La cybersécurité et nous: des enjeux plus pertinents que jamais

La vie numérique d’une grande partie de la population a carrément explosé depuis le début de la pandémie. Plus les gens sont actifs sur le Web, plus ils sont exposés à différentes formes de cybermenaces. C’est dans le but de sensibiliser sa communauté étudiante et son personnel à l’importance d’adopter de bonnes pratiques que l’Université de Montréal relance sa campagne Réflexes numériques. Dans le cadre de cette campagne, le professeur de l’École de criminologie Benoît Dupont discutera de cybersécurité avec le journaliste Matthieu Dugal dans un entretien diffusé le jeudi 29 octobre à 12 h 30 en simultané sur Facebook et sur YouTube.

«On observe chez plusieurs le “biais d’optimisme”, qui nous amène à croire que les malheurs n’arrivent qu’aux autres, déplore Benoît Dupont, titulaire de la Chaire de recherche du Canada en cybersécurité. Or, les cyberattaques sont aujourd’hui en partie automatisées. Personne n’est ciblé et tout le monde l’est! Les fraudeurs ne choisissent pas d’attaquer un établissement particulier: ils frappent partout et se fraient un chemin là où les portes ne sont pas verrouillées.»

Dans un milieu comme celui de l’UdeM, quelles sont ces cibles vulnérables aux cyberattaques? Les jeunes, ceux-là mêmes qui ont grandi avec la technologie. «D’une part, les jeunes ont le faux sentiment d’avoir l’expertise nécessaire pour détecter les risques et les tentatives de fraude, précise le professeur. D’autre part, c’est purement mathématique: ils passent tout simplement beaucoup plus de temps en ligne.» Les membres du personnel de l’Université ne doivent pas baisser la garde pour autant: ils sont des cibles attrayantes notamment par leur accès aux ressources financières de l’Université et aux données personnelles des étudiants et étudiantes.

Être clair, concret et précis

Mais comment communiquer les risques sans créer trop d’angoisse et sans banaliser les faits? Selon le criminologue, il ne faut pas avoir peur de détailler des situations vécues. «Les études démontrent qu’il faut parler de la fréquence et de la gravité des incidents comme “Nous avons eu à l’UdeM un nombre X d’incidents cette année” ou encore “L’unité administrative Y a perdu des années de données à la suite d’une cyberattaque”, propose M. Dupont. Des statistiques, des témoignages et des exemples concrets rendent les incidents réels. Ils font en sorte que les gens prennent conscience qu’ils pourraient, eux aussi, en être victimes.»

Au-delà de communiquer les faits, il faut tout autant développer ce que Benoît Dupont nomme l’«autoefficacité» des usagers. «On ne peut pas se contenter de consignes floues. Il faut donner des balises claires et montrer de manière explicite comment se comporter en utilisant, par exemple, des captures d’écran.» Un travail ardu s’il en est, qui demande de s’adapter continuellement aux attaques en cours. Un peu à la manière… des fraudeurs eux-mêmes.

Inspirants, les cybercriminels?

La pandémie aura permis aux experts de constater une fois de plus à quel point les cybercriminels s’adaptent rapidement. «Ce sont des communicateurs très habiles, observe Benoît Dupont. Dès que des mesures sont décrétées dans un pays, ils modifient immédiatement leurs messages.» Sans parler de l’agilité dont ils font preuve en agissant au sein de groupes organisés en réseaux plutôt qu’en hiérarchies. «Cette organisation leur confère énormément de latitude. Les membres des groupes bénéficient de la confiance de leurs supérieurs, qui encouragent à leur tour improvisation et innovation.»

Est-ce à dire que nous devrions prier à l’autel des cybercriminels? «Plusieurs entreprises sont elles aussi organisées en réseaux. Les fraudeurs n’ont rien inventé! Ils s’inspirent d’ailleurs des gourous de la gestion et des entrepreneurs de la Silicon Valley. Je dirais que c’est plutôt eux qui puisent dans nos valeurs cardinales universitaires: l’innovation et la recherche!» conclut Benoît Dupont.

• Lire «La cybercriminalité au temps de la COVID-19», article de Benoît Dupont paru dans la revue Options politiques.