À moins que vous ne viviez reclus sous un rocher ou dans une grotte quelque part (et je ne porte aucun jugement, cela pourrait même être sympa), il est difficile d'ignorer la cybercriminalité rampante qui va de pair avec l'ère électronique dans laquelle nous vivons. La cybercriminalité a proliféré telle une étrange fleur numérique indésirable et, à mesure que la technologie numérique se développe, il en va de même pour la cybercriminalité. La montée en flèche de l'activité en ligne a transformé ce phénomène rare en une réalité quotidienne.
Espérons que vous n’avez jamais été victime de tels crimes, mais vous connaissez sûrement quelqu'un qui en a fait les frais, que ce soit à titre personnel ou dans un cadre professionnel. Les réseaux sont de plus en plus complexes. Tout est numérisé. Les équipements de l'Internet des objets (IdO) envahissent nos foyers sous de nombreuses formes, nous aspirons à la simplicité des achats en ligne, des opérations bancaires en ligne, des applications pour tout, et bien plus encore.
L'année 2022 a enregistré une victime de cybercriminalité toutes les 37 secondes en moyenne, pour un total de plus de 6 trillions de dollars de dégâts. C'est un trillion avec un 'T', laissez-moi vous aider à visualiser ce chiffre: 6.000.000.000.000 USD. C’est un montant considérable. Les experts estiment qu'en 2023, plus de 33 milliards de comptes seront compromis[1]. Je pourrais continuer à donner des statistiques et des chiffres effrayants, mais ce n'est pas le propos de cet article. Croyez-moi, l’heure est vraiment, vraiment grave et la situation risque d’empirer à moins que nous ne commencions à assumer une partie de la responsabilité et à agir en conséquence.
Alors, pourquoi semble-t-il si aisé pour les criminels de voler et de vendre nos données, de pénétrer nos réseaux, de s’emparer de notre argent et de rançonner nos fichiers? À mon avis, ils bénéficient d'une aide considérable, que ce soit de manière consciente ou non. Et c'est précisément l'objectif de cet article: exprimer mon opinion sur les points où réside une partie de la responsabilité et discuter des actions envisageables pour y remédier.
Commençons par éliminer la réponse évidente: certes, les cybercriminels sont les premiers responsables. Ils sont les auteurs des actes criminels et devraient être punis en conséquence une fois appréhendés. Je ne souhaite en aucun cas justifier leurs actions, ni minimiser l'impact de leurs actes illégaux.
Mais, à mon humble avis, attribuer l'intégralité du blâme aux seuls cybercriminels est une façon un peu simpliste d'aborder ce problème. Ou du moins ce n'est pas toute l'histoire, car, en réalité, le blâme peut être partagé par trois acteurs clés, soit: les utilisateurs, c'est-à-dire chacun d’entre nous, les entreprises qui conçoivent et vendent le matériel et les logiciels, ainsi que les gouvernements ou les autorités de régulation. Laissez-moi vous expliquer.
Utilisateurs: Déconnectés et non protégés
Commençons par nous tous, les utilisateurs finaux et clients de tous ces appareils connectés et applications. Imaginez que vous partiez en vacances et laissiez votre porte d'entrée ouverte, avec vos objets de valeur exposés, le coffre-fort ouvert et une grande pancarte disant «Parti en vacances pendant un mois» dans votre jardin, seriez-vous surpris de retrouver tous vos biens disparus à votre retour? Même si vous étiez assuré, vous ne seriez probablement pas indemnisé en raison d'une clause de négligence grave dans votre contrat d'assurance. Bien sûr, la majeure partie du blâme irait aux voleurs qui ont commis l'acte, mais tout juge digne de ce nom vous attribuerait probablement une part de responsabilité dans cette affaire. De toute façon, vous ne feriez jamais ça, n'est-ce pas? Et pourtant, c'est fondamentalement ce que nous faisons chaque jour avec nos comptes en ligne et nos données! En ce qui concerne les appareils connectés, nous les traitons essentiellement comme un tout nouveau coffre-fort que nous venons d'acquérir, mais laissons la combinaison par défaut à quatre zéros activée, à la suite de quoi nous sommes surpris de voir quelqu'un l’ouvrir facilement et voler nos objets de valeur.
Nous créons des comptes en ligne sans prendre les précautions de sécurité minimales ni adopter les meilleures pratiques: mots de passe complexes et uniques, activation des systèmes d’authentification à deux facteurs, mises à jour régulières, évitement d'interactions avec des entités numériques inconnues, manque de compétences en matière de protection numérique, et j’en passe. En fait, nous traitons l'hygiène numérique comme un abonnement à une salle de sport auquel nous avons souscrit sans jamais l’utiliser.
Il est vrai que la sécurité numérique peut passer pour une tâche intimidante, et, soyons honnêtes, elle peut s'avérer assez fastidieuse, c'est pourquoi de nombreuses personnes choisissent de l'ignorer complètement. Mais suivre simplement les principes de base est plus facile que de vous assurer que votre maison est sécurisée avant de la quitter, et l'application de ces principes de base vous rendrait plus protégé que la plupart des gens, faisant de vous une cible plus difficile à atteindre. Il est important de garder à l'esprit que la plupart des cybercriminels ne vous ciblent pas personnellement, mais jettent un large filet et visent les proies faciles. Alors faites un petit effort pour passer entre les mailles de ce filet, cela vous assurera la sécurité appropriée dans votre vie numérique, et, par conséquent, votre tranquillité d'esprit.
Enfin, nous, les consommateurs, avons développé un appétit insatiable pour de nouveaux appareils connectés et des applications et logiciels toujours plus performants. Cette demande constante pour de nouveaux produits nous amène à notre deuxième coupable dans ce labyrinthe de la sécurité numérique: les entreprises qui conçoivent tous ces nouveaux produits, les programment et les mettent sur le marché.
Entreprises: course pour la mise sur le marché au détriment de la sécurité
Nous savons pertinemment que les marchés capitalistes libres sont régis par l'offre et la demande. Ainsi, lorsque la demande pour un certain type de produit est élevée, les entreprises se précipitent pour la satisfaire et essaient d'être les premières à commercialiser de nouveaux produits pour de nombreuses raisons. En effet, être généralement le premier à proposer un produit peut conférer un avantage concurrentiel de taille, car cela permet à une entreprise de capter une plus grande part de marché, de créer une reconnaissance de la marque, de fidéliser la clientèle et de rendre difficile aux concurrents de rattraper leur retard. Par ailleurs, être la première sur le marché permet à une entreprise de fixer le prix et de bénéficier potentiellement de marges de profit plus élevées avant que les concurrents n'entrent sur le marché et ne proposent des offres alternatives. Enfin, être un pionnier sur un marché permet aux entreprises de façonner les préférences des consommateurs et de s'établir comme innovateurs.
Sur base de ce qui précède, et dans notre monde à la pointe de la technologie où tout évolue rapidement, les entreprises se trouvent souvent prises entre deux priorités concurrentes: assurer la sécurité de leurs produits contre les cyberattaques et être les premières à les mettre sur le marché. Malheureusement, le désir de gagner un avantage concurrentiel et d'établir une domination l'emporte souvent sur l'importance de protéger les données et la vie privée des utilisateurs, poussant ceux-ci à négliger les mesures de sécurité solides et à laisser leurs produits vulnérables aux menaces cybernétiques.
Il convient de souligner que les tests rigoureux de cybersécurité sont souvent coûteux pendant la phase de pré-lancement sur le marché, que ce soit pour les dispositifs matériels ou les logiciels. Par conséquent, au lieu d'investir massivement dans des tests approfondis, les entreprises optent souvent pour une approche rapide et risquée, en mettant leurs produits sur le marché prématurément et en comptant sur des mises à jour ultérieures du logiciel pour corriger les vulnérabilités. Cela équivaut à envoyer un navire en mer sans avoir vérifié correctement s'il y a des fuites, en espérant pouvoir les réparer une fois en mer.
Pour toute personne possédant un ordinateur portable, un téléphone mobile ou une tablette avec de nombreuses applications, l'afflux régulier de mises à jour est une occurrence familière. Si vous examinez les descriptions des mises à jour, vous verrez probablement des messages tels que «amélioration de l’application» ou «élimination des bogues». L'art de la langue de bois dans le monde de la technologie ne connaît aucune limite.
Cependant, derrière ces déclarations en apparence anodines, la réalité est souvent très différente: «Nous avons découvert une autre vulnérabilité ou faille de sécurité, et nous la corrigeons rapidement.» Cette farce grotesque met en évidence la triste réalité: de nombreux produits arrivent sur le marché avec des vulnérabilités, exposant ainsi les utilisateurs à des risques et nécessitant des mises à jour constantes pour les résoudre.
Néanmoins, une question cruciale se pose: pourquoi les entreprises compromettraient-elles leurs parts de marché et prendraient-elles le risque de retarder le lancement de leurs produits, sacrifiant potentiellement des revenus importants, simplement pour prioriser la sécurité de leurs offres? Après tout, en l’absence d’obligations légales contraignantes, leur principal objectif est, et sera toujours, de maximiser les profits, ce que nous savons tous être la force gravitationnelle qui guide l'univers capitaliste des entreprises.
Mais n’ayez crainte, chers lecteurs, car nous approchons maintenant du troisième et dernier coupable de notre expédition d'attribution des responsabilités: les gouvernements et autorités réglementaires, les gardiens de l'ordre ou, dans ce cas, les propriétaires absents.
Gouvernements: assoupis sur la législation cybernétique
Les gouvernements et autorités réglementaires sont censés être l'équivalent de shérifs numériques, établissant et faisant respecter les lois de la jungle numérique dans laquelle nous vivons, aidant à éduquer le public sur les droits et les torts numériques et établissant des coopérations avec d'autres nations pour s'assurer que les cybercriminels ne s’échappent pas. Après tout, il n'est pas facile de capturer un criminel informatique lorsqu'il peut se téléporter d'une cachette virtuelle à une autre, ne laissant derrière lui que des pixels.
À l’échelle nationale, les gouvernements et les autorités réglementaires doivent adopter une législation exhaustive en matière de cybersécurité, définissant les obligations de toutes les parties prenantes et des sanctions en cas de non-conformité. Cela inclurait la mise en place de réglementations contraignant les entreprises à respecter un niveau minimal de tests de cybersécurité sur leurs produits, qu'il s'agisse de matériel ou de logiciels, avant de les mettre sur le marché, et à veiller à ce que la pression réglementaire les incite à prendre la cybersécurité autant au sérieux que leurs profits trimestriels. Il est temps de faire comprendre aux entreprises que la cybersécurité n'est pas une simple réflexion à postériori, mais un ingrédient essentiel qui doit être intégré dans leurs produits dès le départ.
Et comme la lutte pour la sécurité numérique ne peut pas être remportée par la seule législation, les gouvernements devraient aussi promouvoir l'éducation à la cybersécurité grâce à des campagnes de sensibilisation du public conçues pour secouer les utilisateurs. Ils devraient également collaborer avec les établissements d'enseignement pour intégrer la cybersécurité dans les programmes scolaires à différents niveaux. Enfin, ils devraient s'associer avec des experts, des leaders de l'industrie et des groupes de défense pour développer et diffuser des supports éducatifs.
Sur le plan international, les gouvernements devraient coopérer avec d'autres nations pour mettre en place et standardiser les lois sur la cybernétique, partager des renseignements et collaborer sur des enquêtes pour rendre le cyberespace plus difficile à vivre pour les criminels.
En outre, les entreprises technologiques de par le monde devraient être tenues responsables des violations de données, ce qui les inciterait à améliorer continuellement leurs mesures de cybersécurité. En établissant des directives claires et en incitant les entreprises à investir dans des pratiques de cybersécurité robustes, les gouvernements peuvent favoriser une culture de vigilance et d'amélioration dans l'industrie technologique.
Il semblerait donc que nous ayons tous besoin d'un coup de pouce dans la bonne direction et d'une prise de conscience quant à la gravité de la situation pour garantir un environnement numérique plus sûr pour tous et compliquer la tâche aux cybercriminels. Ce n'est qu’en conjuguant nos efforts que nous pourrons construire un monde numérique plus sûr pour les générations futures.
Bien que je n'aie pas donné trop de détails dans cet article, il est essentiel de reconnaître qu'il existe des précautions minimales que les utilisateurs et les entreprises peuvent adopter pour renforcer leur défense contre les cyberattaques et devenir plus protégés que la plupart des acteurs dans ce secteur. Ces mesures seront explorées dans un prochain article.
En conclusion, rappelez-vous que la cybersécurité n'est pas une option, mais un élément essentiel au bon fonctionnement et à la préservation de notre société numérique. La responsabilité de la protéger repose à la fois sur les épaules des utilisateurs, des entreprises et des gouvernements.
Instagram: @sehnaoui | Twitter: @sehnaoui
Lire aussi
Commentaires