Bien que la transformation numérique et la cybersécurité soient l’un des défis les plus importants auxquels sont confrontés les gouvernements aujourd’hui, la sensibilisation du public reste limitée. Presque tout le monde a entendu parler de la cybersécurité et de son importance ; cependant, le comportement des citoyens ne reflète pas toujours un haut niveau de sensibilisation. La cybersécurité est essentielle pour les individus et pour les organisations publiques et non publiques ; pourtant, le respect des pratiques de sécurité s’avère souvent difficile.
Les enquêtes sont indispensables à une sensibilisation réussie
Fondé sur une étude menée auprès de plus de 1 000 Européens sur leur sensibilisation aux questions de cybersécurité, le livre blanc Agora du FIC examine en profondeur la manière dont les citoyens peuvent être mieux protégés dans un environnement en ligne en mutation. Ce qui est particulièrement intéressant dans l’approche du FIC Agora, c’est l’utilisation d’une enquête publique.
Pour toute organisation, la sensibilisation est le point de départ de la compréhension de son statut actuel en matière de cybersécurité et de la façon dont les facteurs humains peuvent soutenir ou nuire à cette position défensive. La collecte de données et de statistiques à partir d’enquêtes publiques et l’établissement de paramètres sur les aspects comportementaux de la cybersécurité constituent un élément clé d’une sensibilisation réussie.
Les enquêtes publiques fournissent des informations générales sur la façon dont les gens pensent et agissent en matière de cybersécurité, ce qui constitue une contribution importante à la préparation des campagnes de sensibilisation à la cybersécurité. Les informations statistiques sur la façon dont les citoyens perçoivent les risques numériques, leurs attitudes et leurs connaissances peuvent aider à mieux orienter le choix des mesures de protection de l’environnement numérique.
Les sondages et les questionnaires permettent d’apprendre à connaître les groupes cibles. Cela permet ensuite de déterminer le type d’informations dont le public cible a besoin pour améliorer ses compétences et ses connaissances en matière de cybersécurité. L’utilisation de sondages publics et la promotion d’une coopération étroite avec les bureaux nationaux de statistiques permettent de mieux identifier, comprendre et atteindre des publics cibles spécifiques.
Les enquêtes d’opinion publiques régulières de l’UE, telles que l’Eurobaromètre ou l’indice de l’économie et de la société numériques de l’UE, peuvent servir de point de départ utile aux nations qui s’efforcent de relier les données aux actions de sensibilisation.
Outre les données de l’Eurobaromètre, l’exploitation des données globales recueillies systématiquement auprès des équipes nationales d’intervention en cas d’urgence informatique (CERT) et des organismes chargés de l’application de la loi concernant les cyberincidents et la cybercriminalité peut mettre en évidence des tendances et être utilisée pour renforcer la connaissance de la situation.
Il est également utile d’analyser les données relatives aux cyberincidents pour mieux comprendre quels groupes sociaux ont été le plus touchés et analyser ensuite quelles sont les meilleures mesures d’atténuation des risques.
Contrat e-social = Stratégie nationale de cybersécurité
Le document Agora du FIC explique ensuite ce que l’UE, les États membres, l’industrie et les organisations de la société civile font pour protéger les citoyens. Il propose 12 recommandations visant à encourager une cybersécurité davantage axée sur les personnes. Parmi ces recommandations, deux méritent particulièrement l’attention : d’abord, l’idée de développer un contrat e-social et ensuite, la proposition d’améliorer le partage des informations sur les risques.
L’Agora FIC suggère que les termes d’un contrat soient définis en consultation avec tous les acteurs concernés, y compris les gouvernements, l’industrie, les organisations de la société civile et les citoyens. En effet, comme le souligne le document de l’ENISA sur la sensibilisation à la cybersécurité (2021), une vision claire de la sensibilisation à la cybersécurité devrait être un élément clé des stratégies nationales de cybersécurité.
La sensibilisation à la cybersécurité a plus de chances de réussir lorsque la stratégie nationale de cybersécurité énonce la vision correspondante, afin d’aider toutes les parties prenantes à comprendre quels sont les enjeux et pourquoi elle est nécessaire (contexte), ce qu’il faut accomplir (objectifs), ainsi que de quoi il s’agit et à qui cela s’applique (champ d’application). Plus la vision est claire, plus il est facile pour les principaux acteurs de garantir une approche globale, cohérente et homogène.
Par exemple, la République tchèque a publié sa stratégie nationale de cybersécurité pour 2021-2025 avec un chapitre distinct intitulé « Société résiliente 4.0 » traitant de l’éducation et de la sensibilisation de l’ensemble de la population. La stratégie finlandaise en matière de cybersécurité de 2019 met notamment l’accent sur la nécessité d’accroître les compétences du public en matière de cybersécurité.
Les objectifs de sensibilisation de la stratégie lettone en matière de cybersécurité 2019-2022 sont axés sur l’édification d’une société de l’information qui comprend la sensibilisation à la cybersécurité des enseignants, des étudiants, des employés du gouvernement et de la société en général en promouvant une utilisation sûre du matériel, des logiciels et de l’Internet.
Améliorer le partage des informations sur les risques entre les gouvernements, les entreprises et les citoyens
Traditionnellement, les produits d’information sur les menaces de cybersécurité sont de nature technique. Les informations sur les vulnérabilités de certains produits TIC sont généralement publiées dans des canaux d’information spécifiques des équipes nationales d’intervention en cas d’urgence informatique (CERT) ciblant la communauté informatique. Ces informations spécialisées restent incompréhensibles pour un public plus large, non technique.
Pourtant, des évaluations publiques non techniques régulières et compréhensibles pour un public plus large aident les citoyens à comprendre comment chacun peut contribuer à un espace digital mieux protégé. La publication régulière des tendances et des défis en matière de cybersécurité est importante car elle favorise le débat public sur l’impact que peuvent avoir les cyberattaques non seulement sur les systèmes d’information particuliers visés, mais aussi sur la sécurité nationale dans son ensemble.
Parmi les meilleures pratiques dans ce domaine, citons la Norvège qui a lancé en 2019 une stratégie nationale distincte pour les compétences en matière de cybersécurité, car la compétence et la connaissance des cybermenaces, des zones vulnérables et des mesures efficaces sont une condition préalable à la capacité de protéger les systèmes numériques contre les cyberincidents.
De son côté, l’autorité estonienne des systèmes d’information publie des évaluations mensuelles, trimestrielles et annuelles de la cybersécurité. En outre, le service de sécurité interne estonien et le service de renseignement étranger publient tous deux des évaluations annuelles qui comportent un chapitre distinct sur la cybersécurité couvrant l’aspect renseignement des cybermenaces.
Le centre national de cybersécurité de l’agence finlandaise des transports et des communications publie un rapport mensuel sur la cybermétéo qui fait le point sur les principaux incidents et phénomènes de sécurité informatique du mois. Les actualités de la cybermétéo sont classées dans l’une des trois catégories suivantes : calme, inquiétant ou grave.
Suivant l’exemple finlandais, une fois par mois, le CERT national letton publie également un rapport détaillé sur la cybermétéo concernant les cyberincidents passés en Lettonie, divisé en cinq segments : escroqueries et phishing, logiciels malveillants et vulnérabilités, IoT, violations et fuites de données, et performances du réseau. Si tout va bien, le temps est ensoleillé ; s’il y a quelques incidents – il pleut, et s’il y a beaucoup d’incidents ou de grosses pertes financières – c’est l’orage.
Le livre blanc du FIC Agora, qui cherche à aborder le rôle de l’humain dans la cybersécurité, reflète une reconnaissance croissante du fait que les mesures techniques de cybersécurité n’existent pas dans le vide et doivent fonctionner en harmonie avec les personnes.
