Dans nos sociétés, afin de réduire tout type de risque, il est couramment admis que les individus doivent – et pourront – faire des choix de vie responsables afin d’améliorer leur bien-être. Ainsi, les individus sont principalement tenus responsables de la gestion de leur cybersécurité, ce qui signifie qu’ils aient été responsabilisés quant à la gestion du risque de cybercriminalité.
Les gouvernements s’engagent principalement dans la dissuasion au moyen de conseils et de campagnes de sensibilisation. La prévention est laissée aux individus, tandis que la détection s’avère difficile en raison de la relative invisibilité des crimes. En outre, la présence de cybercriminels à l’échelle mondiale rend la répression encore plus ardue. En revanche, en ce qui concerne les crimes traditionnels (les crimes contre les biens, par exemple), les individus sont censés minimiser leur vulnérabilité, et l’État prend les mesures pour remédier à la situation en capturant, poursuivant, incarcérant et, dans certains cas, en aidant à réhabiliter les criminels. Les forces de l’ordre mettent également à jour leurs conseils sur la manière dont les individus peuvent se protéger et veillent à ce que leurs efforts de dissuasion soient modernes et à jour.
La responsabilisation se définie comme une technique de contrôle de la criminalité qui exige des individus qu’ils prennent des précautions raisonnables, minimisant ainsi leur risque d’être victimes. S’ils ne prennent pas toutes les bonnes précautions et deviennent victimes, ils doivent assumer une certaine responsabilité vis-à-vis des conséquences. Si un citoyen est victime d’une cyberattaque, il devra faire face au préjudice qui s’ensuit et pourra difficilement compter sur l’aide des autorités en matière de recouvrement.
Dans cet article, Karen Renaud et ses collègues ont examiné la viabilité de la responsabilisation face aux risques de cybersécurité. Les auteurs ont tenté de répondre à deux questions :
- Est-il raisonnable d’imputer la responsabilité de la cybersécurité aux utilisateurs ? En d’autres termes, peut-on s’attendre à ce que les utilisateurs possèdent les connaissances et les compétences nécessaires pour gérer efficacement les risques ?
- La responsabilisation en matière de cybersécurité est-elle judicieuse compte tenu de la portée généralisée des cyberattaques ?
Les auteurs suggèrent qu’une approche hiérarchique s’avère plus appropriée pour gérer le risque en cybersécurité. L’approche hiérarchique considère que des solutions s’appliquant à l’ensemble de la société doivent être privilégiées, en s’appuyant sur les prévisions et la gestion que proposent les expertes. Dans ce cas, si les individus sont incapables de prendre des mesures suffisantes pour se protéger, ils devraient pouvoir compter sur le concours de l’État. De la sorte, les individus doivent agir en matière de prévention et de dissuasion, en disposant notamment d’une liste de mesures préventives et d’instructions faciles à suivre, et pouvoir faire appel à des centres d’aide aptes à conseiller sur la mise en œuvre de ces mesures. L’État devrait agir sur trois fronts : (1) l’établissement de normes pour prévenir et faciliter la gestion, (2) la collecte d’informations, en encourageant le signalement de cybercrimes et en mettant en place des unités spécialisées en cybercriminalité pour conseiller et aider les citoyens à gérer ces risques et (3) la modification des comportements.
Pour les auteurs, l’approche dite de responsabilisation en matière de gestion des cyberrisques est déraisonnable puisqu’elle nécessite une expertise que relativement peu de citoyens possèdent, et qu’elle s’avère peu judicieuse, car lorsqu’un individu ne gère pas ses cyberrisques, l’attaque en question peut affecter l’ensemble de la communauté. Les gouvernements devraient jouer un rôle plus actif en engageant plus de ressources et en améliorant les compétences de leurs forces policières et celles de leurs unités de prévention responsables de la lutte contre la cybercriminalité.
Citer : Renaud, K., Flowerday, S., Warkentin, M. Cockshott, P. and Orgeron, C. (2018). Is the responsibilization of the cyber security risk reasonable and judicious? Computer & Security, 78(2018), 198-211.