Cet article a été publié pour la première fois sur Inside IT (en allemand) dans le cadre de la rubrique #Security de SWITCH. Cette rubrique paraît six fois par an. Les experts de SWITCH s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.
Cybersécurité - Sortir de la niche
La cybersécurité est faite par des nerds pour des nerds. Ce qui était bon avant ne suffit plus aujourd'hui, car le sujet concerne tout et tout le monde. Nous devons sortir de notre zone de confort, mais contraignante. Comment faire ?
Chaque année, le nombre de conférences sur la cybersécurité, de congrès, d'événements, de groupes de travail, d'associations et de sociétés augmente. Effectivement, les cyberattaques actuelles font régulièrement la une des médias de masse et 95% de la population suisse considèrent les cyberattaques comme un problème à prendre au sérieux. La cybersécurité n'est plus un sujet de niche - ou bien si ?
La cybersécurité est conçue dans la niche
Alors que notre vie se numérise de plus en plus rapidement, la cybersécurité se traîne derrière en respirant difficilement. Les mesures, les solutions technologiques ou les processus sont encore presque exclusivement conçus dans et pour la niche de la cybersécurité, avant d'être lâchés sur le reste de l'humanité. L'espoir ? C'est vrai. La réalité ? Une sécurité inapplicable et de la frustration. Un exemple :
Comment nous authentifions-nous dans le quotidien numérique ? Depuis des décennies, avec des mots de passe. Ils doivent être uniques, complexes et comporter au moins 14 caractères. Et comme cela n'est plus tout à fait sûr, il faut maintenant utiliser « l'authentification multi-facteurs » (Google) ou alors activer « l'authentification à deux niveaux » (LinkedIn) ou « la vérification » (MS Teams). Vous êtes-vous déjà demandé combien de comptes vous avez créés jusqu'à présent ? Avec toutes les boutiques en ligne, les plates-formes de médias sociaux, les banques, les assurances et autres, il y en a probablement bien plus d'une centaine. L'authentification par mot de passe, qui suit toutes les règles de sécurité, est presque impossible.
Heureusement, les choses ont évolué ces dernières années, du moins dans ce domaine. Il existe des gestionnaires de mots de passe, des solutions de signature unique, des clés d'accès – autrement dit, des technologies de sécurité pour aider les utilisateurs d'Internet. Malheureusement, ces améliorations n'ont pas encore atteint le cœur de la société. Seuls 38% des internautes suisses utilisent un gestionnaire de mots de passe à titre privé.
Il existe de nombreux autres exemples : VPN, pare-feu, classification des données, partage sécurisé des données, etc. Pour tout cela, la règle est la suivante : utilisabilité ? Presque inexistante.
La cybersécurité n'aime pas collaborer
Le thème de la cybersécurité nous concerne tous, alors pourquoi tout le monde ne participerait-il pas à son élaboration ? Jusqu'à présent, la communauté de la sécurité ne s'est ouverte qu'exceptionnellement aux spécialistes et aux influences d'autres disciplines. Elle préfère rester entre elle et réinventer la roue plutôt que d'inviter la société à collaborer. Sensibiliser les gens à un comportement sûr ? Cela n'est possible qu'avec des formations en ligne spécialement conçues pour le sujet et des simulations d'hameçonnage proposées par des fournisseurs exclusivement spécialisés dans le thème précis de la sécurité. Améliorer la culture de la sécurité ? C'est une excellente idée, nous allons donc faire des recherches sur le terrain.
Ce n'est que récemment que l'on a pris conscience du fait que des disciplines telles que la psychologie organisationnelle, la communication, l'éducation des adultes et des domaines tels que la sécurité physique des centrales nucléaires, par exemple, proposent des solutions depuis des décennies.
La cybersécurité n'a rien de particulier. Le domaine est confronté à de nombreux problèmes que l'on connaît déjà dans d'autres domaines. On n'aime tout simplement pas travailler avec les autres.
Collaboration interdisciplinaire à l'SISA
La collaboration avec différentes organisations et différents domaines spécialisés est laborieuse. Elle nécessite beaucoup d'engagement, de traduction, d'encouragement et de compréhension. C'est précisément ce que Switch encourage depuis maintenant dix ans avec la Swiss Internet Security Alliance. Depuis sept ans, j'ai le privilège de faire partie de cette alliance et j'ai pu suivre de près l'évolution des exigences des membres. L'association, qui a commencé par le besoin d'échanger des données entre les organisations, se développe actuellement en une entreprise de collaboration interdisciplinaire qui, avec iBarry.ch comme plate-forme pour la sécurité sur Internet, le Websecurity Day, le Swiss Security Awareness Day et des groupes de travail, veut répondre aux exigences complexes du paysage de la cybersécurité.
Au sein du comité, je travaille avec des spécialistes de la sensibilisation à la sécurité, de la prévention, du paysage des assurances ainsi qu'avec les équipes de lutte contre les abus de Sunrise, Swisscom, La Mobilière et la Prévention Suisse de la Criminalité, et je profite énormément de ces échanges. Nous avons tous des problèmes similaires, nous sommes confrontés aux mêmes obstacles. L'apport et l'expérience des autres rendent notre travail plus efficace. Car nous avons tous le même objectif : sécuriser les données et les informations et protéger notre clientèle. Alors pourquoi ne pas tirer dans la même sens ? Pourquoi ne pas informer ensemble la population suisse ? Pourquoi ne pas protéger tous les membres contre les URL de phishing identifiées ? Nous ne devons pas toujours réinventer la roue. Il y a encore beaucoup de potentiel dans ce domaine.
La cybersécurité est tout simplement trop pertinente
Le domaine de la cybersécurité, ou de l'informatique en général, a un gros problème : sa pertinence. Pour l'humanité. Pour la société. Pour l'économie. Chaque organisation et chaque personne qui évolue dans le domaine numérique - c'est-à-dire pratiquement le monde entier - a besoin de processus, de logiciels et d'expertise que des disciplines ne relevant pas de la cybersécurité contribuent à façonner. Ils constituent la base, le cadre de la vie numérique. A titre de comparaison, une spécialiste en littérature découvre un écrit de Victor Hugo jusqu'alors inconnu, qui remet en question l'interprétation dominante de toute son œuvre. Qui s'en soucie ? Personne en dehors de la bulle littéraire. En revanche, lorsqu'une experte en cybersécurité développe une nouvelle procédure d'authentification comme Passkeys, cela bouleverse des habitudes acquises depuis des années par l'ensemble de la population, les infrastructures internes de toutes les organisations et des secteurs industriels entiers. Là, la cybersécurité, cette discipline qui évolue toujours dans les limites de son empire et qui voit rarement plus loin que le bout de son nez, n'a tout simplement pas eu de chance.
Apprendre les uns des autres, coupler les ressources
Les experts en cybersécurité de premier plan doivent s'ouvrir à d'autres disciplines. Cela inclut la politique, la diplomatie, la psychologie, la communication et bien d'autres. Nous avons enfin besoin d'une approche interdisciplinaire et collaborative qui reflète la diversité de l'utilisation et de la mise en œuvre de la technologie dans la réalité. La technologie de sécurité doit être développée par des nerds de la technologie de sécurité - bien sûr. Mais je souhaite que cela se fasse en collaboration avec des spécialistes de l'utilisation, de l'UX Design, de l'optimisation des processus et autres. On peut faire de la technologie par des techniciens pour des techniciens, mais cela n'a souvent aucun succès. Faisons en sorte que la sécurité soit applicable avec succès et ne soit pas un obstacle dans le quotidien numérique. Apprenons les uns des autres ou, mieux encore, couplons nos ressources.
Bien entendu, cela nécessite également l'intérêt des autres disciplines et leur volonté de participer. Ils doivent également comprendre qu'ils ont leur mot à dire et le revendiquer. Ils doivent avoir confiance en eux pour remettre en question le statu quo et proposer leur soutien en cas d'adaptation.
Conclusion : exiger la collaboration !
La cybersécurité est pertinente pour tous les aspects numérisés de notre société. D'une part, la discipline doit supporter les conséquences de manière (auto)consciente, tant qu'elle n'abolit pas plus rapidement ses propres limites. D'autre part, elle doit accueillir l'expertise technique extérieure, l'intégrer et surtout l'exiger activement.
Toute fois, d'autres disciplines doivent également comprendre leur pertinence pour la cybersécurité, s'ouvrir à elle et exiger son intégration et sa participation.
La cybersécurité est un sujet qui concerne tout le monde.
Lien
Enquête menée en 2023 auprès des internautes en Suisse : Sécurité sur Internet et achats en ligne www.internet-sicherheit.ch
Cyber Security