Pour Niels Weber, psychologue spécialiste de l’hyperconnectivité, la sécurité informatique n'est pas un domaine concernant et suffisamment émotionnel pour inquiéter à large échelle.

Interview

Les cyberattaques, tout le monde s'en fout: «Et c'est logique, hélas!»

Cette semaine, une information majeure: «Des hackers ont diffusé les données médicales de milliers de Neuchâtelois.» Et puis? Plus rien (ou presque). Alors que les cyberattaques se succèdent en Suisse, les mesures prises ne sont jamais à la hauteur du danger et, plus généralement, le sujet semble ne pas passionner grand monde. Niels Weber, psychologue spécialiste de l’hyperconnectivité, nous explique pourquoi c'est... effectivement le cas.

Une énième cyberattaque en Suisse a touché, cette fois, des milliers de dossiers médicaux à Neuchâtel. Mais, crime après crime, on a l'impression que rien ne bouge et que tout le monde s'en fiche. C'est le cas?

Niels Weber: Absolument. Et, là, je ne parle pas forcément en qualité de psychologue. De manière générale, ça n'a jamais été un sujet qui passionne les gens.



Pourquoi ce manque d'intérêt?

D'abord parce que se protéger du piratage demande un changement d'habitude. Or, un changement c'est toujours compliqué et personne n'aime bouleverser sa routine.

Sécuriser ses données n'est pas instinctif?

Dans le domaine informatique, nous n'avons pas été éduqué pour devenir des utilisateurs proactifs. Je vous donne un exemple récent. Quand Facebook a racheté WhatsApp, les spécialistes et les médias ont alerté la population sur la sécurité des données personnelles. S'il y a bien eu un petit mouvement de panique au début, avec des gens qui ont migré sur Telegram ou ailleurs, le retour aux bonnes vieilles habitudes n'a pas traîné.



«La menace n’est jamais assez perceptible pour que la population bouleverse sa façon de protéger ses données»

D'accord, mais le danger est bien réel!

Le danger est certes réel, mais pas suffisamment tangible pour être en mesure de créer un déclic.

Mais alors... d'où vient cette passivité qui semble tenace?

Nous avons très vite été habitués à ce que l'informatique soit intuitive. Il y a presque trente ans, Apple voulait déjà que nous pensions différemment. Souvenez-vous du slogan «Think different» imaginé par Steve Jobs. L'objectif était alors de simplifier au maximum la vie des utilisateurs. Personne n'est véritablement entraîné pour réfléchir devant un écran.

Et sécuriser son environnement numérique, c'est contre-intuitif?

Exactement. L'aspect sécuritaire demande une action concrète, un choix ferme et, encore une fois, un changement de stratégie. Un autre exemple: mettre un casque nous protège lors d'accident, mais c’est pénible, c'est une charge, un effort. Il faut y penser et agir.

«Se protéger des cyberattaques nous demande un effort supplémentaire. Nous devons abandonner ce que l'on nous met sous le nez depuis les années nonante en informatique: l'intuition»

Revenons au cas de Neuchâtel. On parle tout de même de dossiers médicaux... Ce n'est pas assez sensible pour faire naître une panique?

Non. Premièrement parce que la plupart des gens se disent «Bon, ok, mon dossier médical a été dévoilé en ligne, mais qui ça intéresse vraiment?». Ensuite, tant que vous n'êtes pas personnellement et intimement touché par un hacking, vous vous en fichez totalement. Et le cas de Neuchâtel n'a rien pour passionner le reste de la Suisse romande. Une donnée volée et ensuite dévoilée, en elle-même, n'est pas très utile. Ce qui compte, c'est ce qu'on en fait, en rebond.

«Tout seul, le dossier médical d'un patient neuchâtelois n'intéresse pas grand monde. Mais si une assurance décide, par exemple, de modifier ses prestations en fonction d'une information censée être confidentielle, le patient va très vite se sentir concerné»

Il manque quoi pour que le sujet de la cybersécurité nous intéresse ou nous inquiète enfin?

Il ne faut jamais oublier l'aspect émotionnel d'une information ou d'un danger. L'argent et l'enfance sont, par exemple, deux domaines qui peuvent créer un déclic dans l'opinion publique, comme chez ceux qui sont chargés de sécuriser un environnement informatique. Si un jour nous sommes confrontés à un piratage de grande ampleur qui viendrait égratigner l'intégrité d'enfants, les choses seront totalement différentes.



Si je comprends bien, un hacking de données, même sensibles, restera toujours un peu barbant parce que ça manque cruellement d'émotion?

Oui, on peut dire ça. C'est peu sexy et globalement peu concernant.



Le hacking est pourtant très populaire dans la fiction! Les séries regorgent de hackers et c'est plutôt sexy. Pourquoi ce paradoxe?

Justement parce que c'est de la fiction, il y a de la tension, du storytelling et de l'émotion tout autour. Le film «Snowden» a par exemple failli rendre la sécurité numérique préoccupante et sexy en 2016! Mais il faut se rendre compte que c'est encore un domaine que seul un petit pourcentage de la population maîtrise.

Et on rejette souvent ce qu'on ne maîtrise pas...

Oui. Un autre exemple: commencer un nouveau sport, c'est bousculant et même un peu angoissant. Il faut faire un effort. En cybersécurité, c'est la même chose: se protéger demande un véritable effort, concret, une réelle réflexion, un changement d'habitudes et une plongée dans une relative inconnue. Pour les entreprises ou les communes qui doivent réfléchir à une nouvelle stratégie de protection informatique, c'est la même chose.



Que faut-il alors pour que tout le monde prenne conscience du réel danger? Pour que nous comprenions que les risques sont gigantesques?

Il faudra sans doute compter sur la nouvelle génération. Nous pouvons susciter un intérêt chez eux pour ce qui n'apparaît pas forcément en surface d’une technologie. L'école commence tout juste à dispenser des cours qui vont un peu plus loin, pour comprendre les rouages du numérique et les enjeux de sécurité. Mais, une chose est sûre, tant que le danger n'est pas concret, ça restera compliqué de sensibiliser largement à la sécurité de nos données.