Tag Archives: Informaticiens

Dispositif national ACYMA (Actions contre la CYber Malveillance) : bons ingrédients, mauvaise recette

blue-bird

Allez savoir pourquoi, ACYMA me fait penser à un nom de cocktail. Chargé en Curaçao bleu, je le verrai bien comme le digne successeur de l’Apérol Spritz et best seller des terrasses de l’été 2017 ! Malheureusement, excepté le pouvoir enivrant qu’il est censé promettre, ACYMA ne se servira pas dans les bars à cocktails mais davantage à l’infirmerie de lutte contre les bleus et les maux du Web. Et c’est tant mieux. Du moins c’est ce que l’espoir dicte …

ACYMA pour « Actions contre la CYberMAlveillance » a été dévoilé à l’occasion du FIC 2017 comme le nouveau dispositif national d’assistance aux victimes d’actes de cyber malveillance. J’avoue n’avoir pas saisi grand chose le jour du communiqué. Cela m’a conduite à en discuter avec Jérôme Notin, chargé de son incubation à l’ANSSI. C’était certes plus clair mais pas totalement et je suis ressortie avec plus de questions que de réponses. Mon salut est venu de No Limit Secu le 2 mai dernier qui y a consacré un podcast. Hervé Schauer, Nicolas Ruff et la joyeuse bande recevait Jérôme Notin et Eric Freyssinet. Derniers éléments de compréhension en poche, je me suis vue armée pour enfin mettre en marche (sans jeu de mots) ma réflexion et vous livrer quelques pensées sur le sujet …

Mais avant tout, un bref retour sur ACYMA en mode « QQOCP» pour ceux qui ne connaissent pas ce dispositif et/ou qui n’ont pas écouté le No Limit Secu.

Qu’est-ce que ACYMA ?

Avant toute autre chose, une bonne idée et le fruit de bonnes volontés, et je tiens à le souligner. Seuls ceux qui ne font rien et qui ne prennent aucun risque, ne se trompent jamais. Et c’est dans cette optique que je m’apprête à livrer une critique que je souhaite constructive et bien évidemment ouverte au dialogue et au débat.

Plus prosaïquement,

ACYMA = Actions contre la CYberMAlveillance. C’est un dispositif national d’assistance aux victimes d’actes de cyber malveillance. Il est en cours de construction.

Pour reprendre le communiqué publié sur le site de l’ANSSI et les précisions des invités de No Limit Secu, il vise 4 objectifs :

  • la mise en relation des victimes via une plate-forme numérique (ACYMA) avec des prestataires de proximité susceptibles de les assister techniquement pour répondre à leurs problèmes informatiques ;
  • La possibilité – in fine – de déposer plainte en ligne (Les instigateurs évoquent bien le dépôt de plainte et non de pré-plainte)
  • la mise en place de campagnes de prévention et de sensibilisation à la sécurité du numérique ;
  • la création d’un observatoire de la criminalité numérique permettant de l’anticiper.

À l’attention de qui ?

Cette démarche est initiée à l’attention des particuliers et également des entreprises et collectivités territoriales, hors OIV (organismes d’importance vitale) qui ont un canal et des processus spécifiques avec l’ANSSI. Le communiqué n’en fait pas explicitement mention mais sont visées en priorité les PME, plus que les grandes entreprise/groupes qui pour les instigateurs ont leurs propres processus et compétences internes à ce sujet.

Par qui ?

Sur une initiative de l’ANSSI et du Ministère de l’intérieur.

Mise en œuvre par un Groupement d’intérêt public (GIP), ACYMA s’appuiera également sur les prestataires techniques de proximité et sur les réseaux existants au niveau territorial pour mener à bien ses missions, qu’il s’agisse des administrations de I‘Etat (Gendarmerie, Police, représentants locaux de I’ANSSI) ou des collectivités et acteurs locaux (chambres consulaires, fédérations professionnelles, réseaux « transition numérique », etc.)

Où ?

Sur l’ensemble du territoire national.

Le Luxembourg est le 1er pays à avoir franchi le pas avec un dispositif du genre et c’en est d’ailleurs l’origine de l’inspiration du projet.

Le développement de la plateforme va débuter très prochainement sur une région pilote que sont les Hauts de France, sous le nom de domaine cybermalveillance.gouv.fr. À l’été, si tout est dans le vert, le déploiement sera étendu au territoire dans sa totalité.

Comment ?

Bien que les détails n’ont pas encore été fournis et que la plateforme n’est pas encore en ligne, les instigateurs ont dores et déjà informé qu’une victime pourra se connecter à la plateforme web et répondra à un questionnaire. A l’issue, une fiche d’un prestataire (ou « de », cela n’est pas précisé), installé dans la région de la victime, sera fournie à la victime qui pourra faire appel à lui. Il n’est pas fait mention plus explicite de la nature et de la qualité des questions ou « arbre de décision », ni de la façon dont les prestataires vont être présentés à la victime, en nombre et en qualité.

A propos de ces prestataires, il ressort qu’ils seront amenés eux-mêmes à s’inscrire sur la plateforme. Ils peuvent en outre dores et déjà écrire à l’ANSSI pour se faire connaître. La volonté étant de répondre aux problèmes informatiques du plus grand nombre, tous les prestataires type informaticien de proximité, dépanneur informatique, et autre petite entreprise sont invités à s’inscrire. Jérôme Notin et Eric Freyssinet ont bien fait comprendre qu’il s’agissait d’un mécanisme ouvert, sans certification à la source, mais que bon an mal an, l’ANSSI s’assurerait que la prestataire est « fiable » sans autre précision. A la demande insistante de Nicolas Ruff sur le fait de savoir si ces informaticiens seront accompagnés, en terme de baselines, de bonnes pratiques, la réponse est restée fragile. Le mécanisme d’acceptation ou pas d’un prestataire reste flou. On oscille entre « l’objectif n’est pas de laisser en roue libre le prestataire » et « le mécanisme est ouvert et le prestataire manœuvre selon le besoin de son client ». Cela peut faire transparaître que c’est un point toujours à l’étude ou bien que l’ANSSI attend d’être entrée en relation avec un échantillon représentatif de prestataires pour se donner une idée des compétences de chacun. Ce qui est acté en revanche c’est la signature par les prestataires d’une Charte. Là encore, cela reste conceptuel. Le prestataire s’engage « à porter secours dans le respect des bonnes pratiques » (lesquelles ? On ne sait pas) et « dans le respect de la loi » et de « la victime ».

Ce qui est notable de l’intervention de Jérôme Notin dans No limit Secu est qu’il compte sur une autorégulation du marché, grâce à un système d’évaluation où les victimes pourront sur la plateforme ACYMA, noter par un système d’étoiles et commenter en champ libre l’intervention du prestataire. Il n’est pas fait mention de potentiels critères d’évaluation.

Pourquoi ?

C’est une excellente question et la seule réponse est somme toute assez convenue. Excepté l’état de la menace, qui se traduit en ces mots par le CP de l’ANSSI « Au regard de l’augmentation du nombre d’attaques informatiques, l’amélioration de la prévention et de l’assistance portée aux victimes d’actes de cyber malveillance – particuliers, entreprises et collectivités territoriales – constitue un objectif prioritaire partagé par l’ANSSI et le ministère de l’Intérieur », il n’est rien dit de plus.

Volonté purement politique, augmentation du nombre de mains courantes et de frustrations des populations touchées, ou autres, on peut effectivement s’interroger sur ce qui a poussé en un temps record l’idée de ACYMA, alors même que l’ANSSI et les autres entités ont déjà fort à faire avec les administrations et les OIV …

Désormais au fait de ce qu’est ACYMA, une question me préoccupe.

Pourquoi faut-il qu’une si précieuse et bonne démarche volontariste soit amenuisée par un manque de pragmatisme et d’opportunisme ?

Tous les ingrédients d’un super cocktail ACYMA sont réunis (volonté politique, la force de frappe de l’ANSSI et du Ministère de l’Intérieur, un réseau et une communauté SSI active, une impétueuse nécessité de répondre à des besoins réels de victimes, un marché des « plombiers du digital » qui ne demande qu’à éclore). Pourtant, inexorablement, j’ai ce sentiment désagréable que ce projet est trop timide et qu’il passe à côté d’une vocation plus grande, qui servirait à toutes ces parties prenantes.

Je ne suis évidemment pas dans le secret des Dieux, et certaines hypothèses que je m’apprête à avancer sont peut-être à l’étude. Ces hypothèses sont d’ailleurs nombreuses. Je vais donc essayer d’aller à l’essentiel. Libres à nous de creuser et de poursuivre les échanges.

ACYMA : Quelques fantasmes pour fondations

J’ai le sentiment que le dispositif ACYMA a été fondé à partir de postulats que les porteurs du projet aimeraient vrais de toutes les forces, plus que sur les réalités de la vraie vie.

Quels sont-ils, à mon sens ?

Un fantasme sur le niveau de connaissances de l’environnement numérique des utilisateurs ciblés par ACYMA :

  • En pensant d’abord que la victime d’une cyber malveillance va d’elle-même savoir qu’elle EST « victime », et donc se connecter à ACYMA,
  • En pensant qu’elle va se sentir armée pour répondre à des questions (certes dont je ne connais pas la teneur) mais qu’elle risque de ne pas toujours comprendre et qu’elle va aller au bout du processus,
  • En pensant qu’elle va porter plainte et assumer seule cette responsabilité en toute sérénité,
  • En pensant qu’elle va – et saura – évaluer un prestataire et que le marché va ainsi « s’autoréguler »

Qu’est-ce qui autorise en effet à penser, une seule seconde, et les professionnels sur le terrain peuvent en témoigner, que Madame Michu ou la PME va savoir qu’elle est victime de cyber malveillance ? Un utilisateur en indélicatesse avec son outil numérique débarque rarement chez son dépanneur en lui disant « je suis victime d’un phishing » ou « d’un rançongiciel » mais plutôt en fustigeant qu’il a « un problème » et « en voici les symptômes ». En l’état, je crains donc que la plateforme se prive d’emblée de toutes les victimes qui s’ignorent … Et de mon seul point de vue, je dirais que c’est la majorité surtout chez les particuliers.

Dans le même ordre d’idées, mais j’y mets toutes les réserves d’usage car je n’ai pas connaissance des questions posées pour diriger la victime vers un prestataire ni le processus de dépôt de plainte, je crains fort que la dite victime ne soit pas forcément en mesure de répondre aux questions. Parfois même j’imagine qu’elle partira du principe qu’elle n’est pas « capable » de le faire car elle « ne comprend rien à l’informatique » voire qu’elle doutera de chaque réponse en se demandant si elle fait bien ou pas, ajoutant un risque de la voire se déconnecter à tout instant.

Pour finir, je crois que les porteurs du projet font vœu pieux s’ils pensent à une autorégulation du marché par un système d’évaluation. Sur les prestations de service à la personne bien tangibles auxquelles le citoyen accède (plomberie, pressing, ménage, etc.) il est déjà difficile de lui arracher un commentaire. Il suffit également de se rendre sur l’Apple Store ou le Google Playstore pour constater que le ratio Téléchargements / Commentaires d’une application est extrêmement faible. Qu’en déduire alors pour une plateforme comme ACYMA où règne l’intangible pour le commun des mortels ? Je doute que l’administration cherche une régulation par le bas et c’est pourtant exactement ce qui risque de se produire à mon sens. En effet, les bonnes âmes qui voudront « étoiler » et dans le meilleur des cas, commenter en champ libre un prestataire, le feront sur des critères qu’elles maîtrisent. C’est-à-dire ? Sur sa réactivité, son prix, sur le temps d’intervention, sur son amabilité, et sur un bon retour à la normale, comprenez d’utiliser l’outil comme avant. J’ai oublié le rapport qualité / prix me direz-vous. Non, c’est à dessein. La qualité de quoi ? Comment un utilisateur qui utilise son smartphone, sa tablette ou son PC comme il utilise sa voiture pour le conduire d’un point A à un point B pourrait établir la qualité d’une prestation autrement que sur des critères génériques de relation et de satisfaction client ? Mais jusqu’à preuve du contraire, il ne me semble pas que l’ANSSI ait vocation à devenir la prochaine place de marché du dépannage informatique. Par contre, il me semble nettement plus à propos de la voir comme une garante que ces dépanneurs du quotidien soient armés pour bien faire. Ce système tel qu’il est pensé est donc à mon sens contreproductif car je doute fort que le prestataire consciencieux sorte son épingle du jeu.

Un fantasme sur la « viralité » de la plateforme

  • En pensant que la victime aura pour réflexe de se connecter à la plateforme aussitôt l’incident parvenu
  • En pensant que la publicité, la communication et les Relations Publiques de masse autour de ACYMA sont des luxes que l’administration ou le GPI ne peuvent pas s’offrir, par manque de fonds.

Qu’est-ce qui autorise – encore une fois – à penser que la seule existence de la plateforme suffise à générer de la fréquentation, si elle n’est pas accompagnée d’une campagne de communication et de relations publiques étendue et de masse ? A la question « avez-vous prévu des spots TV ou de vous acoquiner avec Cyprien le youtubeur, pour taper fort et faire en sorte que ACYMA soit virale ? », No limit Secu n’a eu que pour seule réponse « Non…, ça coûte cher, mais si dans un horizon proche on lève la cyber sécurité au rang de cause nationale, il y aura peut-être des moyens de faire quelque chose … ». Voilà une réponse qui pardon, a tendance à me faire bondir car c’est un problème récurrent. Voilà des années que l’ANSSI produit à tour de bras, un site plus ergonomique, des guides, des recommandations, des supports et j’en passe. Elle s’est même dotée d’un compte Twitter. Le problème ? C’est qu’à l’exception de la petite communauté de la SSI (et encore … parfois on peut être surpris) personne ne le sait ou presque ! Je peux vous lister des dizaines d’exemples mais me contenterai d’un seul. Si je vous dis cyber sécurité est une petite série infographique lancée par Sekimia ,10 questions à l’attention de dirigeants / responsables de PME sur ce que la cyber sécurité leur évoque. Nous en sommes à la 5ème infographie et bien, pas une seule PME n’a cité l’ANSSI comme autorité de référence sur ces sujets.

Que Guillaume Poupard soit le meilleur VRP que l’ANSSI ait eu à connaître ne fait de doute pour personne, mais tout ne peut pas reposer sur un seul homme et ses quelques lieutenants, bons speakers. Si Léa Salamé a invité M. Poupard sur France Inter au 7h50, média généraliste, il y a quelques jours, c’était bien plus pour traiter du croustillant bazar qu’une attaque aurait sur les élections que pour la cyber sécurité elle-même. Pour ajouter à ses défauts, ce n’est pas un sujet sexy. ATTEINDRE les cibles de ACYMA n’est donc en aucune façon une tâche à prendre à la légère, mais une priorité absolue.

Un fantasme sur le rôle à jouer par chacun

  • En ne dépassant pas la pensée que les prestataires de proximité et je pense surtout aux informaticiens, dépanneurs et bidouilleurs du dimanche soient simplement là pour soulager les utilisateurs ou déporter les appels à l’aide que les autorités ne peuvent gérer
  • En « espérant » avec un peu de chance, pour reprendre le terme de Jérôme Notin, le prestataire non spécialiste SSI montra en compétences grâce à ce canal de prospection que lui offre ACYMA
  • En pensant que c’est pour l’ANSSI une priorité de consacrer du budget à créer du contenu pour la plateforme.

Accompagner les victimes de cyber malveillance. J’aimerai bien savoir qui n’a pas envie d’applaudir des deux mains pour ce projet. C’est le sens de l’histoire – du moins pour un temps – et c’est un projet enthousiasmant. Alors pourquoi y mettre aussi peu d’espérance, d’objectifs de performance et de vigueur et de ne pas se dire que l’impossible n’existe pas ?

Ce qui m’a frappé immédiatement c’est que ACYMA a été présenté par la petite porte, et non comme un maillon phare de la stratégie nationale de la sécurité numérique pour apporter une réponse de poids aux défaillances qui contamine cette discipline. A savoir ? Le déficit de compétences et de forces vives en sécurité numérique que ce soit dans le privé mais également du côté des forces de l’ordre, ou encore dans un autre registre les tabous persistants qui entourent la cyber malveillance qui empêchent une remontée de données empiriques sur ce qui se passe concrètement sur le terrain.

Le manque de compétences est en permanence raillé. Récemment le Général Watin Augouard dénonçait encore qu’il manquerait à l’horizon de 2020 900.000 emplois dans la cyber sécurité.

ACYMA en référençant des profils et structures d’informaticiens et autres réparateurs locaux disposera à terme d’un vivier de profils quasi « prêts à l’emploi ». Comment alors ne pas faire le lien ? Comment ne pas envisager que ces profils pourraient éventuellement pour certains ajouter à leur bagage ou carrément se reconvertir dans la cyber sécurité ? Mais faut-il encore se donner la peine de créer et de capitaliser une chaîne de valeurs à moindre coûts.

N’est-il pas vrai que les forces de l’ordre manquent également de données sur la menace, sur des retours d’expérience sur ce que vivent réellement les particuliers et les PME au quotidien ? L’inauguration d’un observatoire de la criminalité numérique ne fait-il pas écho à ce besoin ?

Je me souviens parfaitement encore des propos du Colonel Duvinage, chef du Centre de lutte contre les criminalités numériques (C3N) à l’occasion d’une visite à l’IRCGN. Ce dernier prônait l’intérêt d’un dialogue beaucoup plus permanent avec les experts de sécurité et son souhait de remontées d’informations utiles pour faire avancer les enquêtes et ainsi faire progresser le taux d’élucidation de la criminalité numérique.

Quelques propositions de recette

Voici quelques propositions. Celles-ci tourneraient autour de 3 grandes idées :

  • Recentrer le dispositif autour du prestataire et moins autour de la victime
  • Créer et valoriser la chaîne de valeurs que forment les parties au projet en pensant le projet dans sa globalité et notamment dans la stratégie nationale de sécurité numérique au service de tous
  • Diriger les efforts financiers, humains et d’imagination sur la communication de masse, les relations publiques et les moyens de générer de l’attractivité autour du projet

Je ne peux pas toutes les développer, l’article étant déjà fort long, mais en voici les lignes directrices :

  • Un nom de domaine ouvert, pour une captation de trafic du plus grand nombre. Un nom proche de SOSinformatique.gouv.fr par exemple, pour permettre aux victimes qui s’ignorent de le découvrir une fois sur la plateforme grâce à un arbre de décision. Cela serait tout à fait en phase avec l’idée d’en faire un « guichet unique » et un carrefour pour mener l’usager vers la réponse la plus idoine (Pharos, etc.)
  • Un menu à double entrée, c’est-à-dire ouvert certes à la victime mais également aux professionnels de l’informatique. Compte tenu du peu de publicité prévue autour de ACYMA et parce que c’est profondément humain, je suis prête à parier – nous en déplaise – , que la grande majorité des victimes – assumées ou qui s’ignorent – confrontées à une défaillance de leur matériel ira d’abord taper à la porte de leur dépanneur informatique, de leur cousin Bob qui travaille chez Google ou du vendeur d’ordinateur du coin de la rue avant même de penser à ACYMA. Faire avec le postulat que les usagers vont vers ce qu’ils connaissent et ce qui les rassurent et qu’ils vont avoir tendance à « faire faire » me semblerait plus efficace. C’est pourquoi la porte d’entrée de la plateforme web doit être la plus étendue possible pour multiplier les chances que toute personne susceptible d’intervenir, trouve ACYMA. Et, le prestataire ou le cousin Bob navigue à mon avis dans un univers qui a nettement plus de chance de lui servir ACYMA sur un plateau que la victime elle-même. Cela conduirait également à élargir les candidatures des prestataires non plus en amont du projet, mais à l’occasion d’un incident géré. Pourquoi se priver de travailler avec des prestataires parce qu’ils n’ont pas eu la bonne idée de connaître ACYMA avant de devoir gérer le souci de la PME locale ? 
  • Faire de la plateforme le guide de bout-en-bout d’un processus de la gestion de l’incident, en 5 étapes, et multi-entrées. En tant que guichet unique, j’ai la conviction que ACYMA doit être un fil rouge, un guide à toutes les étapes de cette gestion d’incident quelque soit le moment où y sera mis le mot « fin », c’est-à-dire avant ou après le dépôt de plainte. C’est encore un avis personnel, mais ACYMA ne devrait pas se limiter à permettre à trouver un prestataire, mais devrait accompagner in fine la victime et surtout son réparateur informatique, de la qualification de la malveillance jusqu’à une potentielle investigation Forensics dans le dur. J’ai perçu peu de convictions sur ces points, de la part des porteurs de projet, tout au plus quelques espérances. Hors ce projet peut avoir cette ambition.

Le processus décrit pourrait comporter 5 étapes :

  1. Victime ou pas de cyber malveillance ? (Utilisateur / Professionnel) grâce à un arbre de décision, avec un téléchargement à la clef d’une feuille de route type.
  2. Si oui, Trouver un prestataire (Utilisateur)
  3. Génération d’un Rapport préliminaire à la mode Microsoft ou Apple assorti également d’une description par le dépanneur de la façon dont il a procédé et ce qu’il a conclu. Ces documents types seront collectés par l’ANSSI pour apprécier le gap ou pas de la compétence du dit prestataire par rapport à l’état de l’Art, quand bien même celui-ci aurait déjà signé la Charte – ou pas-, et collectés également par l’observatoire de la criminalité numérique pour alimenter directement son recensement de données, tout cela en s’assurant évidemment du consentement de la victime. (Utilisateur averti / Professionnel)
  4. Dépôt de plainte (Utilisateur + Professionnel)
  5. Aller plus Loin, vers du Forensics. (Professionnel)

Pour faire écho à mon point 2, et Il sera toujours temps de débattre sur ce qu’on peut générer comme rapport préliminaire (Nature de l’incident, impacts, point d’attaque si connu, modus operandi, demande client, attaque directe ou de masse si identifiée, matière à investiguer, désir de porter de plainte, etc.) mais ces données serviraient non seulement comme outil d’évaluation du prestataire, qui pourrait être signataire de la charte en amont comme c’est prévu aujourd’hui mais également à l’issue d’une prestation. Rappelons que la charte s’assure que le prestataire comprend qu’il doit remonter de l’information et préserver la preuve numérique. Qu’on l’évalue « avant sur dossier » ou « sur incident », les deux se défendent et quelque soit le cas de figure, le prestataire est au moins identifié.

  • Déployer la chaîne de valeurs en capitalisant sur un transfert de compétences sur ces acteurs de la vie locale, en mettant en place un Crédit de formation basé sur un donnant-donnant (« Moi, prestataire informatique, je remonte de l’information utile en investigation commandée par un représentant des forces de l’ordre de la Police ou Gendarmerie Nationale, qui – en contrepartie – m’oriente à l’occasion des investigations pour que je consolide mes connaissance en sécurité »). Si le principe a été avancé par les porteurs de projet, cela m’a semblé fort timide. Or, je crois que c’est une des réponses possibles à la sortie de crise que soi-disant nous vivons en terme de manque de compétences dans la cyber sécurité. Une chaîne de valeurs pourrait d’ailleurs se mettre en place avec quelques initiatives à l’instar du Cyber Security Career Lifecycle (#CSCL) que nous construisons à l’ISSA France. 
  • Toujours relativement à la montée capacitaire des prestataires, je propose la suppression de l’évaluation des prestataires par les victimes censée prétendre à une « autorégulation » du marché. La remontée des rapports, décrite ci-dessus, me semble nettement plus garante de la qualité des interventions des prestataires. Il est vrai que cela génèrera du travail. À ceci près, qu’il me semble que cela rentre parfaitement en ligne avec les attributions de l’ANSSI, contrairement à l’idée de devenir la prochaine place de marché du dépannage en tous genres. Un dialogue régulier avec ces plombiers du digital et leur alimentation en bonnes pratiques, guides et processus me semblent plus efficients quand on est en telle quête de forces vives. »
  • Ceci étant dit, je ne jette pas le système d’évaluation par étoiles et champ libre, que je verrai porter non pas sur les prestataires mais sur les contenus proposés. Oui. Pourquoi ce basculement ? Les contenus (guides, Hack Academy, supports de sensibilisation) sont bel et bien destinés aux victimes. Mais qu’en est-il des indicateurs de performance de ces contenus ? Je n’ai jusqu’ici jamais vu de résultats chiffrés ou autres sur les contenus proposés, alors même que s’il y a bien un public bien placé pour apprécier ce qui l’aide et ce qui ne l’aide pas, c’est quand même bien le public visé par l’auteur du contenu. Il me semble qu’il y aurait là un moyen formidable pour les experts de la SSI de se rendre compte de l’accueil terrain de leurs contenus et de monter en compétences sur la pédagogie, et ce ne serait pas un luxe loin s’en faut. Occasion rêvée pour ajuster les contenus en fonction des publics visés pour que ça marche, tout simplement ! Pour ce qui y est de l’alimentation de cette rubrique, c’est à étudier, mais laisser tout prestataire, toute association, tout auteur de contenus, avec peut-être un minimum de filtre pour éviter les rumeurs de distorsions de concurrence, poster un contenu sur la plateforme, pourrait non seulement générer du trafic mais aussi de la promotion gratuite pour ACYMA.
  • En parallèle du point 6 j’ajoute d’ailleurs qu’en terme de timing, je ne pense pas, si ça ne va de pair avec des campagnes de publicité de masse, que la priorité soit à la création de contenus mais plutôt à l’agrégation des contenus existants. C’est que s’était d’ailleurs fixé comme objectif d’entreprendre la RCC. Mais j’ignore si ce chantier a bel et bien été lancé. Derrière cette idée, j’entends donc que les fonds destinés à la création pourraient être dédiés justement davantage à la publicité. Si l’ANSSI fait beaucoup de promotions, et d’ailleurs de plus en plus étendue hors de « sa zone de confort » – il faut le souligner -, elle n’attire pas suffisamment les cibles vers ses services. Elle ne fait pas assez de publicité. Le guichet unique de la cyber malveillance doit – et il faut bien se mettre ça dans la tête pour que ça fonctionne – être aussi visible que le 15 du SAMU social, le 18 des pompiers, ou encore le numéro vert à appeler en cas de carte bancaire volée ou perdue. Sinon, la désillusion n’a pas fini d’être lourde. De la même façon que pour n’importe quel projet, ACYMA doit se fixer des objectifs de performance. Et si le GIP noue des partenariats comme il a déjà commencé à le faire, avec des associations, des acteurs privés qui j’ose le croire se feront l’écho de ACYMA si c’est pour le bien de leurs clients, et ce, sans grande contrepartie, il me semble que cela sera nettement plus facile et scalable.

 

Quelque soit la suite donnée à ces réflexions personnelles, je laisse place au débat d’idées et aux retours d’expérience, et évidemment la blogchaîne se fera le relais du lancement de ACYMA qui approche et auquel on ne souhaite que le meilleur.

Tchin, À la vôtre !