Risque cyber, les Français conscients, mais… irresponsables ?
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
Hormis ceux travaillant dans le secteur, les Français sont-ils indifférents aux risques de sécurité informatique ? La réponse est pour le moins ambivalente. Entre les préoccupations affichées par nos concitoyens et leurs comportements face au danger, le fossé est énorme, tant dans leur vie personnelle que professionnelle. Analyse.
Qui a peur du « grand méchant risque » cyber ? Les entreprises, assurément et à juste titre. Selon l’enquête 2022 du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique), plus d’une entreprise sur deux a subi une cyberattaque dans l’année précédente. 60 % d’entre elles affirment être préoccupées par les sujets de souveraineté et de cloud de confiance, tandis que 55 % jugent « élevé » le risque de cyberespionnage.
Est-ce à dire que le grand public se moque des campagnes de phishing, ransomware et autres compromissions de données, criminalité en col blanc qui fait parfois les grands titres, mais le toucherait peu dans son quotidien ? C’est tout le contraire. Baromètre après baromètre, nos concitoyens affirment être grandement préoccupés par ce fléau.
En mars 2022, l’IFOP appelait sobrement « Données personnelles, présidentielle, hôpitaux : la cyber angoisse » une enquête menée pour Galeon.care, un site spécialisé dans la protection de données médicales. Certes, le contexte de cette étude avait de quoi aviver les craintes des Français : la guerre russo-ukrainienne venait de débuter et le volet cyber de ce conflit défrayait la chronique.
Ajoutez à cela l’approche des Présidentielles, qui faisait spéculer de nombreux commentateurs sur le risque d’ingérence informatique dans le processus électoral, et vous comprenez mieux pourquoi 89 % des répondants jugeaient « élevés les risques de cyberattaque et de détournement de données ».
Une « cyber angoisse » très partagée
Le scrutin en lui-même ne suscitait d’ailleurs pas une angoisse démesurée, puisque seuls 17 % des Français se disaient « très inquiets » d’une cyberattaque visant à fausser le résultat du vote, 29 % de plus se déclarant « inquiets ». Pour le reste, les préoccupations des particuliers ressemblent –toutes proportions gardées– à celles des professionnels : 88 % d’entre eux craignent pour leurs données bancaires, 86 % ont peur d’une usurpation d’identité, tandis que 70 % appréhendent de se faire voler leurs photos ou vidéos.
Des résultats globalement corroborés par le sondage effectué par Ipsos pour le compte de Sopra Steria à peine un mois plus tard. 86 % des Français affirmaient être inquiets du risque de cyberattaque en France ou dans le monde. Effet d’une bonne information sur les risques encourus… ou de la mode des films de hackers ? L’enquête révélait que 72 % des répondants craignaient une paralysie des services publics (comme celle qui a frappé le Costa Rica), tandis que plus des deux tiers envisageaient des coupures d’électricité, paralysies des services d’urgence ou catastrophe nucléaires. Seuls 59 % appréhendaient des ruptures des chaînes d’approvisionnement alimentaires, un scénario qu’ont pourtant vécu la Grande-Bretagne et les États-Unis.
Pour les conséquences personnelles liées à la cybercriminalité (vol de données bancaires, usurpation d’identité…), le sondage Ipsos est dans le même ordre de grandeur que celui de l’IFOP.
Près d’un Français sur deux piraté
Et si les Français sont aussi sensibles au risque cyber, c’est peut-être simplement parce qu’à l’instar des entreprises, ils sont frappés par des hackers en tout genre. « Plus de deux Français sur cinq (41 %) ont déjà été piratés au cours de leur vie, dont 7 % au cours des douze derniers mois », affirme l’IFOP. Du côté d’Ipsos, 48 % des sondés ont été victimes d’au moins une tentative de piratage, réussie ou non. Autant dire que tout le monde ou presque a dans son entourage une victime, de quoi sensibiliser à cette épineuse problématique.
Bien informés, conscients des risques pour les avoir parfois subis, les Français ont-ils donc adopté un comportement prudent et vertueux sur la Toile ? C’est là que le bât blesse. Ils sont près de 80 % à avoir avoué à Ipsos ne pas lire les conditions générales des sites qu’ils fréquentent et 73 % à être obligés de transmettre des informations personnelles sur Internet, pour compléter une transaction, par exemple.
Et dans leur vie professionnelle, ce n’est guère mieux. Les RSSI le savent bien, la pandémie et son cortège de confinements et couvre-feux ont imposé le télétravail comme mode d’organisation standard dans nombre d’entreprises. Et ils savent aussi avec quelles conséquences pour la sécurité informatique de leur structure. Selon Proofpoint, 91 % des organisations françaises ont été la cible de cyberattaques en 2021. 65 % en ont même subi plusieurs.
Quand on préfère ignorer les règles
Et comme souvent, le facteur de risque se situe entre la chaise et l’écran. Les responsables de la sécurité informatique auront beau mettre en place les outils et protocoles les plus performants, s’ils ne sont pas utilisés et suivis, c’est peine perdue. Les campagnes de phishing ou de ransomware doivent plus souvent leur succès à de mauvaises manipulations de la part d’employés qu’à la sophistication de leur code.
L’université de Floride centrale a cherché à savoir pourquoi les employés ne suivaient pas les consignes destinées à protéger leur entreprise, ainsi qu’eux-mêmes. Cette étude publiée en janvier 2022 portait sur plus de 330 personnes en télétravail. Si son côté déclaratif laissait forcément dans l’ombre les brèches involontaires à la sécurité, elle n’en est pas moins riche d’enseignements. Avec 67 % des participants à l’étude qui n’ont pas respecté au moins une fois la politique de cybersécurité de leur entreprise en 10 jours de travail, on mesure le chemin à parcourir pour arriver à un plein respect des règles.
Plus intéressantes encore sont les motivations des contrevenants : seuls 3 % d’entre eux ont ainsi affirmé avoir voulu nuire à leur entreprise. Les trois motivations les plus fréquentes, totalisant 85 % des réponses, étaient : « Pour mieux accomplir mes tâches », « pour obtenir quelque chose dont j’avais besoin » et « pour aider les autres à faire leur travail ». Cette dernière (18 % des réponses à elle seule) constitue assurément un boulevard pour le phishing ou les scams.
Faire rimer cybersécurité et performance
En clair, certaines règles de cybersécurité ont été délibérément ignorées quand elles représentaient un obstacle à la productivité de l’employé, un facteur d’autant plus prévalent que ce dernier était stressé pour des raisons personnelles ou professionnelles. Un stress parfois causé par les règles de sécurité elles-mêmes, perçues comme un obstacle à l’accomplissement d’une tâche ou simplement aux habitudes de travail du participant à l’étude.
Ses auteurs soulignent donc qu’entre l’ignorance et la malveillance, se glissent un nombre significatif de brèches humaines volontaires, qui pourraient donc être évitées. Pour ce faire, ils préconisent notamment de mieux associer les employés à la définition des règles qu’ils auront à appliquer. Les managers, quant à eux, devraient mieux intégrer le respect de la cybersécurité dans les indicateurs de performance de leurs équipes afin qu’ils ne soient pas perçus comme une contrainte.
La bonne nouvelle, c’est que la majorité des Français est consciente des risques. C’est un bon début.