Cyberrisques

Cyber Obscurité, lorsque tout s’éteint

Solange Ghernaouti 3 commentaires

En 2009, je publiais le livre « La cybercriminalité, le visible et l’invisible » [1], aujourd’hui c’est avec Philippe Monnin, ancien directeur des rédactions du Monde informatique et sous la forme romanesque[2] que nous rendons visible l’invisible de la fragilisation de la société par la dépendance à l’informatique et l’interdépendance des infrastructures[3].

Vivre sans énergie informationnelle

Intitulé Off, parce que lorsqu’il n’y a plus d’électricité, il n’y a plus d’informatique et plus d’énergie informationnelle, ce roman journalistique par son style et les éléments véridiques puisés dans l’actualité est une fiction technique, politique et philosophique. Il aborde de manière accessible à tous, les liens entre risques technologiques, en l’occurrence les cyberrisques et les risques environnementaux et leurs causes humaines pouvant conduire aux pires catastrophes. Il témoigne du quotidien des personnes qui vivent la mise à genoux de la plus puissante économie du monde ainsi que de la gestion politique de cette crise sans précédent, qui laisse les autorités d’un pays au bord de l’effondrement, désemparées et la population dans l’effroi lié à l’arrêt des services et systèmes informatiques.

Quelques citations

« Une attaque informatique sans précédent, probablement la plus importante de notre histoire, vient de frapper notre pays. Les départements et agences du Trésor, du Commerce, de la Sécurité intérieure, de la Santé, de l’Énergie (chargées de gérer le stock d’armes nucléaires), de l’Aviation civile, du Pentagone, de la Cybersécurité et le Conseil de sécurité national sont infiltrés par un logiciel espion depuis des mois. Dix-huit-mille organisations ou entreprises seraient également touchées dont de grands groupes informatiques parmi les plus aguerris en matière de sécurité. »

« Nous faisons face à une attaque immatérielle dont nous ne connaissons ni le mécanisme, ni l’origine, ni la complexité, ni la motivation et encore moins la finalité …derrière cette cyberattaque pourrait s’en cacher une autre, bactériologique celle-là. »

« Pour « accueillir » les Américains, les Mexicains ont rédigé, à la hâte des panneaux sur lesquels ils ont repris ironiquement les mots du Président Trump lors de sa venue à Calexico : «Notre pays est complet ! On ne peut pas vous accepter !», « Rebroussez chemin ! ».

« … face au désespoir absolu exprimé par Margaret, Georges sent une vague le parcourir, venue du plus profond de ses entrailles. Ni peur, ni désespoir, bien au contraire. C’est une sensation de force qui l’envahit, de volonté, de domination, de violence, de méchanceté. Comme si une autre voix sortait de sa bouche, il dit : — Non, Margaret, nous n’allons pas mourir. Ce sont les autres qui vont mourir. Pas toi. Surtout pas toi. Ni moi. »

Notes

[1] S. Ghernaouti. « La cybercriminalité, le visible et l’invisible ». Collection de Le savoir suisse. EPFL Press, 2009.

[2] P. Monnin, S. Ghernaouti « OFF », Editions Slatkine 2023.

https://www.slatkine.com/fr/editions-slatkine/75765-book-07211168-9782832111680.html

[3] https://www.rts.ch/info/sciences-tech/13708969-solange-ghernaouti-plus-nous-serons-connectes-plus-nous-serons-vulnerables.html

 

 

 

Éduquer à la cybersécurité, une responsabilité de société

Solange Ghernaouti 3 commentaires

Eduquer à la cybersécurité, une responsabilité de société

La fuite de données personnelles et sensibles de plus de 20 millions d’Equatoriens révélée durant l’été 2019, est due au fait qu’une société de conseil en marketing, analyse de données et de développement logiciels, n’avait pas sécurisé le serveur sur lesquelles elles étaient stockées et mises en ligne. Le dirigeant de l’entreprise Novaestrat , spécialisée dans analyse de données a été arrêté par les forces de l’ordre équatoriennes.

Cette nième affaire de fuite de données est emblématique de la réalité et du peu de sérieux avec lequel sont appréhendées les problématiques de cybersécurité et de protection des données à travers le monde.

Sensibiliser, former, entrainer à la cybersécurité est devenu urgent afin que les pratiques de l’informatique évoluent pour tenir réellement compte des risques qu’elles font peser sur la société. Ces risques concernent toutes les activités humaines, par conséquent l’enseignement de la cybersécurité doit être intégré dans tous les champs disciplinaires.

L’enjeu est vaste, et y répondre est difficile mais pas impossible.

Sur le terrain de l’enseignement supérieur, et de manière complètement pragmatique, cela suppose la mise à disposition d’une offre de cours liée à la cybersécurité, adaptée aux titres auxquels pourront prétendre les futurs diplômés. Sachant que ces derniers deviennent après seulement quelques mois de pratiques des consultants seniors en cybersécurité, voire, des responsables en sécurité de l’information. Dès lors, l’enseignement et ses conditions de validation des acquis, examens, contrôles continus, projets, et travail de mémoire se doivent d’être particulièrement exigeants.

Il incombe aux organes de formation, de bien former, voire de former mieux les individus à la gestion des cyberrisques, qui sont de plus en plus graves. Il s’agit d’éduquer à la cybersécurité dans toutes les disciplines, car ces risques concernent tous les métiers. Où sont par exemples, les cours de cybersécurité à destination des futurs médecins, ingénieurs, avocats, architectes, gestionnaires et même des futurs marketeurs, etc ? Du moins ceux-ci, ont-ils suivi lors de leur cursus, une sensibilisation à la cybersécurité et à la protection des données ?

Si l’apparition récente de cursus spécialisés en cybersécurité est une excellente initiative, néanmoins, il est intéressant de pouvoir questionner le contenu effectif des formations dispensées et de vérifier leur adéquation aux besoins de la société. Les experts formés le sont-ils vraiment ? Si tel ne serait pas le cas, que faire pour améliorer la situation ?

Évaluer ou valider ?

Par ailleurs, dans la plupart des institutions universitaires, on assiste depuis quelques années à une augmentation accrue de l’importance accordée à l’évaluation des professeurs par les étudiants, entrainant par effet boomerang, des approches clientélistes et une diminution des exigences envers les étudiants. Lorsque cette forme de démagogie prévaut sur l’exigence pédagogique, c’est la qualité des spécialistes formés qui diminue. Cette mutation invisible et sournoise se reflète également dans les termes à utiliser pour décrire, non plus les méthodes d’évaluation des étudiants, mais celles de validation des acquis par ces derniers. Ce glissement n’a rien d’anodin. Désormais, seuls les enseignants sont évalués, non pas par leurs pairs, mais par des étudiants qui ont, eux pour objectifs, d’acquérir des crédits pour obtenir un titre académique.

Vers une approche clientéliste de l’éducation ?

Cela déplace le curseur pour les clients-étudiants de la motivation des études tournées idéalement vers l’apprentissage des connaissances et le développement des compétences vers le gain d’un diplôme, c’est à dire d’un label institutionnel.

Si l’étudiant devient client, alors l’enseignant peut être incité à devenir vendeur. L’institution, dans ce nouveau contexte, pourrait être tentée de brader les crédits de cours ou les diplômes. En fait, pour les vendeurs-enseignants, cela se traduit par une incitation, voire une pression à ne donner que des travaux faciles à réaliser, à supprimer les mauvaises notes, à ne pas prendre en compte les travaux échoués, à surnoter les prestations des étudiants, à ne pas donner trop de matières ou de contraintes de travail, en bref à plaire aux étudiants. La tentation peut être grande de céder à cette pseudo-facilité, y résister est équivalent à nager à contre-courant. Évaluer la qualité effective des prestations des étudiants revient parfois à pratiquer un sport extrême par la prise de risque que cela suppose.

Ne pas résister à l’uniformisation des savoirs « faciles » et au nivellement par le bas, conduit à transformer des cours en produits attractifs dont le marketing s’appuierait sur la minimisation du rapport effort de l’étudiant/ obtention de crédits par ce dernier. Le nouveau contrat pédagogique implicite consisterait à attribuer de bonnes notes à tous les acteurs sachant que la note des professeurs, dépend de la note des étudiants.

Contribuer au développement d’un écosystème numérique de qualité et de confiance

L’incompétence, la négligence, des défaillances dans la conception et la mise en œuvre des infrastructures numériques, dans l’analyse des risques, des défauts de sécurité informatique, des erreurs humaines, des erreurs de gestion, d’utilisation des systèmes d’information, engendrent des coûts directs et indirects pouvant conduire à la perte de données, de propriété intellectuelle, de compétitivité et de pérennité des organisations mais aussi à la perte de vie humaine.

Accorder, un titre en système d’information, en informatique, en intelligence artificielle ou en sécurité du numérique, par exemples, c’est accorder un label de qualité garantie par une institution académique, afin que les détenteurs de ces titres contribuent au développement de l’écosystème numérique en toute innocuité pour la société, car désormais nos vies dépendent du numérique.

Accorder le droit de travailler en informatique et en particulier en cybersécurité, c’est accorder le « droit de tuer », c’est pourquoi il est de la responsabilité des enseignants et des institutions de reconnaitre à leur juste valeur la réelle qualité des prestations des étudiants selon des critères rigoureux, objectifs et rationnels. Cela est non seulement une obligation, mais un devoir envers les employeurs, la société, et les générations futures.