Malgré son importance, la cybersécurité pâtit du fait qu’elle est à la mode. Sensibiliser à la cybersécurité est rappelé sans cesse, tel un mantra. Comme il est vrai qu’un défaut de cybersécurité peut avoir des conséquences désastreuses pour soi et les autres membres du réseau, il est indispensable que chacun se sente concerné et applique les règles élémentaires de cybersécurité. Pour cela, il va de soi que chaque utilisateur de l’informatique, du cyber ou du numérique, doit être sensibilisé aux dangers, à leurs remèdes, aux bonnes pratiques qui permettent de se prémunir des cyberattaques en tout genre.
Cela est fort bien, et loin de moi l’idée de critiquer l’aspect indispensable de la cybersécurité.
Cependant, le problème réside dans le fait que la cybercriminalité augmente dramatiquement (de manière exponentielle disent même ceux qui maîtrisent cette fonction… ou presque). Alors, si l’on fait preuve d’un peu de rigueur ou de perspicacité (voire des deux), on en vient à se demander pourquoi, si la sensibilisation à la cybersécurité se poursuit de la meilleure manière possible (personne ne la remet, même partiellement, en question), la cybercriminalité augmente et continue de rapporter à ceux qui la pratiquent ?
Parce qu’elle se diversifie et devient plus complexe, disent la majorité des intervenants.
Parce que la sensibilisation à la cybersécurité est un échec, dis-je, et je m’en vais vous expliquer pourquoi.
Un échec paradoxal
Parler d’échec pour la sensibilisation à la cybersécurité est un discours à contre courant, car la plupart penseront que proférer une telle affirmation serait faire insulte aux personnes qui se dévouent à cette tâche. Que les choses soient claires : il ne s’agit pas ici de critiquer les formateurs, mais bien d’étudier les raisons de l’échec des formations qu’ils dispensent. Car, rappelons le, si elles étaient si fructueuses qu’on le laisse comprendre, alors le nombre de cybervictimes baisserait. Or comme ce n’est pas le cas, il faut donc chercher les raisons de cet échec.
Ce n’est pas dû au contenu du message délivré, ni même à sa qualité : il est pertinent et ne comporte pas d’erreur (même si on peut argumenter sur la nécessité de changer régulièrement de mot de passe, car on ne change jamais de code de carte bleue, ni d’empreinte digitale, ni d’iris de l’oeil, ni la morphologie de son visage). Dans ce cas, il est alors bon de se demander si cette répétition inlassable (ou marteau-thérapie) est bien pertinente. En effet, dispenser le même message, en tout temps et en tous lieux ne manque pas d’avoir les effets collatéraux suivants :
- culpabilisation de l’utilisateur, cancre des temps modernes qui refuse de retenir ce qu’on lui enseigne avec patience et pédagogie, comme s’il ne l’avait pas encore comprise, comme s’il fallait inlassablement la répéter, et qu’il méritait bien un (juste) châtiment ;
- entretien (chez les utilisateurs non avertis) du caractère irrationnel ou maléfique de l’informatique, de laquelle il faut sans cesse se prémunir ;
- infantilisation des utilisateurs qui persistent à ne pas comprendre ce que des experts leur expliquent ;
- enfin (mais la liste ne prétend pas à l’exhaustivité), cela entretient le « fromage » de la sensibilisation dont les modalités ne sont jamais remises en question.
Le terme fromage pourrait paraître excessif dans la mesure où les séances dispensées ne rapportent pas d’argent, nombre d’entre elles étant gratuites. Ce n’est cependant pas un abus de langage, dans la mesure où la répétition de la sensibilisation confère, voire entretient une posture de « sage » ou pour le moins de « sachant », bien agréable pour celui qui en profite. Alors qu’en fait, rappelons le, il ne cesse de répéter la même chose tout au long de ses séances. La pédagogie est l’art de la répétition m’objecteront certains. Mais il n’y a pas identité entre les deux termes.
La répétition du même message a un autre avantage, elle évite de faire du sur-mesure ou même du demi-mesure dans les séances. En cela, ses propagandistes sont comparables aux orateurs qui n’ont pas préparé leur intervention mais ont décidé de recycler la présentation qu’ils ont préparée (ou fait préparer) il y a de cela un certain temps. Malheureusement pour eux, ils sont trahis par quelques diapositives qui ne s’appliquent pas à la séance en cours et sur lesquelles il passent rapidement, proférant de bizarres borborygmes gênés et souvent incompréhensibles. En cela, ils sont comparables aux industriels du logiciel qui vendent leurs produits sans se poser la question de leur adaptation aux besoins et contraintes de l’utilisateur, comme j’en avais parlé pour le cas des hôpitaux.
Le constat étant posé, comment y remédier ? En s’inspirant d’un constat similaire effectué dans un autre domaine que celui de la cybersécurité, et en se demandant si les remèdes utilisés pour l’un pourraient être transposés à l’autre.
Un parallèle
Il y a quelques années de cela, j’ai été chargé d’enseigner une méthode dite de raisonnement tactique pour les uns, d’élaboration des ordres pour les autres, et dont l’objectif est d’aider un chef militaire à préparer une manœuvre contre un ennemi ou un adversaire.
Maîtriser cette méthode est indispensable, car de cette maîtrise découle (en partie) le succès ou l’échec de la manœuvre. En effet, lorsque l’adversaire tend à devenir un ennemi, il est préférable de ne pas terminer deuxième à l’issue de la confrontation et donc d’appliquer une méthode éprouvée. Pourtant, malgré l’importance de cet apprentissage, « force était de constater » qu’un rejet de cette méthode s’était instauré dans les esprits. Rassurez-vous, jamais en paroles, et tout le monde était capable de réciter par cœur quelques définitions de termes auxquels elle faisait appel, mais la compréhension de la méthode était (très) perfectible. Seuls quelques-uns l’appréciaient car ils la maîtrisaient, les autres s’en accommodaient comme d’un mal nécessaire. Bref, le même constat que pour les opérations élémentaires de cybersécurité. Le catalyseur de ce constat fut la mine dépitée d’un instructeur qui alors qu’il faisait son numéro de claquettes habituel devant des X, s’entendit objecter en plein cours : « on n’apprend rien, ce n’est que de la logique. »
Quelque peu marri de cet échec pédagogique, je me mis alors à récupérer les archives des cours dispensés par mes (glorieux) prédécesseurs (en remontant sur de nombreuses années), quelque fut l’ancienneté et donc l’expérience de leurs élèves.
Et là, tel Archimède dans sa baignoire, je compris !La cause du rejet était fort simple : on ne cessait d’enseigner la méthode de la même manière, quel que fut le niveau de l’élève. Ce qui signifie qu’en début de carrière on vous l’enseignait dans sa totalité puis, à chaque fois qu’un enseignement était estimé nécessaire, elle était enseignée de la même manière qu’en début de carrière. C’est certes dans les vieux pots qu’on fait les meilleures confitures, mais enfin, il ne faut pas abuser. Le rejet était donc couru d’avance, car c’était comme si, à chaque rentrée scolaire, il fallait s’exercer à dessiner des bâtons et des ronds. Pourquoi ? Pour apprendre à écrire, bien sûr !
La solution s’imposait, il fallait donc moduler l’enseignement en fonction des connaissances des élèves. Élémentaire, mon cher Watson ! Mais comme disait Bigeard « toutes les guerres sont faciles… après ! ». Ceux qui n’aiment pas Bigeard peuvent se référer à l’œuf de Colomb (Christophe, bien sûr).
Il n’y avait plus qu’à.
Plus qu’à quoi ? Adapter le message à la cible, c’est-à-dire prendre en compte pour chaque cours la capacité de compréhension des élèves et leur maturité professionnelle. Mais il fallait également adapter le message aux responsabilités que les élèves allaient exercer, c’est-à-dire définir non seulement un socle commun à tous les niveaux, mais aussi ce qui devait être adapté ou spécifique à chacun d’eux. De ce fait, la formation n’était plus monolithique et, à défaut d’être sur-mesure, elle était au moins en demi-mesure. On n’avait plus à passer par la case bâtons et ronds à chaque moment de la carrière !
Alors, me demanderez-vous, succès ou échec ? N’ayant pas, pour cause de mutation professionnelle, dispensé les cours « nouvelle formule », toujours est-il que j’ai constaté que ce dispositif d’adaptation du cours au niveau de responsabilité avait été entériné par la hiérarchie sommitale.
Quelle solution ?
Ceci étant posé, les dispositions précédentes trouvées pour l’enseignement de la méthode tactique sont-elles transposables à la sensibilisation à la cybersécurité ? Je le pense, sans aucun doute.
Alors, comment faire concrètement ? Procéder en plusieurs étapes.
Tout d’abord, il ne faut pas avoir peur de parler de prérequis. Si l’on compare la situation à l’apprentissage de l’écriture, le prérequis est de savoir tenir un crayon dans ses doigts et de savoir l’utiliser. Et bien, le prérequis à la cybersécurité est la connaissance des bases de la protection de l’information. Je l’ai déjà dit précédemment, vouloir pratiquer la cybersécurité alors que l’entreprise ne sait pas protéger son information revient à vouloir apprendre à courir avant de savoir marcher, afin de progresser plus vite. Il y a cependant des étapes qu’on ne peut sauter, qui qu’on soit. On ne peut comprendre la cybersécurité que si on comprend bien la nécessité de la protection de l’information.
Et si ce n’est pas le cas, m’objecterez-vous ? Et bien la situation sera la même que celle mentionnée supra, à savoir que vous vous retrouverez face à des personnes qui répètent des définitions alors qu’elles n’en ont pas saisi le sens profond, mais ne voient aucun problème à vous les expliquer. Est-ce à dire que la catastrophe est courue d’avance ? Non, car on peut faire de la cuisine sans bien appliquer la recette, mais il est préférable de ne pas faire n’importe quoi lorsqu’on reçoit chez soi.
Ensuite, décider de tout revoir, donc ne pas avoir peur du travail qui sera à effectuer. Car une fois ces deux prérequis (protection de l’information, décision irréversible) maîtrisés, il va falloir :
- définir les cyberattaques, car on ne peut se protéger de phénomènes inconnus. Et rappelons que l’arnaque au faux président n’a rien de cyber, si ce n’est son emballage marketing. Un effort de réflexion sera donc indispensable pour bien sérier le cyber de ce qui ne l’est pas. Cela risque de meurtrir quelques ego qui, subitement, se verront dépouillés de leur panoplie (usurpée) de cyberspécialiste.
- définir les cibles de formation : parmi elles se trouveront les utilisateurs, mais on y trouve également les développeurs, les administrateurs (système et réseau), etc. etc. L’affaire va se corser, car les « sages » ne pourront dire n’importe quoi aux développeurs et administrateurs, à moins de se faire renvoyer dans leurs 22.
- définir le message adapté à chaque cible ensuite.
- préparer des formations adaptées en fonction du message à délivrer et des cibles à toucher.
- enfin, définir des indicateurs de mesure de la qualité de la formation et de l’atteinte de ses objectifs qui permettront d’ajuster les formations dispensées.
Conclusion
Que retenir de tout cela ?
Que l’échec de la sensibilisation à la cybersécurité n’est pas une fatalité, il est possible d’en faire une (ou plutôt plusieurs) de qualité. Tout en gardant à l’esprit que la formation est un métier, et qu’on ne s’improvise pas formateur, même de cybersécurité, quand bien même c’est à la mode.
Ensuite que la pédagogie est toujours valable lorsqu’il s’agit de questions cyber, et qu’elle ne concerne donc pas uniquement le monde réel.
Enfin, et c’est à mon avis tout aussi important que le reste, on ne s’improvise pas « sage » parce qu’on a atteint un certain âge ou grade ou position sociale, on le devient après avoir accumulé de l’expérience, après une reconnaissance par les pairs, et parce qu’on est capable d’avoir un discours ferme et non fluctuant selon l’interlocuteur et les contingences présentes. Bref, on ne peut être sage si on accommode la vérité à la sauce du moment.
! يلا ou, si vous préférez, le même en vidéo.]]>