Diane Rambaldini : Repensez la sensibilisation !
février 2023 par Marc Jacob
A l’occasion de la 17ème édition de l’Université de l’AFCDP Diane Rambaldini, Présidente cofondatrice d’ISSA France Security Tuesday a remis en cause la sensibilisation qui permet aux équipes sécurité de se dédouaner de cette action qui en principe fait partie intégrante de la cybersécurité. Pour elle, il faut remettre en cause les actions menées jusqu’à ce jour qui sont en l’état un échec. Il est donc nécessaire de repenser la sensibilisation !
Diane Rambaldini, Présidente cofondatrice d’ISSA France Security Tuesday en préambule explique que le monde numérique est un peu celui de Willy Wonka dans « Charlie et la chocolaterie » qui est un monde excentrique. Par contre, la suite « Charlie et la l’ascenseur de verre » est vécue actuellement dans le monde de la cybersécurité. En effet, elle est extrêmement dynamique avec des entreprises qui se créent tous les jours, les budgets qui ont été débloqués avec le plan cyber, cybermalveillance.fr pour aider les TPE et les particuliers, le Campus Cyber.... la sensibilisation est enfin une réalité. Pourtant derrière toutes ces initiatives les attaques augmentent avec des impacts de plus en plus lourds au niveau social et économique. 80 à 90% des attaques sont imputables à l’humain montrent toutes les études sur ce sujet. Ainsi, toutes ces actions ont échoué tant au niveau de la sensibilisation des utilisateurs que des pirates. La plupart de ces attaques sont dues à des négligences humaines. Il faut donc analyser pourquoi ces actions sont inefficaces. Il semble que selon une étude IPSOS de 2022, 62% des salariés n’ont pas reçu en France d’action de sensibilisation. Depuis 2013, environ 2 millions d’élèves seulement ont été sensibilisés à la cybersécurité sur 7 millions. En fait ces enfants sont les salariés de demain voir pour certains d’entre eux d’aujourd’hui.
La cybersécurité n’est pas qu’une affaire de technologies, mais elle n’obtient son salut qu’avec l’utilisateur dont on ne peut se passer.
Pour Diane Rambaldini ce problème n’est pas la faute de notre écosystème et encore moins celle de l’utilisateur. Pourquoi vilipender sans cesse l’utilisateur sans doute pour dédouaner l’écosystème consultants, éditeurs, équipes sécurité...de ses manques !
Elle rappelle que sensibiliser c’est l’action de rendre un groupe sensible et réceptif à quelque chose. Einstein disait « la folie c’est faire toujours la même chose et s’attendre à un résultat différent ». En fait on attend beaucoup trop de la sensibilisation. D’ailleurs on a rarement des objectifs clairs lors d’actions de sensibilisation. Il faut en fait faire que la cybersécurité soit une partie intégrante du travail, des habitudes et de la conduite d’un individu en les intégrant dans ses actions quotidiennes. Diane Rambaldini explique qu’on a fait de la sensibilisation une matière secondaire, un faire-valoir. Sans compter « l’excuse de sensibilisation » avec des réflexions après une attaque de dire pourtant on a fait des campagnes de sensibilisation. Il faut se poser la question de savoir si l’utilisateur était bien conscient des risques qu’il allait prendre en cliquant sur un lien. Si on n’a ni récompense ni coercition le flou engendre des possibilités de comportement « déviant ».
Les besoins des utilisateurs doivent être au centre des action de sensibilisation
Pour elle la sensibilisation, c’est la meilleure arme pour ne rien faire. En fait, il faut se soucier de l’utilisateur pour lui faire changer de mentalité. Par, exemple il est inutile selon elle de sensibiliser un jeune sur la robustesse d’un mot de passe mais plutôt de lui faire comprendre qu’il ne faut pas divulguer son mot de passe en gage d’amitié. Comment passer de la sensibilisation à l’acculturation. Il faut en finir de la sensibilisation par la seule technologie. La cybersécurité n’est plus seulement une affaire de technologie mais un facteur de géopolitique. De la même façon qu’on suit des cours d’histoire, il faudrait dispenser des cours de cybersécurité. En Chine, la connexion internet est limitée pour les enfants à 40 minutes par jour et encore ils ne peuvent qu’avoir accès à des contenus informationnels. En Chine les enfants veulent devenir astronautes chez nous ils veulent devenir influenceurs sur le web... il faut donc inviter les utilisateurs à la réflexion sur l’avenir du web, sur la cybersécurité... il faut parler aux salariés pas seulement comme à un utilisateur, mais aussi comme un parent, une partie de la société. Il faut que ces problématiques cessent de se comporter comme « une île flottante », mais qu’elle fasse partie de notre société. Pour cela des outils existent. Il faut que la cybersécurité devienne une dimension du réel. Elle note qu’aucun des 1500 élèves qu’elle a formé ne connaît le RGPD. L’ENSIA recommande dans un Manuel qu’elle vient d’éditer de faire des mesures d’écart afin de cibler ses actions. Il faut tenir compte des besoins et des pratiques des collaborateurs mais aussi des impacts des mesures de sécurité sur leur travail. Il faut savoir parfois abonner une mesure de sécurité si elle est toxique pour l’utilisateur.
Articles connexes: