Nous sommes bientôt en 2020 et l’humain est toujours le maillon faible d’une cyberattaque. Trop de personnes manquent encore d’hygiène numérique et s’exposent sans le savoir à des risques facilement évitables. Puisque la cybersécurité est un enjeu national, ne devrait-on pas l’enseigner dès l’école ?
Le monde se divise en deux catégories : ceux qui continuent leur chemin face à une clé USB abandonnée, et ceux qui la ramassent avant de la brancher sur leur ordinateur sans trembler. À l’évidence, en matière de cybersécurité, nous n’avons pas tous les mêmes connaissances ni les mêmes réflexes.
Mais cette clé USB n’est qu’un exemple parmi d’autres. Certaines personnes ont en effet peu conscience des risques qu’elles prennent ou font courir à leur entreprise en semant leurs données personnelles sur Internet, en téléchargeant illégalement des fichiers, en multipliant les objets connectés ou en répondant à un simple e-mail. « En matière de cybersécurité, il y a un vrai manque de culture globale dans toute la société française, analyse Sylvie Blondel, Directrice des Ressources Humaines chez Stormshield. Je me souviens d’un voyage en train où le passager à côté de moi avait quitté son siège mais avait laissé son ordinateur allumé, avec sa session ouverte… Les gens ne se rendent pas comptent des risques parce que c’est un monde qui nous semble virtuel. Or, le virtuel a un impact dans la vie réelle. »
En matière de cybersécurité, il y a un vrai manque de culture globale dans toute la société française
Sylvie Blondel, DRH Stormshield
Et contrairement aux idées reçues, toute donnée est bonne à pirater. Ou à bloquer. « D’une part, certaines personnes pensent que leurs données ne sont pas intéressantes ou inutiles, donc que personne ne va les embêter. Et d’autre part, dans certaines attaques, ce ne sont même pas vos données elles-mêmes qui intéressent les assaillants, mais simplement de bloquer votre activité, prévient Xavier Prost, Responsable Formation Stormshield. Troisième possibilité, vous pouvez être même le dommage collatéral d’une attaque qui ne vous cible pas directement – mais qui va vous bloquer tout de même car vous n’êtes pas suffisamment protégé. En verrouillant ou en volant vos données, ces cyberattaques vont vous empêcher d’exercer votre activité. » Ransomware, spyware, scareware, trojan, credential stuffing… les virus informatiques peuvent prendre de nombreuses formes pour infecter vos réseaux et vos terminaux. Mais seriez-vous tombés dans le panneau si vous aviez été sensibilisés ?
Français, maths, histoire-géo, sport, anglais et… cybersécurité ?
Et si tout commençait dès l’école ? Pour s’assurer que chacun dispose des bases en matière de cybersécurité et changer les (mauvaises) habitudes, ne faudrait-il pas commencer à sensibiliser le plus tôt possible ? Après tout, préparer les enfants au monde de demain, cela signifie aussi les éduquer au numérique. Tout comme il existe déjà des cours de codage et de sensibilisation au langage informatique dans certaines écoles, on pourrait envisager des cours d’hygiène numérique, pour inculquer aux enfants les bons réflexes de cybersécurité. « Je suis intimement persuadée que l’école a un rôle à jouer dans l’éducation à la cybersécurité, à la fois pour comprendre comment fonctionne Internet mais aussi pour découvrir de nouveaux métiers », défend Sylvie Blondel. À condition de lever quelques freins… « Souvent les parents sont réticents car ils estiment que leurs enfants sont trop exposés aux écrans. Or, je pense qu’il ne faut pas chercher à supprimer les écrans, mais éduquer aux écrans. Les enfants baignent déjà dedans, autant qu’ils apprennent vraiment à s’en servir et à découvrir comment tout cela est fait ! »
Et la génération “Petite Poucette” décrite il y a quelques années par Michel Serres commence tôt. Une étude Statista sur la part des 8-14 ans qui utilisent un téléphone mobile en France en 2018 souligne à quel point ce terminal est ancré dans les habitudes. Ce que confirme Florian Bonnet, Directeur du Product Management chez Stormshield, qui intervient bénévolement dans des classes de primaire et au collège pour sensibiliser les plus jeunes à la cybersécurité. « Ces interventions m’ont appris que plus de 90% des enfants sont connectés, il n’y a pas de milieu social plus exposé qu’un autre », note-t-il.
Des enfants déjà hyperconnectés
Smartphone personnel ou parental, console de jeu, télévision, ordinateur du foyer… les enfants sont quotidiennement exposés aux écrans. Selon le baromètre du numérique 2018, le taux d’équipement en smartphone des Français de 12 ans et plus a très nettement progressé depuis 2011 (+58 points) pour atteindre 75% en 2018. Ils maîtrisent également l’art de télécharger de nouvelles appli, de jouer en ligne ou de communiquer sur les réseaux sociaux qui leur sont pourtant, en théorie, interdits. « Les enfants, sont aussi compétents que leurs parents, voire plus, pour se créer des comptes à gogo et transgresser les règles de déclaration de leur âge pour se créer un compte sur des réseaux sociaux ou accéder à des sites ou médias qui leur sont officiellement interdits », prévient Florian Bonnet.
Et ne pensez pas que le filtre du contrôle parental suffit ! Les contrôles parentaux mis en place sur les box ou ordinateurs ne sont souvent pas assez « fins ». À l’inverse, ils sont parfois trop restrictifs lorsque les élèves doivent faire des recherches sur Internet pour leurs devoirs. Résultat : ils finissent souvent par être désactivés.
Surtout, les enfants ont leur propre logique. Autant ils sont réticents à prêter leur stylo ou leur gomme à un camarade, autant ils partagent sans problème leur connexion internet et leurs identifiants ! « Lorsque je leur parle des risques, ils répondent souvent “mais je fais attention ! Je n’échange qu’avec des amis !”, sourit Florian Bonnet. Les fameux amis ! L’ami de mon ami de mon ami de mon ami… Mais connaissent-ils vraiment cet ami ? À leur âge, la notion d’amitié est souvent une relation transitive, donc très large. Sans parler des clés USB récupérées sur le chemin de l’école ou échangées entre eux pour parfois finir connectées au PC de leurs parents… »
Les enfants, une cible privilégiée des cybercriminels
Vous l’aurez compris, en matière de cybersécurité, les enfants ont une conscience à géométrie variable, même si certaines campagnes de sensibilisation semblent avoir porté leurs fruits. « Les enfants ont plutôt conscience des risques liés à la pédopornographie ou au cyber-harcèlement, note Florian Bonnet, mais ils sont extrêmement naïfs concernant les cyberattaques. »
Pour adresser des enfants ou adolescents, les attaquants développent des subterfuges (jeux gratuits, bonus gratuits sur leurs jeux favoris…) pour inciter à cliquer sur les liens
Florian Bonnet, Directeur du Product Management Stormshield
Les cybercriminels en jouent et adaptent leurs méthodes. « Là où d’ordinaire, ils se contentent d’envoyer des e-mails frauduleux ou de simples liens en espérant que l’utilisateur final cliquera dessus, pour adresser des enfants ou adolescents, les attaquants développent des subterfuges (jeux gratuits, bonus gratuits sur leurs jeux favoris…) pour inciter à cliquer sur les liens », avertit Florian Bonnet.
À ce stade de la lecture, vous envisagez sûrement de couper purement et simplement tout accès Internet à vos enfants. Et bien, vous auriez tort. « Cette interdiction serait de toute façon transgressée. Et en les privant d’accès à Internet, on priverait les enfants d’une richesse énorme d’informations et de facilités de communications, estime Florian Bonnet. C’est là que nous, professionnels du monde de la cybersécurité, avons un rôle à jouer. Celui d’éduquer nos jeunes aux risques auxquels ils sont exposés. »
Accompagner les professeurs pour démystifier la cybersécurité
De son côté, Xavier Prost estime que « si on veut toucher l’ensemble des enfants, l’initiative doit aussi se faire au niveau de l’État. Les entreprises peuvent accompagner les pouvoirs publics sur ces sujets pour identifier les messages forts à connaître et à diffuser ensuite dans les écoles. Mais le message doit être porté par l’État et les acteurs publics. »
Si les équipes pédagogiques ne connaissent pas elles-mêmes les bonnes pratiques, elles ne pourront pas les transmettre à leurs élèves.
Xavier Prost, Responsable Formation Stormshield
Ce qui signifie former les professeurs, qui ignorent souvent eux-mêmes les bases de l’hygiène numérique. « J’ai pu constater que l’on demande parfois aux élèves de faire des recherches sur Internet ou de visionner des films ou des documentaires sans préciser sur quels sites les trouver, déplore Florian Bonnet. Les enfants se contentent alors de chercher le premier site qui leur donnera l’information. Mais le site est-il sécurisé ? L’information est-elle la bonne ? Ils n’en savent rien… » « Pour moi, on part de zéro, tranche Xavier Prost. Les enseignants eux-mêmes sont trop peu sensibilisés au sujet. Or, si les équipes pédagogiques ne connaissent pas elles-mêmes les bonnes pratiques, elles ne pourront pas les transmettre à leurs élèves. »
Depuis quelques années, Stormshield sensibilise les enseignants aux enjeux de cybersécurité via le programme Stormshield Academy, dont les formations sont labellisées et reconnues SecNumEDU - Formation continue par l’Agence nationale de la sécurité des systèmes d'information (ANSSI). En plus de la formation des professeurs et de l’accès gratuit à des machines virtuelles, les établissements peuvent, s’ils le veulent, devenir un centre de certification Stormshield. « Notre objectif est que les établissements soient autonomes pour intégrer la cybersécurité dans leur cursus et dans leur démarche », explique Xavier Prost. Ces dernières années, on constate un engouement pour la cybersécurité. « Il y a trois ans, on avait 6 partenaires. Aujourd’hui on en a une cinquantaine. Nous avons notamment signé un partenariat national pour former les enseignants en BTS à nos produits et à la mise en place d’une politique de sécurité et de filtrage pour protéger des réseaux d’entreprise. » Certaines filières intègrent désormais la cybersécurité dans la conception de leur programme. Mais il s’agit de cursus spécialisés post-Bac… donc trop tard pour éduquer les enfants.
Un Permis Cyber sur le modèle du Permis Piéton
« Il est nécessaire de mettre en place une cyber-éducation ! Dès les classes de primaire, les enfants passent le permis piéton ; au collège ils passent ensuite le brevet informatique et internet (B2I). Pourquoi ne pas mettre en place un permis cyber ? », interroge Florian Bonnet. Mais à partir de quel âge sensibiliser les plus jeunes ? Pour Sylvie Blondel, cette éducation doit être menée tout jeune, en adaptant la pédagogie et le discours. « Éduquer au numérique, ce n’est pas simplement aller sur Internet, c’est donner les clés pour comprendre comment ça marche et découvrir des métiers de demain. Je pense qu’il faut avoir cette démarche assez tôt, au minimum en CM2, mais je pense qu’on peut aussi développer une pédagogie par le jeu avant, pour attirer l’attention et développer les premières briques de culture numérique chez les plus jeunes. » « Les sujets identifiés pour le primaire ne seront pas les mêmes au collège et au lycée. Il est nécessaire d’identifier différents messages en fonction de l’âge et des usages (cyberharcèlement, gestion de son identité en ligne et de sa vie privée, rapport aux réseaux sociaux…) puis intensifier les connaissances avec le temps », complète Xavier Prost.
Il existe déjà des initiatives pour éduquer les élèves au numérique dès le primaire, à l’image du Permis Internet pour les enfants. Ce kit lancé par la Gendarmerie nationale, la Police nationale, la Préfecture de Police et l’association AXA Prévention est destiné aux élèves de CM2. Il distille conseils et témoignages pour sensibiliser aux risques d’Internet : arnaques, images violentes, vie privée, fake news… Lancé en 2013, ce programme national affirme avoir déjà sensibilisé 2 millions d’enfants. Un premier pas, mais qui est loin d’englober l’ensemble des effectifs (6,7 millions d’élèves inscrits en primaire en 2017-2018), y compris tous les élèves de CM2 concernés.
À l’étranger, certains pays ont déjà inscrit la cybersécurité à leurs programmes, à l’image du Royaume-Uni, qui sensibilise les enfants dès 10 ans, ou de l’Australie, qui organise des Schools Cyber Security Challenges dans les lycées.
Éduquer les enfants à l’école… et à la maison !
Mais éduquer les enfants à la cybersécurité commence en réalité… chez soi ! « Les enfants doivent être éduqués dès le moment où ils ont accès à Internet. Or, un enfant a plus facilement accès à Internet chez lui, donc c’est à la maison qu’il faut l’accompagner. Aux côtés de l’école, c’est le cadre familial qui doit également jouer ce rôle », souligne Xavier Prost. Quand on y pense, l’éducation à la cybersécurité fait partie de l’éducation à la sécurité, au sens large. « Prenons l’exemple du Permis piéton et du Code de la route, poursuit Xavier Prost. Ce sont d’abord les parents qui apprennent aux enfants à marcher sur les trottoirs ou à regarder avant de traverser… L’école vient en complément et formalise cet apprentissage. Tout comme on explique à ses enfants qu’il ne faut pas parler aux inconnus dans la rue, on doit leur apprendre à ne pas parler à un inconnu sur Internet. Ce que l’on apprend dans le monde réel vaut aussi pour le monde cyber. »
« Les gens ne se rendent pas compte à quel point on est devenu fragiles, à quel point tout ce que l’on fait en ligne laisse des traces sur lesquelles nous n’avons pas de contrôle, parce que nos données sont enregistrées dans d’autres pays. Et cela peut avoir un impact. C’est ce qu’il faut enseigner dans les écoles et ailleurs : le virtuel a des conséquences réelles. Expliquer cela aux enfants est important, ainsi qu’aux parents, qui sont souvent à des années-lumière de ces enjeux. » Sans sombrer dans la paranoïa, il faut être suffisamment conscient de ces problématiques pour pouvoir être un utilisateur éclairé, et pas captif, du monde cyber.
Partant de ce postulat, ISSA France a lancé en octobre 2018 « Les As du Web », un livret pédagogique sur la cybersécurité. Imaginé sous le format d'un cahier de vacances et à destination des enfants de 7 à 11 ans, il permet d'identifier les risques du numérique et de s'en prémunir.
Cybersecurity is the new sexy?
Au-delà de l’aspect sécuritaire, l’éducation cyber est aussi une opportunité pour tous. La France ne dispose pas d’un vivier de compétences en cybersécurité suffisant. « L’un des moyens d’y remédier, c’est de parler de numérique et de cybersécurité dès l’école primaire. En Israël, on identifie les profils cyber à partir de 14 ans », soulignait Guillaume Poupard de l’ANSSI, dans une interview à l’Usine Nouvelle en janvier dernier.
« Il y a de nombreux postes à pourvoir en cybersécurité, confirme Sylvie Blondel, bien placée pour mesurer la pénurie de talents dans la filière. Mais les CPE et les personnes qui orientent les enfants ne connaissent pas forcément ces métiers, souvent récents et pensés comme très techniques. Or, nous ne sommes qu’au tout début de la transformation numérique, il faut donc absolument informer les plus jeunes sur ces métiers. En plus, travailler dans le domaine de la cybersécurité est assez “sexy” car c’est un métier où on protège des personnes. Cela peut parler à des jeunes des nouvelles générations qui cherchent plus de sens dans leur travail. »
