Hack Academy : des résultats difficiles à mesurer, mais un bon accueil

Le Club informatique des grandes entreprises françaises (Cigref) vient de faire un bilan d’étape de sa campagne de sensibilisation aux risques de sécurité informatique lancée à l’automne dernier, la Hack Academy. Et celui-ci se veut positif. Dans un communiqué, le Cigref assure ainsi que « les collaborateurs de grands groupes français […] ont pu renforcer leurs connaissances en vue d’adopter de nouveaux comportements et de lutter contre les cybermenaces ». Et d’ajouter que « les médias diffuseurs et relais d’opinion ont quant à eux témoigné de la prise de conscience effective de l’opinion publique pour ces problématiques ».

Mais au-delà de ces affirmations, il ne faudra pas attendre de données permettant de mesurer l’impact concret de la campagne en matière de sensibilisation. Dans un entretien avec la rédaction, Jean-Paul Mazoyer, président du Cercle Cybersécurité du Cigref, défend l’absence d’indicateurs de mesure : « on ne peut pas quantifier, car cela dépend trop d’éléments extérieurs ». Et de souligner que, par exemple, le succès d’une campagne de faux phishing dépend de très, sinon trop, nombreux facteurs, à commencer par les thèmes utilisés. Toutefois, selon lui, certaines entreprises ont bien organisé des exercices de simulation avant et après avoir diffusé les films de la Hack Academy, et organisé des séances de décryptage.

Dès lors Jean-Paul Mazoyer retire sa satisfaction d’éléments plus qualitatifs : « lorsque quelqu’un me dit avoir appris ce qu’est un site en HTTPS, c’est un élément de satisfaction ». Et d’autres éléments, extérieurs à la campagne du Cigref, peuvent également contribuer à la prise de conscience : « les attaques rendues publiques font prendre conscience aux entreprises qu’il faut renforcer les protections ».

A des degrés variables, souligne-t-il toutefois : « dans les médias, je ne sais pas si la sensibilité a fortement progressé ou non après l’attaque de TV5 Monde ». Plus généralement, dans les entreprises, y compris les grandes, « la sensibilité est très variable d’une population à l’autre, ou selon que l’entreprise a déjà été victime d’une attaque ». Sans compter la sensibilité des dirigeants eux-mêmes au sujet.

Alors pour Jean-Paul Mazoyer, « ce qu’il faudra regarder, dans la durée, c’est si les gens sont spontanément plus attentifs, plus en alerte ». Et il faudra aller au-delà de cette campagne pour ce qu’il identifie comme « une cause d’intérêt national ». Et de faire un parallèle avec les efforts continus de sensibilisation de la Prévention routière.

Et dans cette perspective, le président du Cercle Cybersécurité du Cigref trouve plusieurs raisons de se montrer optimiste. « Au travers d’un grand nombre de salariés d’entreprises françaises, on touche aussi une part significative du grand public ». En outre, certains membres du Cigref seraient allés au-delà, présentant les vidéos de la Hack Academy sur leurs portails publics en ligne et des médias ont accordé gracieusement des espaces publicitaires.

Surtout, après six mois, selon Jean-Paul Mazoyer, les vidéos réalisées pour cette campagne « gardent toute leur puissance » et « d’autres entreprises demandent à se joindre à l’opération ». La Hack Academy se présente donc, pour lui, comme « un premier pas. Il faudra d’autres campagnes, qui pourront prendre d’autres formes » ou s’avérer plus et différemment ciblées.