Cyber-menaces : la sensibilisation des individus fait un petit pas en avant

Ce n’est assurément pas la grande campagne de communication « sur le modèle de la sécurité routière » dont pouvait rêver Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), lors de la présentation de la plateforme « d’assistance et prévention du risque numérique » en janvier 2017.

Cette plateforme, accessible à l’adresse cybermalveillance.gouv.fr et portée par le groupement d’intérêt public (GIP) Acyma, sert désormais à la distribution d’un kit de sensibilisation aux menaces. Le premier volet, actuellement en ligne, porte sur les mots de passe, la ségrégation des usages professionnels et personnels, les terminaux mobiles, et le hameçonnage.

Dans la pratique, chaque thème est abordé au moyen d’une vidéo, d’une fiche pratique, et d’un mémo de synthèse des conseils présentés. Aucune des recommandations ne devrait véritablement choquer, mais certaines risquent de se heurter aux habitudes des utilisateurs et à leurs attentes en termes de confort et de fluidité des usages.

Pour les terminaux mobiles, le kit recommande ainsi par exemple de « désactiver toutes les connexions sans fil quand vous ne vous en servez pas (Wi-Fi, Bluetooth, NFC, GPS…) car elles sont autant de portes d’entrée ouvertes sur votre appareil ». Dans la pratique, on imagine difficilement tout un chacun suivre ces recommandations. Et l’on regrettera au passage l’absence de référence à l’usage d’un service de réseau privé virtuel (VPN) sur les réseaux Wi-Fi publics.

Les conseils relatifs aux clés USB auraient en outre pu être étendus à tout support de stockage amovible – jusqu’aux cartes mémoire – et intégrés au thème des terminaux mobiles, avec la perspective d’une extension aux ordinateurs portables.

Quoiqu’il en soit, ce kit de sensibilisation, réalisé notamment avec la contribution du Club de la sécurité de l’information de la région Nord de France (Clusif NdF), Bitdefender, Eset, Kaspersky et Microsoft, entre autres, reste largement bienvenu. Et cela d’autant plus que la Cour de cassation a récemment retenu la négligence grave à l’encontre d’une personne victime de phishing, dégageant ainsi la banque dont elle était cliente de toute obligation de garantie. Pour la Cour, il importe peu que l’on « soit, ou non, avisé des risques d’hameçonnage », il faut savoir repérer ces signes qui doivent permettre « à un utilisateur normalement attentif de douter » de la provenance d’un courriel de phishing.

Selon le GIP Acyma, plus de 4000 professionnels se sont inscrits pour être notifiés de la mise à disposition de ce premier volet du kit de sensibilisation. Et de revendiquer dès lors un « potentiel de sensibilisation de 10 millions de personnes ». Mais on peut souhaiter que le GIP ne compte pas uniquement sur cette distribution indirecte. La date de publication du second volet n'a pas été précisée, mais là encore, il est possible de s'inscrire pour être notifié de sa disponibilité.