Repenser la cybersécurité en partant de l’humain

À l’origine de ce cours en ligne ouvert à tous se trouve une longue collaboration entre des chercheurs issus de disciplines variées, allant du droit à la criminologie en passant par la science politique, l’informatique et le génie. «Cela fait près de cinq ans que nous travaillons ensemble pour dépasser l’idée reçue selon laquelle la cybersécurité serait exclusivement un domaine technique», explique Benoît Dupont, professeur à l’École de criminologie de l’Université de Montréal et titulaire de la Chaire de recherche du Canada en cyberrésilience et de la Chaire de recherche en prévention de la cybercriminalité. 

Ce travail collectif s’inscrit dans un vaste projet de recherche interuniversitaire réunissant plus de 40 chercheuses et chercheurs de l’Université de Montréal, l’Université d’Ottawa, l’Université Carleton, l’Université Queen’s et l’Université Brock ainsi que du Collège militaire royal du Canada. Le cours en constitue l’un des principaux héritages pédagogiques. «L’idée était de cristalliser des résultats de recherche et des perspectives interdisciplinaires, puis de les rendre accessibles à des personnes qui ne travaillent pas nécessairement en recherche, mais qui sont au début de leur trajectoire professionnelle», précise-t-il. 

«On a longtemps présenté la cybersécurité comme un sujet réservé aux ingénieurs et aux spécialistes des technologies, alors qu’en réalité elle touche tout le monde», poursuit le chercheur. Le cours répond ainsi à un double manque: d’un côté, la rareté des apprentissages consacrés à la cybersécurité dans les cursus non techniques; de l’autre, l’absence de contenus en sciences sociales dans les formations techniques en cybersécurité.  

L’un des fils conducteurs du cours est le facteur humain, souvent présenté comme le «maillon faible» de la cybersécurité. Une vision que le CLOT invite à nuancer. «Oui, l’humain est un vecteur de vulnérabilité, mais il est aussi un atout majeur. Le problème, ce n’est pas l’humain en soi, c’est le fait que les technologies de sécurité sont souvent mal adaptées à ses besoins», souligne Benoît Dupont. 

Plutôt que de culpabiliser les utilisatrices et utilisateurs, la formation propose de partir de leurs pratiques réelles, de leurs contraintes organisationnelles et des cadres juridiques existants. «Une cybersécurité où ce sont les humains qui doivent se plier aux technologies est une cybersécurité qui a raté ses cibles», affirme-t-il. Le cours défend l’idée que les systèmes de sécurité doivent être conçus à partir des besoins humains et non l’inverse. 

Cette approche permet de mieux comprendre comment naissent les vulnérabilités, mais aussi comment les connaissances issues des sciences sociales, du droit ou de la psychologie peuvent contribuer à les réduire de manière durable et réaliste. 

Dès le premier module, le cours introduit la notion de cyberrésilience, présentée comme un nouveau paradigme. «Le terme cybersécurité est trompeur parce qu’il laisse croire qu’on pourra un jour éliminer tous les risques. Mais on n'arrivera sans doute jamais, malheureusement, à être totalement en sécurité en ligne à cause de la complexité des technologies, de la multiplicité des failles qui perdurent», fait observer Benoît Dupont, pour qui la cyberrésilience est tout aussi importante.  

La cyberrésilience repose sur un constat simple: dans un environnement numérique complexe, certaines attaques réussiront malgré toutes les mesures de protection mises en place. «Il s’agit alors d’accepter que la sécurité ne soit jamais absolue et de se préparer à vivre avec cette réalité», dit-il. Cette approche met l’accent sur la capacité des organisations et des sociétés à résister aux incidents, à s’en remettre et à s’adapter. «C’est une posture plus adulte, plus réaliste, qui nous oblige à réfléchir à nos procédures, à notre état d’esprit et à la manière dont nos systèmes sont conçus», ajoute Benoît Dupont. 

Ne demandant aucun prérequis et volontairement introductif, le cours La cybersécurité centrée sur l’humain: enjeux politiques, juridiques et comportementaux vise avant tout à développer un nouvel état d’esprit. «Ce que les participantes et participants vont en retirer, c’est une sensibilité aiguisée à la cybersécurité, une vision à 360 degrés qui tient compte des utilisateurs, des cadres juridiques, des menaces et même des enjeux démocratiques», mentionne le chercheur. 

Le cours ne prétend pas former des experts, mais plutôt offrir un socle de connaissances permettant d’aller plus loin. «C’est un large tout d'horizon qui ouvre ensuite la porte à des approfondissements plus spécialisés», conclut-il.