Contester le pouvoir devient de plus en plus dangereux pour les groupes de la société civile du monde entier. La façon dont les organisations considèrent leur sécurité numérique a une profonde incidence sur le risque de représailles.
Si aucune mesure de sécurité n’est prise, les courriels, les messages instantanés, l’historique de navigation et les journaux de vos déplacements peuvent être utilisés à des fins de surveillance et de dénonciation devant les tribunaux.
Cette année, Zara Rahman et ses collègues de The Engine Room ont étudié ce qu’ils appellent « l’écosystème d’assistance » pour la sécurité numérique dans un rapport pour la Fondation Ford. Ils ont interrogé 35 prestataires et bénéficiaires de conseils en matière de sécurité dans plusieurs pays afin de faciliter l’identification des meilleures pratiques numériques pour les organisations.
Comment une organisation devrait-elle se protéger contre les menaces de sécurité numérique ?
Malheureusement, il n’y a pas de réponse toute prête, car les menaces de sécurité numérique varient selon le contexte et celui-ci diffère pour chaque organisation.
Dans notre rapport, nous comparons la protection numérique d’une organisation à la protection de votre bureau contre les incendies. La comparaison n’est pas parfaite, mais nous voulions démontrer que la sécurité numérique s’élabore au niveau organisationnel et non individuel.
Vous devez d’abord considérer l’infrastructure numérique, par exemple votre fournisseur de messagerie électronique ou votre logiciel de gestion financière. Pouvez-vous l’« ignifuger » afin de réduire les risques de catastrophe en premier lieu ?
Ensuite, si un incident se produit, la réponse doit être adaptée : en cas d’incendie, vous appelez les pompiers, mais s’il s’agit de quelques flammes, vous pouvez vous servir d’un extincteur.
Il en va de même avec la sécurité numérique. Parfois, vous devez faire appel à un expert en logiciels malveillants, d’autres, il suffit d’étudier comment rendre vos connexions et vos mots de passe plus sûrs.
La clé est de poursuivre l’éducation à ce sujet de manière permanente.
Comment les tendances concernant les priorités de formation en matière de sécurité numérique ont-elles évolué au fil des ans ?
Le principal changement concerne le fait qu’aujourd’hui il est plus largement reconnu que la sécurité numérique dépend des contextes locaux et des menaces spécifiques.
Avant, les formations en matière de sécurité numérique se centraient sur les priorités et les hypothèses occidentales, avec une approche universelle.
Dans la pratique, les formateurs ont parfois encouragé les utilisateurs à recourir au chiffrement des courriels dans des pays où cette technologie est illégale, comme le Pakistan, ou ils ont pu recommander un logiciel disponible uniquement en anglais à des non-anglophones.
L’autre grand changement est que de nombreux groupes se sont détournés des formations ponctuelles et, au lieu de cela, visent des interventions à plus long terme pour renforcer la sensibilisation à la sécurité et les capacités au sein d’une organisation au fil du temps. C’est une bonne chose.
Que diriez-vous à tous ceux qui voulaient créer un nouveau guide de sécurité numérique ?
Je commencerais par leur demander à qui s’adresse leur guide. Si vous n’appartenez pas au public ciblé, peut-être que vous n’êtes pas la personne la plus à même de le rédiger. Au grand minimum, vous devez vous assurer de travailler directement avec des personnes qui comprennent le contexte local.
L’un des principaux problèmes réside dans le fait que les guides sont rarement mis à jour alors que la technologie et les menaces évoluent rapidement. Il pourrait être plus utile de mettre à jour un guide existant, en particulier si les utilisateurs y ont déjà recours pour obtenir des conseils.
Si vous en créez un, assurez-vous de l’élaborer de manière à simplifier sa mise à jour (pas un PDF modifiable par un seul utilisateur). Et ne partez pas du principe que les gens feront automatiquement confiance à vos conseils, si un lien n’existe pas encore entre eux et vous.
Avec toutes les menaces de sécurité actuelles, la sécurité numérique est-elle une cause perdue ?
Non, il s’agit en fin de compte de construire progressivement de meilleures habitudes et pratiques et de donner la priorité à la sécurité numérique autant qu’à la sécurité physique. Les technologies numériques nous connectent tous, donc les pratiques d’une personne l’affectent elle-même, bien évidemment, mais elles affectent également sa famille, ses amis, l’ensemble de sa communauté.
Nous sommes tous dans le même bateau.
Pour en savoir plus :
Strengthening the Digital Security Support Ecosystem, The Engine Room, 2018Security Education Companion, Electronic Frontier Foundation (EFF)
Security Planner, Citizen Lab
Net Alert, Open Effect, Citizen Lab