Hackers, cyberattaques, malwares… Les médias généralistes – presse écrite, télévision, radio – se font de plus en plus le relais de l’actualité cyber. Une nouveauté, pour un sujet longtemps confiné à une niche d’experts. La cybersécurité serait-elle en passe de devenir un marronnier ?
La menace cyber fait désormais les gros titres. Le 13 octobre dernier, l’attaque par ransomware qui a paralysé les systèmes informatiques de la communauté d’agglomération du Grand Cognac (Charentes) a été relayée par la presse locale, avant d’être traitée au célèbre 20h de TF1. Quasiment au même moment, c’est le groupe M6 qui faisait les frais d’une cyberattaque du même type qui a paralysé ses courriels et ses lignes téléphoniques, et trouvé un écho similaire dans la presse généraliste nationale (Le Monde, Les Echos ou encore BFM Business).
Pour les spécialistes du sujet, qu’ils soient experts ou journalistes, le phénomène est relativement nouveau. « Il y a cinq ans, on se disait qu’un jour un sujet cyber ferait un 20h, aujourd’hui c’est quasiment systématiquement le cas dès lors qu’une attaque d’envergure a lieu », relève Matthieu Bonenfant, Directeur Marketing de Stormshield. Il faut dire que la cybersécurité ne touche plus vraiment que les seul.es initié.es. Les attaques se multiplient, et touchent autant les PME/TPE que les grandes entreprises. À tel point que même la pop culture se fait le relais de cette menace – que ce soit via des séries qui mettent en scène des hackers comme Mr Robot, Le Bureau des légendes, Sense8 ou bien des films dans lesquels les héros font la démonstration de leur capacité à pénétrer les systèmes informatiques.
En bref, si la cybersécurité n’est pas encore enseignée dès l’école, elle n’en demeure pas moins un sujet de première importance, en passe de sortir de sa niche experte pour devenir un fait d’actualité récurrent. Alors, la cybersécurité serait-elle devenue mainstream, voire bankable ? Cette exposition médiatique a-t-elle un impact sur la sensibilisation au risque cyber ?
La cybersécurité, de l’ombre à la lumière
Il semblerait que l’engouement des médias généralistes pour les sujets cyber soit l’une des conséquences indirectes du GDPR. Depuis sa mise en œuvre, le règlement oblige ainsi les entreprises à notifier les incidents de sécurité aux autorités de régulation. Difficile dans ce contexte de dissimuler les problèmes sous le tapis. Avec la multiplication exponentielle de la menace cyber, le milieu de la cybersécurité s’est aussi considérablement ouvert. L’ANSSI a ainsi développé une vraie stratégie de communication, et n’hésite pas à inviter des journalistes de tous horizons à visiter ses locaux.
Quant aux experts cyber, ils descendent désormais dans l’arène. « Pour avoir accès aux médias il y a quelques années, il fallait s’appuyer sur un réseau de relations presse. Aujourd’hui, ce sont les médias qui viennent à nous car ils recherchent des experts, pour proposer des décryptages simples de l’actualité », commente Matthieu Bonenfant. En septembre dernier, Eric Hohbauer, Directeur Général Délégué de Stormshield était ainsi invité sur le plateau de la chaîne CNews. D’autres foulent désormais régulièrement les plateaux TV en France, à l’image de Nicolas Arpagian, Directeur de la stratégie et des affaires publiques chez Orange Cyberdefense, ou du journaliste Damien Bancal qui dispose d’une chronique régulière sur France Bleu Nord et sur Weo TV.
Du côté des agences gouvernementales, on se félicite de cette nouvelle exposition. « Nous menons un travail de prévention et d’assistance auprès des victimes, qui passe par des spots à la télévision et un gros travail de production de contenu et de communication sur les réseaux sociaux. Il semblerait que ce travail porte ses fruits. Suite à notre alerte sur la vague de chantage à la webcam piratée et sa reprise dans les médias, l’article de notre site qui traite du sujet est à ce jour le plus consulté, avec plusieurs centaines de vues par jour », précise un expert de Cybermalveillance.gouv.fr.
Une tendance au sensationnalisme ?
En matière de menace cyber, les indicateurs clignotent au rouge. Et il semblerait que le message ait été compris dans les rédactions de médias généralistes. Pourtant, y a-t-il vraiment plus de bande passante pour traiter de ces sujets ? « Nous effectuons une couverture hebdomadaire des sujets en lien avec la cybersécurité, et publions beaucoup de tribunes d’experts. Mais la volumétrie n’est pas encore significative sur ces sujets », tempère un journaliste d’un grand quotidien de presse économique. Et ce sont surtout les attaques de grandes ampleur (WannaCry, NotPetya ou plus récemment LockerGoga et Varenyky), ou bien l’actualité géopolitique (avec par exemple le suivi des turpitudes de l’entreprise Huawei) qui font le plus souvent la Une.
Depuis 2004, le terme de « cybersécurité » ne cesse de progresser dans les recherches des internautes.
On pourrait facilement émettre l’hypothèse que, de par leur ampleur et leur caractère sensationnel, ce sont ces événements qui génèrent de l’intérêt…et donc du clic. Parfois, le traitement médiatique de certaines actualités cyber conduit même à exagérer l’ampleur d’une menace. C’était le cas en 2018 avec une campagne d’attaques basées sur l’exploitation d’un protocole DNS. Ces attaques ont fait remonter des soupçons d’espionnage qui convergeaient du côté de la Russie et du Pakistan. « L’affaire a été montée en épingle, présentée initialement comme une "attaque inédite d'ampleur mondiale", et a reçu une couverture large sur les plateaux de télé et dans les journaux régionaux », se souvient Matthieu Bonenfant. « Même si cette attaque était bien réelle, son impact n'était pas aussi large que présenté et le modus-operandi n'avait, en fait, rien de nouveau. »
Mais les journalistes eux-mêmes peuvent aussi être à l'origine d'intrusion informatique. En novembre 2020, à partir d'une image postée sur le compte Twitter d'une ministre, un journaliste néerlandais, Daniël Verlaan, s'est introduit dans une vidéoconférence au sommet. Des vidéos de son arrivée le montre surpris et hilare – à l'image de quelques uns de ses interlocuteurs en face. Une histoire qui nous ferait également sourire si elle ne concernait pas une réunion des ministres de la Défense de l'Union européenne, censée être confidentielle et sécurisée...
La difficile mesure de l’impact
Ce travail de sensibilisation porte-t-il ses fruits ? Difficile de le savoir. Pour le journaliste du quotidien économique que nous avons interrogé, la cybersécurité demeure un sujet qui possède un haut niveau de technicité, qui a donc « tendance à être considéré comme lointain et peu concernant ». Par ailleurs, « il est souvent compliqué de mettre le doigt sur la juste quantification économique du préjudice, ce qui rend le sujet encore plus lointain, notamment pour les entreprises ». Un autre relève que « le commun des mortels ne suit pas tant que ça l’actualité cyber, parce qu’ils ne se sentent pas (encore) concernés ». Difficile dès lors d’avoir un vrai impact sur la transformation des habitudes.
Du côté de Cybermalveillance.gouv.fr, on partage ce point de vue, mais tout le travail du dispositif consiste justement à « intéresser Monsieur et Madame tout-le-monde, de 7 à 77 ans ». Pour cela, les équipes s’attachent à « vulgariser », en employant un ton proche des utilisateurs. Et pour encore mieux répondre aux attentes des utilisateurs et utilisatrices, une nouvelle plate-forme verra le jour en 2020.
Gageons que d’ici là, la cybersécurité sera devenue véritablement bankable.