Qui est encore à l’abri d’un rançongiciel, d’un maliciel, ou d’une attaque par déni de service ? Personne. La pandémie de COVID-19 ayant favorisé l'augmentation de cyberattaques, chaque utilisateur doit redoubler de vigilance. Après tout, il est seul responsable de sa cybersécurité. Vraiment? Pour Benoît Dupont, titulaire de la Chaire de recherche du Canada en cybersécurité, il est grand temps d'inverser cette proposition : « Il faut arrêter de dire que le problème, ce sont les usagers! ».
Un optimisme qui nous joue des tours
Benoît Dupont refuse d’adhérer au discours dominant qui veut que l’utilisateur soit le maillon faible de la chaîne. Selon lui, ce laïus culpabilisant découle, entre autres, du fait que les ingénieurs en informatique — et les systèmes complexes qu'ils fabriquent — ne tiennent pas compte de nos biais cognitifs. À commencer par le biais d’optimisme qui nous porte à croire que les malheurs n’arrivent qu’aux autres. Faux. Surtout quand on sait qu’aujourd’hui, les cyberattaques sont en partie automatisées. « Personne n’est ciblé, mais tout le monde l’est… » précise M. Dupont.
Si tout le monde est ciblé, il serait à propos que les autorités de santé publique réfléchissent à des programmes de prévention, à l’instar des programmes de sensibilisation à la sécurité routière. Ceux-ci ont permis de corriger le biais cognitif qui poussait les gens à sous-estimer ou à ignorer les risques liés à la conduite. Ces mesures préventives ont fait leurs preuves, mais leur efficacité est aussi due aux mesures réglementaires qui les ont accompagnées.
Qui doit réglementer quoi?
Certains, comme Shoshana Zuboff (The Age of Surveillance Capitalism) avancent que les gouvernements n’ont aucun intérêt à réglementer l’internet. Benoît Dupont, croit tout de même qu’il revient à nos élus de créer des cadres réglementaires qui obligent les concepteurs et les entreprises numériques à renforcer la cybersécurité. Cela implique, par exemple, d’intervenir tôt dans le processus de design des nombreux objets qui composent l’internet des objets-IdO (ces objets « intelligents » qui comprennent non seulement les ordinateurs, les téléphones intelligents et les tablettes, mais aussi les moniteurs d’activité personnels, les téléviseurs, les thermostats et les frigos).
On devrait donner aux usagers les moyens de comprendre et d'évaluer les risques qu’ils encourent. « De la même façon que les appareils ménagers sont étiquetés en fonction de leur consommation énergétique, le degré de sécurité des appareils connectés mis sur le marché devrait être catalogué. Est-ce que j’achète un produit qui a un haut degré de vulnérabilité ou bien un produit protégé? ».
Pas tous égaux face aux cyberattaques
Quand internet est né il y a 25 ans, c’était une plateforme qui se voulait émancipatrice, nous rappelle Benoit Dupont. Aujourd'hui, les risques inhérents à son utilisation se multiplient. Les dangers ne sont toutefois pas les mêmes pour tous : ils varient en fonction du groupe socioéconomique auquel on appartient.
Benoît Dupont croit qu’on devrait prendre acte de ce qu’il désigne comme « la vulnérabilité différentielle » de certains groupes. Par exemple, les femmes sont beaucoup plus exposées à certaines pratiques de revenge porn (pornodivulgation en français) ou celle du deepfake qui consiste à transposer la tête ou le visage de quelqu'un sur le corps de quelqu'un d'autre. L’un des détournements le plus troublant est l'utilisation du deepfake pour faire de fausses vidéos pornographiques. On remplace le visage d’actrices de films pornos par celui de personnalités publiques.
Il faudrait donc que la cybersécurité soit adaptée aux divers degrés de risques. Cela implique, conclut Benoît Dupont, l’adoption de nouvelles approches; des approches qui devraient être orientée vers une cybersécurité plus axée sur l'humain.
Le 29 octobre dernier, Benoît Dupont et Matthieu Dugal étaient réunis pour discuter de cybersécurité dans le cadre de la série Repenser la vie.
Une collaboration Consortium santé numérique, In Fieri et Inven _T.
Catherine Hébert
Rédactrice scientifique
Comments