Il y a déjà quelques années que j’estime que la sensibilisation à la cybersécurité est un échec. Ma position n’a pas changé, surtout lorsqu’on voit les résultats de cette sensibilisation : les cyberattaques continuent d’augmenter de façon exponentielle nous dit-on ! Il serait possible de se lamenter encore une fois sur le viol de l’exponentielle, mais ce serait vraisemblablement pour de piètres résultats.

Source

Lorsqu’on ne parle pas d’exponentielle (cela arrive), nous trouvons cependant sur la même page la déploration de la multiplication par 4 des attaques par rançongiciels entre 2019 et 2020 et la nécessité de la poursuite de la sensibilisation.

D’autant que les praticiens continuent de sensibiliser de la même manière, charité bien ordonnée ne commençant pas par soi-même dans ce domaine, bien des pistes d’amélioration existent (je les rappelle) :

1. définir les cyberattaques, car on ne peut se protéger de phénomènes inconnus. Et rappelons que l’arnaque au faux président n’a rien de cyber, si ce n’est son emballage marketing. Un effort de réflexion sera donc indispensable pour bien sérier le cyber de ce qui ne l’est pas. Cela risque de meurtrir quelques ego qui, subitement, se verront dépouillés de leur panoplie (usurpée) de cyberspécialiste.
2. définir les cibles de formation : parmi elles se trouveront les utilisateurs, mais on y trouve également les développeurs, les administrateurs (système et réseau), etc. etc. L’affaire va se corser, car les « sages » ne pourront dire n’importe quoi aux développeurs et administrateurs, à moins de se faire renvoyer dans leurs 22.
3. définir le message adapté à chaque cible ensuite.
4. préparer des formations adaptées en fonction du message à délivrer et des cibles à toucher.
5. enfin, définir des indicateurs de mesure de la qualité de la formation et de l’atteinte de ses objectifs qui permettront d’ajuster les formations dispensées.

Je ne renie pas ces propos, je tiens simplement à les compléter, notamment en ce qui concerne le message à délivrer. A quoi peut-il ressembler ?

Prenons différents messages de sensibilisation.

Lorsqu’on nous parle des accidents de la route, ou de la lutte contre le terrorisme, à quoi fait-on allusion ? A l’importance de la vigilance, à la sévérité des résultats si l’attaque se produit ou l’accident a lieu, à la prégnance de la menace et du risque. Bref, ces sujets sérieux sont traités sérieusement.

Que fait-on en cyber ? On adapte les fables de La Fontaine en les teintant de cyber ou on continue de raconter l’histoire d’Alice et de Bob, amoureux fous l’un de l’autre et qui souhaitent s’envoyer un message enflammé que ce barbare de Charlie veut intercepter :

Source

A peu près aussi pertinent pour des adultes que les images de Serge le lapin dans le métro :

Source

Bref, un message adapté à des enfants en bas âge, mais sûrement pas à des adultes. Si l’on veut que les messages portent, il est d’abord indispensable de considérer les destinataires comme des adultes et non comme des débiles profonds. Ensuite, si l’on estime que le sujet est grave, il faut que les supports le soient tout autant. Il est aussi nécessaire de parler des conséquences : si elles sont désastreuses, il faut les montrer. Et si le danger est au coin de la rue, il faut aussi le montrer. En bref, il faut repenser entièrement la sensibilisation à la cybersécurité qui ne fait, année après année, que prouver son inefficacité. Mais, tels des shadoks, l’action continue au cas où elle deviendrait subitement efficace.

Et si, en plus, on estime que ceux qui se sont fait sensibiliser des dizaines de fois n’ont pas agi, mettons en œuvre une solution disruptive : appliquons la loi !