Laurent Verdier (Cybermalveillance.gouv.fr) : « Le cliché du hacker à capuche omnipotent est encore trop vivace »

Créé en 2017 par l’ANSSI et le ministère de l’Intérieur, Cybermalveillance.gouv.fr est le dispositif national d’assistance aux victimes d’actes de cybermalveillance, de prévention et sensibilisation aux risques numériques et d’observation de la menace. Ses publics sont les particuliers, les entreprises (TPE-PME-ETI), les associations et les collectivités territoriales.

Cybermalveillance.gouv.fr a trois missions principales :

– Assister les victimes d’acte de cybermalveillance, en assurant un service d’assistance en ligne et une mise en relation avec des professionnels en sécurité numérique référencés sur la plateforme ;

– Prévenir les risques et sensibiliser aux bonnes pratiques en sécurité numérique, avec la production de différents contenus, et à travers l’accompagnement à la sécurisation des systèmes d’information des publics professionnels par des prestataires labellisés « ExpertCyber » ;

– Observer le risque numérique afin d’accroître la connaissance de la menace et ainsi adapter les actions d’assistance et de sensibilisation.

Echange avec Laurent Verdier, Directeur Formation – Pédagogie et Sensibilisation de Cybermalveillance.gouv.fr, pour comprendre l’état des menaces cyber en France et les bonnes pratiques à mettre en place tant pour les particuliers que pour les acteurs de l’inclusion numérique.

Quel constat faites-vous sur l’état des menaces cyber en France ? Quelles sont les attaques les plus fréquentes ? Les publics les plus touchés ?

Ces dernières années, nous notons une augmentation et une sophistication des actes de cybermalveillance sous toutes leurs déclinaisons, et ceci pour nos trois publics. Un cap a néanmoins été franchi, nous semble-t-il, lors des confinements ayant marqué la crise sanitaire Covid-19 (2020-2021) et durant lesquels nos activités numériques se sont transformées et surtout amplifiées. Déjà très imaginatifs avant cette période, les attaquants profitent aujourd’hui d’une dimension numérique qui concerne (presque) toutes nos activités pour démultiplier des cyberattaques de plus en plus sophistiquées et contextualisées. Grâce à notre parcours d’assistance victime accessible directement sur la page d’accueil de Cybermalveillance.gouv.fr par le biais duquel nous avons pu prendre en compte plus de 950.000 demandes d’assistance à ce jour, nous avons légitimement une vue assez fine sur ce qui cible nos publics.

Le premier constat est que les particuliers, les entreprises ainsi que les collectivités territoriales sont tous ciblés et donc tous concernés par ces attaques.

Pour le grand public, les principales menaces que nous identifions sont les suivantes :

– l’hameçonnage ou phishing en anglais : un appel téléphonique, un SMS ou mail frauduleux destinés à tromper la victime pour l’inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance.

– le piratage de compte en ligne : la prise de contrôle voire l’utilisation frauduleuse d’un compte au détriment de son propriétaire légitime.

– une forme particulière d’hameçonnage qui est l’arnaque au faux support technique, qui fait encore de trop nombreuses victime malgré son ancienneté !

Quels sont les quelques réflexes simples que les personnes doivent avoir pour se prémunir contre ces attaques ?

Pour ceux qui consultent nos contenus régulièrement, ils pourront l’attester, nous fournissons de nombreuses recommandations car nous tentons de nous adapter, et donc de fournir des éléments de prévention à nos publics, sur de multiples méthodologies d’attaques. Et il est déterminant aujourd’hui d’adapter ces bonnes pratiques à des usages spécifiques comme le téléphone portable, les réseaux sociaux ou encore la nécessaire séparation des usages professionnels et personnels par exemple.

Néanmoins, de manière transverse nous recommandons fortement à nos publics d’appliquer au quotidien de bonnes pratiques en matière de :

– gestion de ses mots de passe : utiliser des mots de passe différents et complexes pour chaque site et application.

– gestion de ses mises à jour : appliquer de manière régulière et systématique les mises à jour de sécurité des système d’exploitation et logiciels installés sur nos différents équipements (ordinateurs fixes et portables, tablettes, smartphones, objets connectés…).

– gestion de ses sauvegardes : Savoir où sont stockées ses données, leur degré de sensibilité et effectuer régulièrement des sauvegardes de celles-ci sur un support et à une fréquence adaptée.

D’une manière plus générale, et je pense ici plus particulièrement à l’hameçonnage, nous conseillons également de se méfier de toute sollicitation (mail, sms, téléphone…) jouant sur l’urgence, le stress, la culpabilité ou encore faisant miroiter l’affaire du siècle. En trois mots : réfléchir avant d’agir !

Que faire si on est victime d’une attaque cyber ?

La première chose (et sans doute la plus dure !) est de recouvrer son calme. Même si l’on est affolé à l’idée d’avoir fait une grosse bêtise ou que c’est la panique suite à un virement frauduleux, seuls la lucidité et un minimum de calme sont nécessaires pour éviter d’aggraver la situation. En tout état de cause, il ne faut pas rester seul et tenter d’échanger avec des proches ou des tiers de confiance qui pourront écouter et conseiller. Bien sûr, ne pas hésiter à venir chercher des informations ainsi qu’une assistance adaptée sur la plateforme Cybermalveillance.gouv.fr.

Beaucoup de nos lecteurs sont des “aidants numériques”. Êtes-vous en lien avec l’écosystème de la médiation et de l’accompagnement numérique ?

Dès son lancement, la plateforme Cybermalveillance.gouv.fr a été voulue pour proposer des contenus accessibles et compréhensibles par le plus grand nombre. Nous tenons ainsi ce pari éditorial depuis le début avec des productions pédagogiques et illustrées, des textes sans acronymes, sans nom de technologies ou encore sans anglicismes, des synthèses sous formes d’infographie… Bref des supports adaptés au plus grand nombre : l’inclusion est donc en quelque sorte dans notre ADN !

Mon premier contact avec cet écosystème remonte à notre participation au NEC (Numérique en Commun[s]) local de la Rochelle en octobre 2020 intitulé « Tous aidants ». J’ai pu alors constater que ces acteurs utilisaient déjà massivement nos contenus et les appréciaient. Lors de notre première participation au NEC national d’Angoulême en 2021, de nombreux médiateurs m’ont fait part de leur plaisir de voir enfin quelqu’un de chez nous « en chair et en os » et que nous devrions intervenir plus régulièrement au cours de leurs évènements. Ils m’ont également fait comprendre que nos contenus, bien qu’accessibles, demeuraient majoritairement trop denses pour leurs usagers les plus en difficulté.

Cette dernière idée nous a accompagnés jusqu’à la réalisation de la Mallette Cyber. Depuis, nous avons démultiplié les interventions pour cet écosystème en présentiel dès que c’est possible ou en distanciel. Nous y trouvons toujours un accueil très chaleureux et des remarques constructives… Et surtout un vrai sens de l’accompagnement.

Quels outils mettez-vous à leur disposition pour les aider à accompagner leurs publics sur ces sujets ?

L’ensemble de nos ressources est à l’entière disposition des aidants numérique en téléchargement gratuit. Nos supports sont produits sous licence Etalab.v2 et sont donc librement réutilisables, diffusables (et pour certains personnalisables) à condition d’en respecter la source. Les plus appréciés par les médiateurs sont le Kit de sensibilisation, le Cyber guide famille, l’édition limitée des Incollables que nous avons co-produit avec notre membre E-enfance ou encore nos vidéos de sensibilisation.

Avec l’arrivée de l’ANCT au sein du dispositif en janvier 2022, nous avons travaillé plus particulièrement en lien avec le Programme Société Numérique afin de concevoir un outil pleinement adapté aux professionnels de l’inclusion et de la médiation et comprenant deux objectifs principaux :

– Fournir à l’aidant des supports explicatifs lui permettant de s’acculturer ou d’actualiser ses connaissances sur les actes de cybermalveillance les plus prégnants pour les particuliers ainsi que nos recommandations adaptées à ceux-ci.

– Proposer à ce même aidant des supports de médiation originaux ainsi qu’une activité pédagogique pour transmettre et illustrer ces connaissances / recommandations.

Nous avons en outre profité du NEC 22 à Lens pour collecter les besoins opérationnels des médiateurs numériques par le biais d’un formulaire en ligne relayé par l’ANCT, la MEDNUM… et Les Bons Clics ! C’est forts de 684 réponses exploitables que nous avons construit le cahier des charges de la Mallette Cyber. Après une conception en lien avec l’écosystème de la médiation numérique (encore merci aux médiateurs ayant testé notre version béta l’été dernier !), nous avons lancé la Mallette Cyber à l’occasion du NEC 23 Bordeaux où, devant l’affluence enregistrée à notre corner, nous avons eu le sentiment de répondre à un vrai besoin !

Sous son versant physique, la Mallette Cyber est composée :

– d’un guide pédagogique destiné à l’aidant afin d’appréhender notre démarche pédagogique, de s’acculturer avec nos derniers supports et de découvrir les conseils d’utilisation de l’activité pédagogique (jeux de cartes).

– de supports de médiation conçus pour transmettre de manière simple les éléments clés sur les principales menaces et les bonnes pratiques pour s’en prémunir.

– de cartes avec un tapis de jeu permettant de monter un atelier pour échanger avec les usagers.

– d’un support composé d’infographies à remettre à l’usager à l’issue de l’entretien / l’atelier et qui pérennise les notions clés évoquées.

Le versant numérique de la mallette est quant à lui constitué par une rubrique dédiée aux professionnels de la médiation et que nous avons mise en ligne sur Cybermalveillance.gouv.fr toujours lors du NEC. Cette page permet un accès ciblé à nos ressources déjà connues et utilisées par les aidants, aux liens de téléchargement des plans de la mallette physique cités plus haut, à une simulation de notre parcours d’assistance victime, ainsi qu’aux ressources de nos partenaires.

Les plans de la Mallette Cyber (qui sont également téléchargeables à partir de notre compte La Base) sont disponibles à un format « prêt à l’emploi » mais également à un format « fabricant » adapté aux makers / Fablabs / imprimeurs locaux. Ils sont accompagnés par des guides d’impression / fabrication.

Vous développez des contenus de sensibilisation destinés aux jeunes. Cette population est-elle confrontée à des risques numériques spécifiques ? Quelle est la bonne manière d’aborder ce sujet avec eux ?

Depuis quelques années déjà, nous proposons une rubrique sur l’accompagnement et la sensibilisation des jeunes permettant d’accéder à des ressources gratuites dont nous soutenons les contenus ou auxquels nous avons contribué. Quotidiennement exposés aux outils numériques, mais bien souvent peu conscients des risques encourus dans leurs pratiques, les jeunes sont eux aussi des cibles potentielles (cyberharcèlement, vol de données personnelles, piratage de comptes en ligne…) d’où l’importance de les sensibiliser dès le plus jeune âge.

Comment dépasser les craintes que beaucoup de personnes ont vis-à-vis des risques numériques (qui peuvent les freiner dans le développement de leur usage numérique) ?

Comme dit précédemment, il est important de rappeler que nous ne sommes pas des professionnels de l’inclusion et de la médiation numérique. Il est en effet capital de laisser le soin à un médiateur d’adapter nos éléments pour les transmettre en proximité et de manière interactive à un usager en difficulté, ceci avec son savoir-faire d’accompagnant et sa connaissance du contexte propre à chaque individu.

Néanmoins, notre expérience de la sensibilisation acquise auprès des publics nous fait aujourd’hui travailler autours de trois axes principaux qui permettent selon moi, de dépasser ces craintes :

– Expliquer simplement et en l’illustrant quels sont les grands principes sur lesquels reposent les cyberattaques / arnaques les plus courantes aujourd’hui.

– Y associer les risques et impacts possibles que peuvent inclure ces agissements tant au niveau personnel qu’à celui de son organisation / entreprise quand on a une activité professionnelle ou associative.

– Indiquer à l’utilisateur, en leur donnant du sens, quelles bonnes pratiques il peut mettre en œuvre au quotidien pour mieux se protéger sans omettre de lui fournir des conseils pour réagir si jamais, malgré tout, il est victime.

Dans tous les cas de figure, il me semble important de dédramatiser, de démystifier quand cela est nécessaire (le cliché du « hacker à capuche » omnipotent est encore trop vivace !) et d’orienter l’utilisateur vers un numérique de confiance. J’invite également tous les médiateurs à profiter d’un évènement annuel et collectif comme le Cybermoi/s pour inciter leurs usagers à devenir « #CyberResponsable » !

Les Bons Clics

8