Alphabétisation numérique: accompagner les utilisateurs (1ère partie)

Pour notre second entretien, nous avons tendu notre micro à la personne en charge de sensibiliser les collaborateurs/-trices aux enjeux de la sécurité numérique au sein du CICR, le Comité International de la Croix-Rouge. Il s’agit de Fabien Leimgruber qui occupe le poste d’Information Security Awareness Adviser depuis 2018.

Photo de Fabien Leimgruber, chief awareness manager au CICR, Genève
Fabien Leimgruber sensibilise ses collègues au CICR au virage numérique et aux cyber risques qui lui sont associés.

Nouveau poste

Après des études en sciences forensiques, Fabien Leimgruber choisit la filière en Droit, Criminalité et Sécurité des technologies (DCS) de l’Université de Lausanne. Fort de son titre, il commence sa carrière comme analyste en cyber sécurité chez Kudelski Security avant de devenir responsable de l’équipe de Cyber Threat Intelligence. Depuis plus d’un an, il occupe désormais le poste de Information Security Awareness Adviser au sein du CICR. Anecdote d’un parcours atypique : au sein l’armée, Fabien Leimgruber rejoint les gardes-frontière et obtient le brevet fédéral. Nul doute que cette formation et cette expérience militaire lui sont utiles encore aujourd’hui.

Choisir le CICR pour travailler sur la cyber sécurité peut sembler surprenant. En effet, la tentation est forte de penser que des secteurs sensibles tels que la finance, la santé, les transports, ou encore le secteur de l’énergie sont concernés plutôt que celui de l’humanitaire. Néanmoins, de par la création, le traitement et l’échange de données sensibles liées à ses activités, le secteur de l’humanitaire n’échappe pas aux cyber menaces. Le Comité International de la Croix-Rouge ne déroge ainsi pas à la règle.

Les ONG et la communication numérique

On pourrait espérer que le monde des ONG actives dans l’humanitaire ou le développement soit exempt de ce genre de menaces. Il n’en est rien. Lorsque l’on aborde le sujet avec Fabien Leimgruber, le rythme s’accélère : il nous rappelle que la communication et l’échange d’informations numériques ont de tout temps joué un rôle crucial dans l’accomplissement des activités du CICR. Jadis au travers de la radio, du fax, du téléphone… Maintenant via les communications satellitaires, internet ou même les réseaux sociaux.

« Le CICR est une institution indépendante, neutre et impartiale qui protège et assiste les victimes de conflits armés et d’autres situations de violence. »

Source: CICR

Pour mieux saisir l’importance de la communication digitale ou numérique, il suffit de se pencher sur l’organisation décentralisée du CICR et le nombre important de zones de conflits internationaux et d’autres contextes de violence couvert par ses activités. Au total, ce sont plus de 18’000 employés qui opèrent dans 90 pays. La communication numérique au sein du CICR n’est donc pas seulement importante, elle est vitale pour assurer la correcte exécution de l’aide humanitaire sur le terrain.

Vous occupez une fonction que l’on imagine plus rencontrer dans une banque que dans le secteur humanitaire. Pouvez-vous nous en dire plus ?

« Je comprends votre étonnement. Mais, si vous le permettez, laissez-moi clarifier trois aspects. Le premier résulte peut-être d’un manque de connaissances de nos activités. Nous ne pouvons pas accomplir nos missions dans des zones de conflits sans logistique : ressources humaines, matérielles (moyens de transports, nourriture, médicaments, matériel) et moyens de télécommunications (téléphones mobiles, ordinateurs portables, appareils satellites). Or, les technologies de l’information et des télécommunications ont – depuis le début – été au centre de notre organisation. Si les moyens actuels ressemblent peu à ceux du siècle passé, les principes demeurent : mettre à disposition des outils fiables et sécurisés afin de permettre à nos collègues de travailler de manière efficace et sécurisée. La structure décentralisée de l’organisation nécessite notamment la circulation d’informations ou de données numériques d’une région à une autre sans qu’elles soient compromises ou détournées. Le grand public garde peut-être en mémoire les scènes de conflits et nos interventions, mais ne pense pas forcément, et à juste titre, à regarder sous le « capot» : les informations doivent circuler afin que le véhicule se mette en mouvement. En cela, il n’y a rien de vraiment différent en comparaison au fonctionnement d’une banque par exemple. »

« Le second aspect porte sur la nature de notre mission : nous gardons de tout temps et dans les contextes dans lesquels nous opérons une position de neutralité, d’impartialité mais aussi d’indépendance. Nous intervenons dans des conflits et autres situations de violence afin de venir assister les victimes. Cela implique donc que les informations et données numériques auxquelles nous avons accès ou que nous créons sont sensibles. A titre d’exemple, un détenu visité au sein d’une prison, peut nous confier des informations sensibles liées à la responsabilité d’une partie prenante dans un conflit. »

« Enfin, le troisième et dernier aspect est que le CICR, comme toute entreprise, possède des partenaires indispensables, tels que les Etats donateurs ou des fournisseurs privés. Si notre système IT devait être bloqué par un « ransomware » qui remettrait en question la capacité du CICR à sécuriser son système ainsi que ses opérations, nos partenaires ne seraient pas forcément plus indulgents avec nous sous prétexte que nous sommes actifs dans le secteur humanitaire. »

Votre titre comporte le terme de « sensibilisation» : pourquoi sensibiliser et non former ?

« Parce que nous nous efforçons de former nos équipes à ce qu’elles adoptent un comportement optimal en matière de sécurité à travers des formations au sein de chaque région. Mais nous nous rendons compte que cela n’est pas suffisant. Il manque une étape : comprendre les outils informatiques ainsi que sensibiliser sur les risques qui leurs sont associés. »

C’est-à-dire ?

C’est ce que le Anglo-Saxons appellent « digital literacy» ; ce qui veut dire en français « habileté numérique ». Personnellement, je préfère la notion d’alphabétisation numérique. L’informatique a envahi le quotidien de nos vies privées et professionnelles. Nous pourrions en déduire que l’utilisateur lambda connaît bien le matériel en sa possession (mobile, ordinateurs, applications) car il les emploie quotidiennement. Or, mon expérience prouve que cela n’est hélas pas le cas. L’immiscion de l’informatique dans nos vies a été fulgurante. Songez un peu : en 1981 les premiers PC et en 1990 le premier navigateur, créé au CERN. Alors bien sûr, quarante ans pour un « millénial » c’est beaucoup ; en revanche, pour notre société, ce n’est pas grand-chose. Ainsi, nous avons découvert Internet et appris à l’utiliser sur le tas. En parallèle, les solutions ont constamment évolués : avec Facebook, YouTube, Uber, et Amazon, des services sont apparus mais nous oublions les technologies qui les soutiennent. Je vous donne un exemple : la mise en ligne de vidéos, de photos et la compression de fichiers ; les services comme YouTube ont été rendus possibles grâce à de telles technologies. Cependant, nos connaissances n’ont pas forcément suivi. Au fur et à mesure du développement de l’informatique et des solutions web, nous avons connu une explosion des moyens d’accès, de traitement et de transmission de données. Nous avons été « séduit » par la convivialité et la commodité : sans nous poser la question de la sécurité, de la fiabilité et de la confidentialité.

A votre avis, faudrait-il un permis numérique de naviguer ?

« Je ne pense qu’il faille en arriver là. Par contre, face aux risques de la cyber sécurité, nous devons nous assurer que les utilisateurs connaissent les outils numériques mis à leur disposition et comment les utiliser en toute sécurité. Combien de personnes savent-elles que Windows 10, LinkedIn ou Facebook peuvent être paramétrés pour améliorer la confidentialité des informations générées par nous, les utilisateurs ? Combien d’entre nous savons qu’une imprimante connectée par wifi (comme celle que vous utilisez chez vous pour imprimer vos photos), peut être piratée par une personne malveillante afin de voler vos photos ou tout autre document ? Pas besoin d’un permis pour cela. En revanche, vous ne pourrez pas – à mon avis – acquérir des connaissances « techniques » et adopter un comportement sécurisé sans prendre conscience des enjeux et des risques. Ce constat offre un terreau fertile à l’acquisition de connaissances. Donc, pour compléter ma réponse précédente, d’abord sensibiliser, puis ensuite former. »

Le numérique dans l’organigramme

Si le poste de Fabien Leimgruber est nouveau, c’est parce qu’il découle de la volonté du CICR de se positionner comme un acteur majeur de la numérisation du monde humanitaire ; cette stratégie ne pouvait se faire sans une prise de conscience quant aux risques liés à la numérisation. Symptomatique de l’importance accordée au poste est son positionnement dans l’organigramme ; il se trouve au carrefour des équipes de cyber sécurité (rattachées à l’informatique), du service de la protection des données (Data Protection Office) et de l’équipe en charge de la gestion de l’information. Placé sous la responsabilité du CIO (Chief Information Officer), son rôle consiste donc à faire le pont entre ces unités opérationnelles et l’ensemble des collaborateurs, qu’ils soient basés en Suisse ou à l’étranger.

Deuxième partie : à suivre ….

No Comments

Laissez votre avis

Autres articles du blog