Cybersécurité : adoptez les bons réflexes dans le cyberespace avec Christophe Mazzola

Sujet incontournable, la cybersécurité est aujourd’hui un enjeu capital qui concerne tout un chacun avec la dématérialisation des démarches administratives ainsi que la généralisation des smartphones. Toutefois, contrairement aux présupposés, nul besoin d’être un informaticien chevronné pour se prémunir des escroqueries les plus courantes. Connaître les pratiques adéquates, qui relèvent souvent du bon sens, permet de restreindre considérablement les risques de se transformer en proie évidente. Entretien avec l’expert Christophe Mazzola, auteur de l’ouvrage Être en cybersécurité.

Qu’est-ce qui vous a mené à l’écriture de ce livre ?

J’ai démarré la cybersécurité un peu par erreur. J’ai suivi un cursus informatique mais je me suis vraiment intéressé à la cybersécurité quand j’ai vécu une cyberattaque depuis l’intérieur. Une société pour laquelle je travaillais s’est faite pirater.

J’évolue dans différents environnements depuis une dizaine d’années, diverses industries, administrations publiques, organisations privées. Pendant toutes ces années, je répondais à de nombreuses questions de mon entourage – ma famille, mes amis – en ce qui concerne la sécurité informatique. Cela m’a donné l’idée d’écrire un livre qui ne parle pas de technique – voire pas du tout parce qu’au final, la cybersécurité, ce n’est pas qu’une affaire de technique. J’ai commencé à écrire ce livre sans prétention en février 2023 en pensant à ma mère qui en a été la première lectrice.

J’ai terminé Être en cybersécurité (Éditions Spinelle, 2025) en septembre 2024 sans que ce travail ne relève d’une écriture intensive. En général, je consacrais environ une heure par jour le matin. Parfois, je ne travaillais pas dessus pendant quelques semaines. Il y a eu plusieurs versions, la plus volumineuse comptait 450 pages mais je l’ai réduite de moitié pour que la lecture reste digeste.

Écriviez-vous auparavant ou cet exercice a-t-il été une première ?

C’est la première fois que j’arrive au terme de l’écriture d’un livre mais j’ai personnellement toujours aimé écrire. Je viens du monde des médias, j’étais journaliste-animateur radio au tout début de ma carrière, avant de me recentrer vers l’informatique. Au final, dans mon métier, j’écris beaucoup aussi.

Pouvez-vous me parler de la DSCVR Cybersecurity et de la Cyber Academy ?

DSCVR [à prononcer discover, NdlR] Cybersecurity était un projet de formation et de consulting en cybersécurité que j’ai lancé. Il va être remplacé par la Cyber Academy. Je vais m’occuper essentiellement de tout ce qui concerne la formation et la certification à destination des professionnels. L’idée est un peu d’apporter ma pierre à l’édifice sur la vision que j’ai de la gouvernance, de la gestion des risques et de la conformité qu’on considère comme quelque chose d’assez ennuyeux – même dans notre industrie. Je vais essayer d’apporter une vision un peu plus fun, un peu plus décontractée de quelque chose qui reste très sérieux dans cet univers.

Votre livre s’adresse-t-il aussi aux professionnels ou bien uniquement aux profanes ?

L’idée de ce livre, Être en cybersécurité, est vraiment de donner des clés à destination du grand public. Si quelqu’un est pro ou semi-pro, il pourra peut-être trouver quelques idées et pistes de réflexion intéressantes mais cet ouvrage cible plus précisément le profane. J’essaye de simplifier au maximum ce qu’on entend par cybersécurité, par la sécurité informatique et surtout qu’on n’a pas besoin d’être expert pour se protéger a minima.

L’idée que la cybersécurité doit être simple – et je l’aborde dans le livre avec l’exemple du post-it –, c’est de se dire que les gens font de la cybersécurité sans s’en rendre compte. Certains mettent un post-it sur la caméra de leur laptop non pas parce que c’est avancé technologiquement mais parce que cela fait sens pour eux. Généralement, les entreprises ne font pas de la cybersécurité parce qu’elles le veulent mais parce qu’elles le doivent. A contrario, les gens ne font pas de la sécurité parce qu’ils le veulent mais parce qu’ils comprennent le cheminement derrière. C’est un peu ce que j’essaye d’étayer dans ce livre : comprendre le cheminement derrière pour que les internautes puissent se défendre à armes égales contre les hackers.

Quelles mesures devraient instaurer les gouvernements pour que « nos concitoyens puissent se sentir en (cyber)sécurité » ?

Il y a de grands débats actuellement parce que la cybersécurité devient une affaire d’État – qui doit se protéger lui-même. Dans la directive NIS 2 qui vient d’être implémentée, il y a une grande partie de sensibilisation du citoyen. Le premier élément consiste vraiment à convaincre les gens de ne pas avoir peur, qu’au final 95% des problèmes informatiques viennent de l’humain alors que 95% des discussions restent au niveau technique. Il y a un peu un problème de dissonance cognitive de mon point de vue.

Véritablement, il faut se poser simplement les bonnes questions. Au final, on a rendu la population complètement dépendante du numérique sans lui donner les armes pour se battre à niveau égal avec les potentiels hackers. La principale idée est de comprendre qu’il faut des grands mouvements de sensibilisation – qui devraient arriver d’ici 2 à 3 ans par rapport à cette directive NIS 2 puisque c’est une obligation de la part de l’Union européenne. C’est la première étape. La deuxième repose sur la création d’une sorte de bouclier numérique de blocage au niveau français – voire européen – lorsqu’un site frauduleux est repéré. Un peu comme si on mettait une ceinture de sécurité. Elle ne nous protège pas de tout en voiture mais si vous respectez les règles et que vous avez une approche relativement correcte du code de la route vous voyagerez sans encombre. Il s’agit en quelque sorte de déployer ce parapluie au-dessus de nous qui ne pourrait pas protéger intégralement mais contrer certaines attaques et arnaques bien connues des gouvernements.

Il semble que vous mettez sur le même plan sécurité physique – via l’exemple de l’entretien des voies de circulation – et virtuelle. Ne pensez-vous pas que contrairement aux inévitables et meurtriers dangers physiques, ces dangers virtuels sont plus facilement évitables ?

Oui et non, parce qu’au final, les dangers virtuels, avec l’explosion de l’IA et les attaques de type fake comme on les appelle, deviennent très difficiles à détecter. Effectivement, si on agit avec les bonnes pratiques comme indiquées dans le livre – qui ouvre de nouvelles perspectives sur comment aborder ces questions-là –, avec le minimum syndical, je pense qu’on peut balayer 90% à 95% des attaques. S’il est difficile de mettre cela en place, c’est parce que le grand public a peur de la sécurité informatique. Cybersécurité ou même ordinateur et internet sont des mots qui effraient parce qu’ils sont sibyllins et incompris. L’idée est d’amener à comprendre pour ne pas se retrouver dépassé. Donc, oui, c’est plus facilement évitable mais le problème se trouve plutôt au niveau cognitif et, là, c’est un vrai changement de paradigme à insuffler.

Nos sociétés n’ont-elles pas sciemment créé le terrain de cette cyberinsécurité dans une optique mercantile ?

C’est une bonne question, là on rentrerait dans des théories du complot. Mais, effectivement, il y a parfois des choses qui ne font pas sens. Après, est-ce que c’est une optique mercantile ? Je ne sais pas. Est-ce qu’il y a le pouvoir des lobbys derrière ? Très certainement. On peut constater le pouvoir des GAFAM sur nos politiques, sur les stratégies numériques mais, là, on va sortir du champ du grand public. Quand on voit qu’il y a 80% à 90% des administrations publiques – et même privées – qui sont dépendantes de sociétés comme Microsoft, Google et autres alors qu’il y a des compétiteurs nationaux et européens… Il y avait la possibilité de mettre en place des grands points stratégiques. Donc, je pense qu’une optique mercantile, peut-être pas, mais une grosse influence des lobbys du secteur numérique d’une manière générale, oui. Au niveau humain et personnel, je pense que c’est plus par manque d’informations parce qu’on pense que les gens ne s’y intéressent pas. En fait, ils ne s’y intéressent pas – à tort ou à raison – jusqu’à ce qu’ils soient eux-mêmes victimes d’une arnaque et c’est là qu’il y a une prise de conscience qui arrive généralement déjà trop tard.

Vous évoquez un droit à la confidentialité de la vie numérique. Pourtant, à l’aune des débats sur la reconnaissance faciale et le renforcement constant de l’arsenal sécuritaire pour la surveillance de l’espace public, est-il vraiment dans l’intérêt de la sécurité nationale de garantir cette confidentialité ?

Pour l’intérêt du citoyen oui, pour l’État non. J’essaye d’alerter un peu aussi à ce niveau-là sur LinkedIn où je suis le plus actif. On se dirige vers un crédit social sur le modèle chinois. L’euro numérique sera introduit avec potentiellement tout le processus sécuritaire qui va en découler telles que les stratégies liées à la reconnaissance faciale. Durant l’été 2024, on nous a fait croire qu’on allait tester la reconnaissance faciale uniquement pour le temps des Jeux Olympiques et Paralympiques de Paris 2024 et, finalement, il a été décidé de poursuivre. Généralement, on empiète un peu sur notre liberté pour au final continuer et étendre le dispositif puisqu’il fonctionne bien.

Je comprends qu’il y ait un besoin de protection, l’idée n’est pas que tout le monde puisse faire n’importe quoi mais, en tant que citoyen, on a un droit à la confidentialité, un droit au respect de la vie privée. Celui-ci est dévalué par nos gouvernements, par nos smartphones, par tout ce qui nous entoure. Il y a un réel besoin de faire comprendre aux gens les enjeux parce qu’ils pensent qu’ils n’ont rien à cacher. Eh bien, dans ce cas, donnez-moi votre nom, prénom, numéro de téléphone, numéro de carte bancaire et, tout de suite, ils vont se demander pourquoi transmettre ces informations sensibles. S’il n’y a rien à cacher, autant offrir l’accès à leurs photos puisque c’est exactement ce qu’ils font avec leur smartphone. On a besoin de remettre l’église au centre du village et de dire qu’on a le droit à une vie privée peu importe ce que pense l’État, Apple, Microsoft ou Google.

Le meilleur conseil pour se prémunir de la cyberinsécurité ne serait-il pas de se reconnecter avec le monde tangible et avant tout de sensibiliser à l’usage des réseaux sociaux sur lesquels l’utilisateur lambda offre les détails les plus sensibles de sa vie privée ?

Oui, l’idée est vraiment de comprendre que chaque action représente un risque et de définir quel est votre niveau de risque acceptable. C’est exactement la manière dont on opère en sécurité, en gouvernance, définir un niveau de risque acceptable et, pour tout ce qu’on considère comme non acceptable, on va réaliser des stratégies d’atténuation du risque. On doit effectivement alerter les usagers, l’ultra dépendance au numérique a fragilisé toutes les personnes. Il faut faire prendre conscience aux gens de ces enjeux, sortir de la position « Je n’ai rien à cacher, faites tout ce que vous voulez de mes données » et ça passe par une véritable réflexion sur ce qu’est une donnée. Qu’est-ce qu’une valeur de donnée ? Qu’est-ce que je représente en tant qu’individu ? Quelle est la valeur de mes données et que peut-on faire avec ? Il convient effectivement de revenir à un monde un petit peu plus tangible, prendre conscience que quand on poste une photo elle peut être utilisée à tort et à travers.

Ce sera principalement le sujet de mon second livre. J’étais tellement motivé à écrire Être en cybersécurité que j’ai décidé de commencer à travailler sur un nouveau sujet qui est vraiment dédié à la cyberpsychologie et à la psychologie dans le cyberespace. Généralement, on se rend compte que les gens adoptent une différente posture quand ils sont en ligne et quand ils sont dans le monde tangible et réel. C’est un sujet qui me passionne de plus en plus et, même dans les entreprises, je donne des modules de formation spécifiques à la cyberpsychologie parce que c’est ce qui se cache habituellement derrière la plupart des mauvaises pratiques.

Quel est votre avis sur la loi SREN (sécuriser et réguler l’espace numérique) ? Ne risque-t-elle pas de renforcer le nombre de données personnelles de nos identités numériques ?

Ce ne sera pas pire que maintenant. Je comprends qu’il y ait un besoin de sécuriser mais l’important est surtout de savoir où sont stockées les données et qui y a accès. Par exemple, la France a signé un contrat de partenariat avec Microsoft. Cette société va gérer l’hébergement de toutes les données médicales. Donc, en fait, on va transmettre les données médicales de l’ensemble des Français à ce géant américain. En soi, le besoin de sécuriser ces données est indispensable mais il faut connaître cette balance des risques.

Pourquoi l’État français n’aurait pas ses propres services d’hébergement ? On a largement la capacité de le faire. En 2018, un ministre français disait que l’hébergement cloud est passé, on n’a pas pris la vague, on prendra la prochaine. La suivante, c’était l’intelligence artificielle (IA) et on se rend compte que pour faire de l’IA il faut des hébergements – que nous n’avons pas. Si, en 2018, l’État français avait pris des investissements stratégiques dans le cloud, on aurait pu très bien héberger ces données de santé non pas chez Microsoft mais chez nous, sur le sol bien français, dans des centres qui appartiennent à l’État français. On aurait très bien pu par la suite, en 2025, essayer de concurrencer les investissements américains ou chinois en termes d’IA.

Le développement fulgurant de l’IA est-il un avantage ou une menace supplémentaire en ce qui concerne la cybersécurité ?

Les deux parce qu’elle est employée aussi bien pour la sécurité défensive qu’offensive. L’idée est de se demander quelle est la finalité ? L’IA, à l’inverse de l’humain, n’a pas d’ambition. C’est à nous de définir quelle est l’ambition. Donc, l’IA va être utilisée à tort et à raison pour le positif et le négatif. C’est un nouveau paradigme, un nouveau monde, il faudra s’y habituer. Je vois ça d’un œil très impatient, l’IA on y est déjà et de toute façon elle impacte la société.

Ne pensez-vous pas qu’avec le développement phénoménal de l’IA générative les cyberattaques seront toujours plus difficiles à déceler ?

Face à l’explosion des arnaques avec l’IA, c’est de plus en plus difficile de les détecter. En juillet 2024, Benedetto Vigna, CEO de Ferrari, a publié un communiqué de presse pour expliquer une arnaque deep fake via l’IA dont Ferrari a failli être victime. L’un des manageurs, directeur exécutif de Ferrari, reçoit un texto d’une personne qui se présente comme Benedetto Vigna et qui souhaite parler business. Ils s’écrivent par sms pendant 15-20 minutes, après cela le directeur exécutif lui indique qu’ils doivent se téléphoner pour s’assurer qu’il s’agit bien de Benedetto. Ils restent au téléphone 15-20 minutes à discuter, à expliquer le pourquoi du comment de l’appel : même voix, même ton, tout parfait. Et, au cours de la conversation, le directeur exécutif lance : « Écoute, il y a quand même quelque chose qui cloche, j’ai besoin de vérifier que c’est toi. Est-ce que tu peux me donner le titre du livre que tu m’as recommandé il y a quelques jours ? ».

C’est exactement ça l’idée, poser des questions qui semblent innocentes pour valider l’identité de la personne. C’est ce que j’appelle être poliment paranoïaque. Poser des questions pour être sûr que c’est bien le bon interlocuteur que vous avez en ligne. Dans l’exemple de Ferrari, l’arnaqueur n’a pas pu confirmer le nom du livre recommandé, fin de l’arnaque. Pour ces stratégies deep fake il n’y a pas grand-chose à faire à part valider l’identité de la personne, notamment par une question secrète dont la réponse est uniquement connue par l’interlocuteur avec qui vous pensez discuter.

Pouvez-vous garantir qu’après lecture assidue de votre livre, tout un chacun pourra se prémunir contre les cyberattaques dans son sens le plus large ?

Le risque zéro n’existe pas. Prétendre à une garantie à 100% est impossible. Cependant, si vous procédez suivant le rythme du livre – puisque c’est vraiment une montée au fur et à mesure des chapitres –, vous allez pouvoir vous prémunir de 90 à 95% des cyberattaques et tentatives d’escroqueries. L’essentiel est d’avoir un esprit critique et de toujours remettre en question ce que vous avez à l’écran ou au téléphone. Si vous partez déjà de cet esprit critique et que vous avez éventuellement quelques protections supplémentaires (comme un anti-virus ou ce qu’on appelle un filtre DNS qui va analyser les sites internet que vous visitez ou éventuellement un VPN pour certains usages spécifiques, etc.), mise à part la technologie, si vous suivez les recommandations du livre, vous aurez ce sentiment d’être en cybersécurité.

Michel-Angelo FÉDIDA

About Author