Notes et transcriptions du cours “Défis et enjeux de la cybersécurité” proposé par l' UBS1) sur la plateforme FUN MOOC.
Introduction séquence 2
Deuxième semaine consacrée à la cybersécurité où nous envisageons le désir de protection de la vie privée, désignée par Data Privacy, comme un moyen d’amener le citoyen à une posture favorable à la cyber sécurité. Avant d’aller plus avant dans l’exposé du contenu de la semaine, il est important de définir les termes utilisés et d’expliquer nos choix.
Le citoyen
On a fait le choix du terme « citoyen » pour englober toutes les facettes des traces numériques qui concerne un même individu. Un citoyen est à la fois :
Un utilisateur d’outils informatiques dans le cadre de sa vie personnelle (comme son smartphone, un ordinateur familial, une tablette, des objets connectés) et aussi dans le cadre de son métier ou de ses études (ordinateur de bureau, intranet dédié, appareils professionnels connectés, logiciels spécifiques, etc.). À noter que cette utilisation professionnelle des outils et solutions informatiques doit être envisagée indépendamment du fait que l’utilisateur puisse, ou non, disposer d’une expertise et d’une connaissance des process et actions de cybersécurité ou de cyberdéfense.
Un habitant d’une collectivité dont il est l’administré et le bénéficiaire de services publics gérés aux différentes échelles du territoire (la santé, l’enseignement, les centres aérés, les bibliothèques, l’animation culturelle, la mobilité, la mise à disposition d’énergie, l’eau, la gestion des déchets, la protection de l’environnement).
Un gouverné qui vote et élit des représentants locaux, régionaux et étatiques (s’il s’est inscrit sur les listes électorale).
Une personne insérée dans des tissus relationnels familiaux (il est parent/enfant, frère/sœur, oncle/tante) et dans des tissus relationnels amicaux (copains de classe, collègues de boulot, membres d’un club sportif, adhérent d’une association caritative, etc.). Et ces relations sociales existent dans le monde réel et se poursuivent dans le monde virtuel, et inversement du monde virtuel au monde réel.
Un consommateur d’offres de son territoire de résidence (alimentation, sports et loisirs).
Un acheteur qui utilise de plus en plus sa carte bancaire ce qui permet la géolocalisation et la temporalisation exacte de ses achats, ce qui permet de savoir s’il les a fait en magasin ou plutôt en ligne, avec peut-être une livraison à domicile (ce qui implique de connaître son adresse postale précise).
Un employé d’une organisation qui peut être l’Etat, une collectivité territoriale, une entreprise privée, une structure appartenant au secteur associatif.
Nous parlerons donc du citoyen, plutôt que de l’usager, du consommateur ou de l’employé, puisque justement toutes les facettes de la vie de l’individu sont alors prises en compte, englobées par la dénomination citoyen.
En définitive, le citoyen est un terme générique qui permet de penser à tous les profils possibles de données qui peuvent être collectées, traitées et archivées, puis retraitées à la lumière d’autres informations, à propos d’un même individu. Et comme le rapide listing fait ici l’a montré, il ne s’agit pas que des données qu’il produit lui-même sciemment lorsque par exemple il poste un commentaire sur un réseau social numérique.
Ce regard volontairement généraliste du citoyen permet d’éviter le piège dangereux d’une vision restreinte de la cyber sécurité selon laquelle elle ne concernerait que les services informatiques et les informaticiens.
Data Privacy concern
On a fait le choix du sujet de la protection de la vie privée du citoyen pour une approche plus inclusive de la cyber sécurité.
Pour éviter l’écueil d’une cyber sécurité restrictive et au contraire élargir le cercle des personnes intéressées par les sujets de la cybersécurité, il est pertinent d’aborder le sujet de la protection de la vie privée.
Protéger son intimité et limiter les informations qui sont collectées sur un individu et qui permettent de le profiler, de le tracer est une manière à la fois pertinente et plus facile pour embarquer des personnes dans la réflexion et dans l’action cybersécuritaire. En effet, le sujet de la vie privée concerne chacun et tous. Ces dimensions individuelles et personnelles transforment le sujet de la cybersécurité, initialement réduit à un cercle de spécialistes, en un sujet de société, plus englobant et plus inclusif.
Ainsi, pour celui qui souhaite sensibiliser à la cause cyber, parler de Data Privacy, i.e. le désir de protéger la vie privée, favorise le ralliement de plus de participants que s’il proposait des sujets plus techniques. Cette approche par la vie privée et l’intime rend la cyber sécurité plus intéressante et plus mobilisatrice parce qu’elle apparaît alors comme immédiatement plus utile et plus bénéfique dans les activités personnelles de l’individu-citoyen. Or, par effet ricochet, cette stratégie de sensibilisation a des effets positifs dans le cadre des activités professionnelles vis-à-vis des organisations employeures.
Enfin, le sujet de la Data Privacy permet de poser une passerelle entre les responsables de la promotion de la cyber sécurité et les publics des non informaticiens et des personnes initialement peu intéressées par ces questions.
Objectifs de la séquence 2
Comprendre pourquoi la cybersécurité est un sujet parfois incompris et délaissé. Ceci va nous amener à évoquer les représentations usuelles et partagées quand on parle de cyber risque en se penchant sur la place des fictions, et en considérant le fait qu’il y a un manque de publicisation des attaques qui existent réellement.
Découvrir le concept de Data Privacy et ses limites pratico-pratiques (le Data Privacy Paradox). La Data Privacy est le désir de protéger sa vie privée et les données qui la décrivent. Mais si ce désir existe, il n’est pas si simple et systématiquement concrétisable. Il y a toujours des écarts entre ce que l’on déclare vouloir garder privé et ce que nous dévoilons de nous-même sur Internet (i.e. le Data Privacy Paradox).
Auto-évaluer ses propres croyances et désirs de Data Privacy. S’il existe des définitions juridiques précises sur la notion des données à caractère personnel, nous avons chacun notre propre évaluation de ce qui est et doit rester personnel. Pour prendre la mesure de ces variations individuelles dans nos croyances et nos souhaits de protection de notre vie privée, nous vous proposons une enquête facultative dans les activités de la semaine. Celle-ci est l’occasion de manière bienveillante et informative de s’auto-évaluer sur l’importance qu’on accorde à ce sujet, mais aussi de relever les usages que nous avons au vu de notre plus ou moins grande dépendance à internet et à nos téléphones intelligents.
Voir l’activité: Les datas personnelles pour plus de cybersécurité… Donnez votre avis et participez à l’enquête: https://fr.surveymonkey.com/r/DATAME2021
Envisager la Data Privacy pour sensibiliser et agir en faveur de la cybersécurité. De nombreuses attaques cyber utilisent les vulnérabilités humaines, via l’exploitation des biais cognitifs que nous avons tous en tant qu’êtres humains, et via l’exploitation de nos souhaits de partage sur les réseaux sociaux.
Considérant ces vulnérabilités humaines qui nous caractérisent tous, nous pouvons être victimes de manipulation et d’usurpation d’identité. Il est donc pertinent d’envisager de former tout-un-chacun, informaticiens et non informaticiens, à plus de vigilance dans les pratiques usuelles faites sur Internet. Avant de former, il faut déjà sensibiliser. Et pour sensibiliser, parler de Data Privacy est une piste doublement pertinente:
Premièrement, le respect des principes de la protection de la vie privée et des limitations aux collectes et traitements des données sur les individus répond aux attentes issues de la règlementation Européenne et aux attentes induites par la recherche de prise de pouvoir des individus face aux institutions : c’est l’effet push de la Data Privacy.
Deuxièmement, l’organisation qui propose des outils et avoir une attitude « Data Privacy Friendly » est aussi un moyen de se différencier et d’obtenir plus de confiance de la part des individus et des consommateurs: c’est l’effet « pull » de la Data Privacy.
Récapitulatif semaine 2