Le récent FIC s’est clôt par un événement typiquement français : la publication/proclamation d’un livre blanc pour lutter contre le cybercrime/les cybermenaces/les cyberattaques/etc. Au fait, pour avoir des idées utiles à la lutte contre la propagation d’inutiles livres blancs, visionnez cette vidéo en cliquant ici !

Ce n’est peut-être pas inutile, mais typiquement français et il serait à ce sujet intéressant (mais ô combien fastidieux) de lister tous les livres blancs que certains passent leur temps à écrire, à publier avec plus ou moins de publicité, avant que l’oubli de cette incomparable littérature les incite à en écrire un nouveau, car « l’actualité l’impose. »

Cet événement conjugué à la récente lecture du livre de Jean Todt « des millions de vie à sauver… sur les routes du monde » m’incite à dresser un parallèle entre le monde cyber et la sécurité routière, uniquement pour le cas français.

Source

On peut tout d’abord noter plusieurs éléments de comparaison frappants :

La dramatisation du fléau : après avoir tant craint le cyber Pearl Harbor (qu’on attend encore) et avoir comparé le nombre de morts sur les routes à celui des tués pendant les guerres, nous avons maintenant droit à la comparaison médicale : « La prochaine pandémie sera cyber » nous prophétise-t-on, en oubliant de nous dire qui sera le pangolin. J’y pense, le jour où je monterai mon groupe de pirates informatiques (ce n’est pas demain la veille) je l’appellerai precise pangolin car nos attaques seront super ciblées. Tiens, cela ressemble fortement au nom d’Ubuntu 12.04.3 LTS. Hasard ou nécessité ? De son côté, Jean Todt compare le nombre de morts sur les routes à celui de la pandémie de covid.

La durée depuis laquelle on clame qu’il faut lutter contre ce fléau : depuis les années 70 en France, la lutte contre l’insécurité routière est une priorité de tous les gouvernements. Avec un décalage dans le temps, c’est un peu la même chose pour la lutte contre la cyberdélinquance.

La culpabilisation des utilisateurs : s’il y a des accidents sur la route, ce ne peut être qu’à cause des conducteurs indisciplinés qu’il faut ramener à la raison. De même que si les attaques réussissent, c’est à cause des utilisateurs qui n’ont pas encore pris conscience de l’état de la menace. D’ailleurs, il ne faut pas oublier que PEBKAC (problem exist between keyboard and chair). La récente déclaration du directeur de l’ANSSI relative à la cybersécurité des hôpitaux est du même tonneau. (Nota : je suis plutôt d’accord avec lui, mais il ne propose pas de solution. Alors qu’elles existent.)

La primauté de « solutions » simples, suite logique des éléments précédents. Ainsi, pour réduire le nombre d’accidents, il suffit de réduire la vitesse maximale autorisée sur les routes, et pour réduire le nombre de cyberattaques, il suffit de sensibiliser. Encore et encore… Tout se passe comme si une stérilisation de la pensée, tant en matière de sécurité routière que de cybersécurité avait eu lieu. Il est toujours de bon ton de proclamer qu’on « think different », mais à la fin ce sont toujours les mêmes rengaines qui sortent. Lutter contre les disques rayés serait de salubrité publique !

Les comparaisons peuvent s’arrêter ici, car à la différence de la cyber (à ma connaissance) des experts de la route prennent la parole pour partager leur mode de pensée différent. Jean Todt en fait partie, mais ce n’est pas pour cela qu’il est écouté. En son temps, Jean-Pierre Beltoise pouvait, lui aussi, être comparé à Saint Jean Baptiste : « je suis la voix qui crie dans le désert… »

Jean Todt ne nie pas la faillibilité de la personne humaine, ce qui lui sert de point de départ pour souligner la complexité de l’environnement dans lequel les véhicules évoluent : «  (…) si prétendre éliminer toute erreur humaine serait utopique, travailler à diminuer ces erreurs et faire en sorte que leurs conséquences soient moins graves est prioritaire. » p 114 « Ralph Nader nous a aidé à ne plus mettre en cause les seuls automobilistes et à mieux examiner les failles du système dans son ensemble. (…) Sans exempter en rien chacun de sa propre responsabilité, nous devons concevoir des systèmes qui sachent tenir compte des erreurs humaines. » p 120 « Nous devons créer des environnements qui tiennent compte du caractère faillible de la nature humaine. » p 29 « Il faut partir du principe que les infrastructures routières doivent réduire le risque d’accidents et leur impact, tout en éduquant les usagers de la route et en faisant appliquer les règles qui ont fait leurs preuves. » p 123 Comme cela change des premiers temps d’Hadopi où tout possesseur de connexion internet était censé savoir la sécuriser pour éviter qu’un pirate l’utilise à ses dépens ! Qui donc dans le monde cyber fera entendre une telle parole ? D’ailleurs, les cyberstratèges, à quel moment les logiciels commercialisées seront-ils adaptés à la complexité du monde numérique ?

En soulignant la faillibilité de la nature humaine, Todt expose également que la négligence collective est une des causes des accidents : «  Les accidents de la route ne sont pas un dommage collatéral de la croissance économique : ils sont la conséquence directe de notre négligence. » p 45 Négligence globale ? En cyber ? Non, jamais ! Nous avons la security by design depuis des années !

Cela doit donc inciter à avoir une réflexion globale : « Nous sommes conscients que notre approche de la sécurité routière soit être radicalement nouvelle. » p 29 « La façon dont nous abordons cette question a largement évolué, même si cela ne reflète pas toujours la réalité quotidienne. » p 53 « Il serait faux de dire que des actions de sécurité routière n’ont pas eu lieu ou qu’elles n’ont pas été efficaces. Mais souvent, elles demeurent isolées, concentrées sur des aspects particuliers du programme ou géolocalisées. » p 85 En bref, Todt nous incite à « think [vraiment] different » en matière de sécurité routière, et il serait peut-être salutaire de faire pareil en matière de cybersécurité.

Et son incursion dans la pandémie interpelle « Nous devons réfléchir à la manière dont le virus est apparu, à ce qu’il révèle des faiblesses de nos sociétés, et aux changements nécessaires pour traiter toutes les questions qui se posent afin de pouvoir construire un monde plus sûr. » p 20 Pour autant, il n’est pas dupe du bruit verbal qui accompagne la majorité des discours relatifs à l’insécurité routière : « Tout le monde s’accorde à souligner l’importance de la sécurité routière, mais nous devons maintenant joindre le geste à la parole. » p 125

Enfin, Todt expose les 5 périodes successives de la sécurité routière :

1. les accidents de la route sont des cas rares et sporadiques
2. l’insécurité routière, un problème de société
3. les premiers efforts pour formuler une politique
4. la réduction du nombre d’accidents et la diminution de leur impact
5. l’approche pour un système sûr.

Si nous filions la comparaison cyber/route, à votre avis, dans quelle période de la cybersécurité serions-nous ?

Pour conclure, et en écho à l’appel à l’européanisation de la cybersécurité (l’Europe de la cyber, la coopération internationale, etc.) rappelons que la France n’a pas attendu l’européanisation de la lutte contre l’insécurité routière pour s’y mettre. La permanence des incantations sur l’Europe de la cybersécurité n’en est que plus étonnantes.