Les Fake News ne font pas seulement des dégâts pour les sujets politiques, économiques ou sociétaux. Elles modèlent également la perception d’un environnement professionnel, par exemple dans le domaine de la sécurité, où la tentation de manipuler est forte. Comment savoir si une information ou un fait reflètent la réalité ?
Pour l’exercice de ses missions, le RSSI a besoin d’informations qui soient utilisables dans quatre domaines (voir schéma ci-après), représentatifs de son métier et de ses missions. On distingue ainsi quatre besoins principaux du responsable sécurité, qui s’organisent autour de deux axes. Le premier, horizontal, sépare l’intérieur de l’entreprise de son environnement externe. Le second, vertical, sépare les considérations stratégiques, plus globales et à plus long terme, des considérations tactiques, plus opérationnelles et à plus court terme.
Dans l’entreprise, le RSSI, a ainsi besoin, d’une part, d’informations afin de s’équiper en solutions de sécurité, pour les mettre en œuvre et organiser au quotidien la sécurité et, d’autre part, pour sensibiliser et former les utilisateurs (directions générale, managers, utilisateurs, partenaires…).. Face à son environnement externe, le RSSI a besoin à la fois de comprendre les risques et les technologies de sécurité (ainsi que les stratégies des fournisseurs, c’est sa mission de veille technologique) et de s’informer sur le marché, ses tendances, autrement dit d’effectuer une veille commerciale et concurrentielle.
La recherche d’informations qui, historiquement et avant Internet, s’est appuyée sur des sources relativement identifiables et crédibles (sources officielles, presse spécialisée, livres écrits par des experts…) est de plus en plus basée sur de l’information véhiculée sous forme numérique par des sites Web, des blogs et des réseaux sociaux (Facebook, Twitter, LinkedIn…), dont la crédibilité est souvent très discutable. Ces sources d’informations ont six caractéristiques :
- La production/diffusion de volumes énormes d’informations.
- Une impossibilité d’identifier a priori les sources crédibles.
- Une crédibilité très diverse des différentes sources.
- Une vitesse de propagation de l’information très élevée.
- La combinaison de multiples liens.
- Un terrain privilégié de manipulation de l’information.
Différentes sources d’informations, un même problème
Le véhicule de l’information importe peu pour garantir une pertinence et une crédibilité, même si Internet ajoute une complexité supplémentaire. Ainsi, en matière d’occupation du terrain médiatique, plusieurs types d’émetteurs d’informations coexistent dont les opinions sont relayées par les médias et autres supports de diffusion d’informations :
- Les légitimes, par exemple les organismes officiels ou les organisations qui, de manière consensuelle, bénéficient d’une crédibilité et d’un capital de confiance très élevé (par exemple l’Anssi, le Clusif…).
- Les spécialistes, qui sont les experts issus des milieux officiels, d’universités ou d’entreprises commerciales et qui ont développé une expertise reconnue.
- Les prétendants, qui estiment disposer d’une compétence et d’expertises particulières, mais sans que celles-ci soient largement reconnues comme telles (par exemple les directions marketing des fournisseurs de produits de sécurité).
- Les intermittents, qui s’expriment de manière irrégulière sur les sujets de sécurité. Cela peut être, par exemple, des représentants d’organisations professionnelles qui prennent position sur un problème d’actualité.
- Les aléatoires qui sont, par exemple, les blogueurs ou n’importe quel individu qui relaie une information relative à la cybersécurité.
Rappelons le principe de base de la communication : c’est le processus par lequel celui qui émet un message transmet des informations ou des connaissances à un ou plusieurs interlocuteurs avec l’objectif de modifier la perception d’une situation et aussi les comportements. Si ce processus n’est pas contrôlé, tracé, avec des parties prenantes crédibles, des biais importants apparaissent dans l’interprétation de l’information émise.
Des risques pour les RSSI
Les principaux risques de ne pas qualifier l’information concernent le fait d’être trompé (désinformation) ou d’être un relais de diffusion d’informations tendancieuses ou fausses. La désinformation a toujours existé. Internet n’a donc rien inventé, il a seulement amplifié ce phénomène. Avec lui, la désinformation prend une nouvelle dimension, dans la mesure où chacun peut y publier à n’importe quel moment ce qu’il souhaite, les barrières à l’entrée étant inexistantes. En matière de propagation des rumeurs, Internet agit comme un puissant accélérateur. On le voit avec le phénomène des hoaxes, fausses informations dont beaucoup d’internautes pensent qu’elles sont véridiques.
La désinformation fonctionne selon quatre principes fondamentaux dont il faut avoir conscience et que l’on retrouve dans le domaine de la cybersécurité :
- L’exagération des dommages.
- La confusion entre coïncidence et causalité.
- Les risques relatifs privilégiés au détriment des risques absolus.
- La manipulation des images et des symboles.
La désinformation passe par le canal des rumeurs, souvent négatives. En outre, la source de la rumeur est souvent identifiée et présentée comme gage de crédibilité. Une rumeur peut naître à partir de faits réels, mais ceux-ci ne sont pas reproduits tels quels. Ils peuvent faire l’objet de trois types de modifications. D’abord une amplification : un simple incident devient, d’après la rumeur, une catastrophe ou l’indice d’un complot. Ensuite, les faits peuvent être déplacés : on en change le contexte.
Enfin, les faits peuvent être reconstruits : on modifie la structure du récit. Les technologies ont évidemment un rôle important à la fois pour la création de rumeurs et pour leur propagation. En matière de création, Internet a fourni de nouveaux espaces d’expression de ces fausses informations qui paraissent vraies. Internet agit ainsi comme une formidable caisse de résonance et il devient parfois délicat d’identifier la source primaire d’une information. Cette détection est d’autant plus difficile que le circuit de diffusion est, paradoxalement, considérablement augmenté entre l’émetteur et le récepteur, du fait de multiples liens et rebonds d’information. Les sanctions, pour une information fallacieuse, sont rares.
Une grille de qualification des informations
Quelle que soit l’origine d’une information, on peut appliquer une grille simple pour repérer, a priori, son degré de pertinence et donc le degré de confiance que l’on peut lui accorder. Cette grille repose sur dix critères principaux, exprimés sous forme de questions, que l’on peut appliquer à n’importe quelle forme d’information (article, document, interview, expression sur un blog, opinion sur un réseau social…).
Grille de lecture
- De 0 à 20 points : l’information n’est pas fiable et ne doit pas être utilisée sans vérifications approfondies et des recoupements multiples.
- De 20 à 50 points : l’information constitue une présomption de réalité, mais ne doit pas être utilisée sans validation et vérification auprès d’autres sources.
- De 50 à 80 points : l’information comporte plusieurs éléments qui concourent à sa crédibilité. Une vérification et un recoupement s’imposent néanmoins pour en valider la pertinence, en fonction du sujet traité.
- Plus de 80 points : l’information a une crédibilité suffisante pour être utilisée. Cela ne préjuge évidemment pas d’une pertinence à 100 %.
| Une grille comparative pour qualifier l’information | ||||
| Critère | Oui =1 | Non = 0 | Pondération indicative | Résultat pondéré |
| L’information émane-t-elle d’une source officielle (par exemple l’Anssi…) ? | 20 | |||
| L’information contient-elle un nombre suffisant de sources citées ? | 5 | |||
| L’information fait-elle référence à une étude quantitative ou qualitative dont la source est connue et crédible ? | 5 | |||
| La réputation du support qui véhicule l’information est-elle bonne (médias, blogs, livres blancs, sites Web…) ? | 5 | |||
| Le support qui véhicule l’information existe-t-il depuis une période suffisante permettant de valider sa crédibilité ? | 5 | |||
| L’auteur de l’information est-il clairement identifié ? | 15 | |||
| Le point de vue développé est-il équilibré, avec plusieurs avis contradictoires ? | 10 | |||
| L’information contient-elle des liens vers des sources externes permettant de la valider ? Ces sources externes sont-elles légitimes ? | 10 | |||
| L’information contient-elle des citations de personnes physiques ? | 10 | |||
| L’information est-elle exprimée avec un degré de précision suffisant, par exemple en évitant les termes « flous » (certains, quelques, un jour, souvent, quelquefois, peut-être…) ? | ||||