres régions. Elle sera donc certainement amenée à terme à s’étendre au-delà des frontières bretonnes ou normandes. L’association œuvre, en outre, au développement d’un référentiel de labellisation, l’objectif étant de créer un label qui saura s’adapter à tout type d’organisation.

Les femmes ont pleinement leur place dans le domaine de la cybersécurité

De son côté, la fondation Women4Cyber a été initiée par l’ECSO (European Cyber Security Organization) en novembre 2018, et officiellement lancée le 23 septembre dernier à Rome, souligne Anne Le Henanff, membre de Women4Cyber. Cette initiative est destinée à accroître la participation et la formation des femmes dans le cyberespace, plus particulièrement dans le domaine de la cybersécurité. Cette filière reste encore aujourd’hui en grande majorité masculine et manque cruellement de parité. L’objectif de la fondation sera de mettre en œuvre des actions visibles en Europe visant à promouvoir l’engagement des filles et des femmes dans la filière cybersécurité, et par là-même accroître le nombre de talents engagés dans ce combat commun.

Pour Laurent Buchon, directeur du CNAM Bretagne, le problème est effectivement aujourd’hui d’attirer les talents vers ces profils, et notamment les jeunes et les femmes. Bon nombre de personnes s’auto-censurent à l’heure actuelle et estiment que la cybersécurité est uniquement un domaine d’ingénieurs ou d’hommes. Autre problématique à laquelle il faudra, selon lui, répondre dans les prochaines années : le maillage territorial. Si la cybersécurité n’est pas uniquement réservée aux hommes et aux ingénieurs, elle ne concerne pas non plus uniquement les grandes villes. Il sera donc essentiel de parvenir à mailler l’ensemble du territoire national.

Les formations à la cybersécurité ont du mal à faire salles combles

La formation à la cybersécurité est effectivement un problème plus complexe qu’il n’y paraît. La France bénéficie d’une offre de formations relativement dense dans ce domaine, mais la principale difficulté actuellement est d’arriver à faire salles combles, souligne Pascal Chour. Un certain nombre de dispositifs existent aujourd’hui, et le nombre d’écoles proposant des formations dans ce domaine sera, selon lui, suffisant dans les 5 ans à venir. Mais l’inquiétude persiste quant au remplissage de ces formations. Cela s’explique notamment par un problème d’attractivité de la filière, mais concerne plus globalement l’ensemble des filières techniques (électronique…).
Plusieurs questions se posent donc : les différentes formations proposées sont-elles aujourd’hui adaptées aux besoins, et comment attirer les talents vers ces cursus et ces métiers ? Pour Pascal Chour, si l’on souhaite répondre à la problématique de pénurie de talents en France, il est essentiel de promouvoir ces métiers dès le plus jeune âge, de casser les stéréotypes, mais aussi de mettre l’accent sur la formation continue.

Sachez aussi parier sur les personnes qui ne rentrent dans aucune case

Pour Guillaume Chouquet, UIMM Bretagne pôle cyberdéfense, ESNA (École Supérieure du Numérique Appliqué), il peut également être intéressant de proposer des formations et des modes d’apprentissage différents. Le problème de la formation et de la pénurie de talents est régulièrement mis en avant aujourd’hui, mais les candidats sont selon lui plus nombreux que l’on pense. Il suffit en effet d’aller chercher ceux qui ne savent pas trop ou qui n’osent pas, car beaucoup cantonnent encore dans leurs esprits la cyber uniquement à de l’informatique.
La pression sociale est un vrai problème aujourd’hui. Bon nombre de jeunes n’osent pas venir vers ces filières, car depuis leur plus jeune âge on leur dit que pour exercer ce type de métiers il faut faire une formation d’ingénieurs, un BAC+5…, alors que pas du tout. Il est important de savoir aussi parier sur les personnes, jeunes ou pas, qui ne rentrent dans aucune case, et d’ouvrir le champ des possibles aux passionnés ou aux personnes motivées. C’est pourquoi l’ESNA mise en premier lieu sur la motivation des apprenants lors des entretiens, plutôt que sur les systèmes de notation. Ensuite, ils sont évalués selon différents critères et exercices (challenges individuels, tests de connaissance, escape game, évolution des soft kills…). Les comportements observés, lors d’un escape game par exemple, reflètent aussi l’état d’esprit de chaque candidat, qui pourra se décliner par la suite en entreprise. Pour lui, les personnes motivées ont tout à fait leur place dans ces filières, si ce n’est plus.

L’acculturation par le jeu

De son côté, l’INHESJ (Institut national des hautes études de la sécurité et de la justice) propose différents types de formations ouvertes aux secteurs public et privé, explique Christophe Torrisi, Chef de département de sécurité et intelligence économique, INHESJ. Les formations à la sécurité économique ont notamment pour objectif de développer une vision globale du domaine, de concevoir la sécurité économique comme un vecteur de compétitivité, et de favoriser les stratégies entre acteurs privés et publics. Afin de favoriser la formation et l’apprentissage en matière de sécurité économique auprès du plus grand nombre, l’INHESJ et la DGGN (Direction générale de la Gendarmerie nationale) ont développé en 2019 « Le jeu des 8 familles d’atteinte à la sécurité économique ». Ce kit de sensibilisation est composé de :
- 48 fiches thématiques organisées en huit familles : atteintes physiques sur site, fragilisations/désorganisations, atteintes aux savoir-faire, intrusions consenties, risques financiers, risques informatiques, fragilités humaines, atteintes à la réputation ;
- Et un jeu de 48 cartes correspondant à chacune des fiches, pour une approche ludique et didactique.
L’objectif à terme de cette démarche est d’acculturer tout un chacun à ces problématiques. Tout le monde est concerné, au moins par certains aspects, donc personne ne doit se sentir épargné ou à l’abri.

Variez autant que possible les supports et les méthodes d’apprentissage

Autant d’exemples qui nous montrent bien qu’il faut aussi varier les approches et les supports de sensibilisation et de formation. Comme dans n’importe quel domaine, tout le monde n’est pas unique face à l’apprentissage de la cybersécurité, d’où l’importance de varier les démarches et les méthodes de manière à s’adapter à tous. Chacun a ses propres sensibilités, et ses mécanismes de compréhension et d’acculturation, donc restez ouverts quant à la façon d’y parvenir.

En conclusion de cette journée, Bernard Hayam rappelle que la sécurité économique est aujourd’hui la résultante de trois phénomènes : la mondialisation de l’économie, sa judiciarisation et sa numérisation. Depuis la mise en application du RGPD, près de 10% des attaques notifiées à la CNIL sont liées à des rançongiciels, sans compter le nombre de cas n’ayant pas fait l’objet d’un signalement. La sensibilisation et la formation relatives à ces sujets, et plus largement à la sécurité globale, ne doivent donc plus être une option aujourd’hui en entreprise. L’épée de Damoclès devra, selon lui, certainement aussi être là à un moment ou un autre.

La sécurité numérique est également aujourd’hui l’affaire de tous, conclut Pierre Gacic. Tout le monde doit en prendre conscience et être sensibilisé ou formé sur ces sujets. De nombreuses formations existent aujourd’hui en la matière, mais il faut encore trouver les moyens de capter l’attention et d’attirer davantage de talents vers ces domaines. Pour cela, il faudra également trouver les moyens de combattre l’auto-censure, chez les hommes comme chez les femmes, qui bloque encore l’attrait vers ces filières. Autre constat auquel il faudra remédier dans les mois et années à venir : les dirigeants, notamment au sein des petites et moyennes entreprises, ne savent pas toujours ce qui a ou non de la valeur. Pourtant, seuls les dirigeants peuvent dire ce qui doit être protégé ou non, et sont en mesure d’y allouer les budgets nécessaires. La cybersécurité doit venir d’en haut. Enfin, il faut garder à l’esprit, quelle que soit la démarche initiée, que l’humain est au centre de tout.


* Outils et ressources à l’usage des acteurs économiques : https://www.ssi.gouv.fr/uploads/201...


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants