Le retour aux bases : comprendre, anticiper, sensibiliser et s’exercer
Pour établir une stratégie efficace, il est en effet nécessaire de retourner aux bases. Et pour cela, rien de mieux que de comprendre la menace en elle-même. Avant de lutter contre quelque chose, il faut, en effet, d’abord comprendre ce contre quoi nous luttons. Identifier la menace et la caractériser au plus tôt permettra d’engager par la suite des actions de remédiation globale afin de contrer une attaque et d’en minimiser l’impact.
Le maître mot reste donc l’anticipation. « Rien ne sert de courir, il faut partir à point », écrivait Jean de La Fontaine dans Le Lièvre et la Tortue. Sortons de la mobilisation accélérée quelques mois avant le début de la compétition comme cela a pu être précédemment le cas. Une stratégie de protection cyber engagée par une institution ou une entreprise ne peut être portée du jour au lendemain. Si, d’après le préfet de police de Paris Laurent Nunez, il n’est prévu aucun plan B pour la cérémonie d’ouverture, il est impératif de prévoir plusieurs plans éventuels afin de maintenir un niveau renforcé de cyberrésilience.
Certaines technologies prendront le relais pour une détection immédiate et sans contraintes. Mais la stratégie doit être pensée en amont et dans son intégralité. À l’échelle d’une entreprise ou d’une institution par exemple, pourquoi investir dans un grand nombre de technologies de cybersécurité (2) si les utilisateurs ne sont pas sensibilisés et formés ? À l’inverse, sensibiliser est fondamental pour une meilleure appréhension du fait cyber, mais des efforts doivent ensuite être engagés dans des outils technologiques afin d’acter cette protection, et d’investir. Comprendre, anticiper, sensibiliser, s’exercer : toutes ces actions sont aujourd’hui complémentaires et nécessaires dans la lutte contre les cyberattaques, en constant perfectionnement (APT – Advanced Persistant Threat).
Il y a, en effet, toujours un caractère d’urgence dans la cyber que nous devons prendre en compte, mais stabilisons nos bases.
En complément de cette anticipation, l’ANSSI insiste également sur la sensibilisation de l’ensemble des acteurs, point qui, toutefois, reste timide. D’autres efforts sont en effet attendus pour une sensibilisation cyber croissante. L’ANSSI préconise une communication régulière certes, mais celle-ci doit être pensée et mise en place bien plus en amont des compétitions, et adaptée à la population novice ou experte en la matière pour certains. Le cerveau humain intègre en moyenne un fait au bout d’une dizaine de répétitions, pas trop rapprochées. Alors qu’en est-il pour les JO ? Pour la Coupe du monde de Rugby, le temps est passé. Laissons encore une chance aux JO, il n’est pas encore trop tard, stipule bien Vincent Strubel pour France Inter. Mais le temps est tout de même compté…
Le facteur humain étant considéré comme le premier facteur de diffusion des cyberattaques, il ne s’agit pas d’accompagner uniquement les acteurs impliqués dans l’organisation de ces évènements. Certes, leur sensibilisation est essentielle au vu de leur ciblage et de l’impact potentiel sur le déroulement d’un évènement. Mais les spectateurs et les athlètes sont tout autant ciblés, comme l’attestent les récentes cyberattaques.
Ne nous trompons pas de cibles et de canaux de sensibilisation en ne nous focalisant que sur l’évènement lui-même et ses organisateurs. Dans l’urgence, cela doit en effet être le cas. Mais du moins pour les JO, nous disposons encore du temps nécessaire pour prendre du recul et envisager la sensibilisation dans son ensemble. Certes, cela nécessite des moyens devant être alloués notamment au service public (ComCyberGend ; ANSSI ; Cybermalveillance.gouv, etc.). Mais l’investissement dans une bonne campagne de sensibilisation, englobante et tout aussi ciblée, est peut-être plus judicieux, afin d’anticiper au mieux et de créer des réflexes de cybersécurité chez chaque citoyen français, quelle que soit sa génération. Dans un monde où chaque individu est sursollicité par les informations, soyons en effet créatif pour marquer les esprits. Et les JO sont une bonne thématique afin d’engager individus et collaborateurs autour de bons réflexes à acquérir en matière de cybersécurité.
Enfin, pour confirmer ces efforts de sensibilisation et de protection, il est nécessaire d’engager de nombreux exercices de tests et entraînements réguliers. Il n’y a que par la répétition que ces réflexes pourront être intériorisés sur le long terme et bénéfiques à l’ensemble de l’écosystème, le salarié/fonctionnaire sensibilisé étant avant tout un citoyen, une mère ou un père de famille, évoluant au sein de différents groupes sociaux, et diffusant ainsi ces pratiques et règles de cyberhygiène à une population plus large. Sur le même principe que les économies d’échelle, plus le public sera sensibilisé et alerté, moins de cyberattaques parviendront à leurs fins. Et cela ne vaut pas que pour les compétitions sportives.