La formation académique de base est essentielle dans le processus d'insertion des nouvelles générations dans la société. En ce sens, le système éducatif de chaque pays cherche à fournir aux citoyens non seulement des connaissances académiques élémentaires, mais aussi à les aider à développer les compétences nécessaires pour affronter la vie, en tenant compte des défis d'une époque. Compte tenu du fait que ces compétences sont importantes pour les membres d'une société, l'éducation en sécurité informatique, étant donné le rôle que la technologie joue dans les temps actuels et futurs, est également importante. Par conséquent, elle pourrait bien faire partie de la liste des compétences essentielles pour relever les défis de la vie.

C'est pourquoi, dans le cadre de notre série sur l'éducation à la sécurité informatique, publié chaque semaine du mois de novembre à l'occasion de la Journée Anti logiciels malveillants 2019, nous avons décidé de consulter des organisations de différents pays qui jouent un rôle actif dans l'éducation sur les questions liées à la sécurité Internet pour savoir si elles considèrent que les enfants et les jeunes quittent le système scolaire avec les compétences nécessaires pour relever les défis que pose la sécurité informatique; s'ils estiment qu'il y a un manque de vision quant à l'importance de l'éducation à la sécurité numérique pour les citoyens du monde d'aujourd'hui; si l'éducation obligatoire devrait aborder certaines des différentes questions qui composent la sécurité et s'ils considèrent que les enseignants de ces niveaux d'éducation sont prêts à affronter cette tâche.

N'hésitez pas à consulter l'ensemble de nos articles sur l'éducation à la cybersécurité.

Est-ce que les enfants et les jeunes terminent leur formation primaire et secondaire avec des compétences suffisantes pour relever les défis de la sécurité informatique?

Selon la description du projet Promoción de la Seguridad Informática en el ámbito escolar (qu’on pourrait traduire par Promotion de la cybersécurité en contexte scolaire) de l'Université nationale de Cordoue en Argentine, les jeunes ne sont pas conscients des risques d'une publication excessive de photographies, de commentaires sensibles et d'informations privées sur les réseaux sociaux; ils n'associent pas ces pratiques aux problèmes qui les touchent souvent, tels que la manipulation, le sexto, la cyberintimidation et l’hameçonnage.

Cependant, comme l'expliquent les créateurs de ce projet qui forme des élèves du secondaire à donner des ateliers sur la sécurité informatique dans les écoles, la croissance de ces questions a engendré le besoin pour les parents et les établissements d'enseignement de demander de l'information et de la formation sur ces questions, ainsi que sur la protection des données, l'identité numérique et le vol d'information, la base de la cryptographie, la mauvaise utilisation des réseaux ou la prévention des attaques par Internet.

Afin de connaître d'autres avis, nous consultons des institutions de différents pays pour qu'elles puissent, en fonction de leurs réalités, nous donner leur avis sur l'éducation à la sécurité dans les environnements numériques.

Dans des pays comme l'Argentine et le Mexique, les sources consultées s'accordent à dire que les enfants et les adolescents n'ont pas les compétences suffisantes en sécurité informatique. L'équipe d'intervention en cas d'incident informatique de l'Université nationale autonome du Mexique (UNAM-CERT) explique qu’au Mexique, par exemple, « la théorie et la pratique fournies aux enfants et aux adolescents dans les écoles peuvent devenir insuffisantes. Dans l'enseignement primaire et secondaire supérieur, les sujets incluent parfois l'informatique, mais sans aborder en profondeur les questions liées à la sécurité de l'information » L’équipe ajoute : « Tout comme les enfants sont sensibilisés à la prévention des tremblements de terre, ils devraient également être sensibilisés à l'utilisation responsable des technologies de l'information ».

Argentina Cibersegura, une association civile qui mène des activités de sensibilisation et d'éducation à la sécurité dans les environnements numériques, reconnaît que les étudiants ne sont pas suffisamment qualifiés et explique qu'il peut y avoir plusieurs raisons à cela. L’ONG précise : « D'une part, parce qu'ils appartiennent au domaine des technologies de l'information et parce qu'il n'y a pas de programme scolaire obligatoire dans tout le pays, chaque institut est tenu de décider s'il veut ou non enseigner les technologies de l'information. En outre, les carrières dans l'enseignement ne sont pas mises à jour pour former les futurs formateurs aux compétences numériques et à la sécurité en particulier. Enfin, parce que l'accent est souvent mis sur des contenus considérés comme ce dont les générations futures ont besoin, comme la programmation ou la robotique, et que la formation des personnes qui savent comment être, faire et vivre ensemble sur Internet est laissée de côté ».

Dans des pays comme le Royaume-Uni, des modifications ont été apportées au programme d’études que les écoles = devront obligatoirement adopter et qui entrera en vigueur en septembre 2020. Cette formation, appelés Formation sur les relations, comprend l'éducation à la sécurité en ligne et inclut un guide à l'intention des écoles sur la façon de se protéger dans le monde numérique. Cependant, les spécialistes estiment qu'un seul changement dans le programme d'études risque d'être insuffisant. Claire Levens, de l'organisation à but non lucratif Internet Matters, basée au Royaume-Uni, estime que « si les changements apportés au programme d'études sont les bienvenus, en plus d'être suffisamment financés, ils doivent s'accompagner du bon niveau de formation des enseignants, et dans le cas de l'Angleterre, à moins que quelque chose change pour assurer le financement et la formation, il est difficile de voir comment ces seuls changements peuvent être suffisants. »

Manque de vision sur l'importance de l'éducation à la cybersécurité

Il est courant qu'il nous soit difficile de prendre la dimension réelle d'un problème actuel jusqu'à ce qu'il nous affecte directement ou un être proche. Les sources consultées conviennent qu'il y a un manque de vision quant à l'importance de l'éducation dans ces questions. « Les citoyens peuvent se concentrer sur l'utilisation de la technologie, mais sans savoir, par exemple, que des renseignements personnels ou organisationnels peuvent être exposés ou que quelqu'un peut en faire un mauvais usage. Ils n'ont donc pas à s'inquiéter de la sécurité tant qu'ils ne sont pas victimes d'une attaque », explique l'UNAM-CERT. « Souvent, la sécurité de l'information et de l'informatique est perçue comme un coût et non comme un investissement, ce qui signifie que les ressources ne sont pas allouées pour se préparer à ces questions, alors qu'en réalité, investir dans l'éducation pourrait représenter une économie en évitant l'impact qui peut causer une cyberattaque » ajoutent l’organisme.

Au-delà de la valeur de l'éducation et de son incidence directe pour prévenir les attaques et que les citoyens sont prêts à savoir quoi faire dans des situations qui cherchent à les affecter d'une certaine façon, comme nous l'avons vu dans notre précédent article sur la formation des professionnels en sécurité informatique, vu la pénurie et la demande de professionnels formés dans ce domaine, une éducation précoce peut aussi aider plus jeunes gens découvrir un domaine qui les concerne à développer dans le futur.

L'éducation en sécurité informatique devrait-elle faire partie des programmes de formation obligatoire?

Comme nous l'avons vu précédemment, des questions telles que la sécurité en ligne, qui relèvent de la sécurité informatique, ont été incluses dans le programme obligatoire de l'Angleterre pour l'année prochaine. Comme l'explique Argentina Cibersegura, le gouvernement espagnol a proposé de mettre en place l'enseignement de ces matières à un âge précoce. La Loi organique de protection des données à caractère personnel, entrée en vigueur en décembre 2018, découle de la nécessité d'adapter le système juridique espagnol à la réglementation générale de protection des données (RGPD, ou GDPR dans la langue de Shakespeare) et inclut dans un de ses chapitres le thème des droits de l'ère numérique et fait référence à l'approche de l'éducation numérique dès le jeune âge.

Ainsi, l'article établit que le système éducatif doit garantir l'insertion des élèves dans la société numérique et l'apprentissage des médias numériques afin qu'ils soient sûrs et respectueux de la vie privée et de la protection des données personnelles, en envisageant également les situations qui peuvent résulter d'une utilisation inappropriée des TIC, situations fondamentales de violence sur le réseau, tout en fournissant aux enseignants la formation nécessaire.

Prenant l'exemple de l'Espagne comme référence, l'ONG considère que l'éducation à la sécurité devrait être incluse dans le programme obligatoire, puisque « l'objectif de l'école reste la formation des citoyens, et la dimension numérique ne peut être négligée aujourd'hui ». Allant dans le même sens, l'UNAM-CERT souligne que « les questions de prévention en matière de sécurité de l'information adressées aux utilisateurs finaux devraient être abordées de manière obligatoire dans l'enseignement primaire et secondaire supérieur car nous vivons dans un monde virtuel et interconnecté, sans avoir à avoir des connaissances spécialisées en technologies, l'important est que les étudiants comprennent comment fonctionne l'informatique et ses risques associés, car cela pourrait les protéger, mieux se protéger et protéger leur entourage ».

Les enseignants sont-ils prêts à assumer cette tâche?

Bien que les enseignants utilisent depuis un certain temps déjà les technologies collaboratives pour leurs cours dans le but de tirer parti des ressources de l'époque afin de rendre les cours plus attrayants pour les élèves, cela ne signifie pas qu'ils sont qualifiés pour aborder la question de la sécurité Internet, ainsi que d'autres questions liées à la sécurité informatique.

Une étude réalisée au Mexique en 2017 par l'Association nationale des établissements d'enseignement supérieur (ANUIES) s’est penchée sur ces questions. L’UNAM-CERT résume quelques-unes des conclusions de celle-ci : « seulement 32 % des établissements d'enseignement supérieur (IES) forment leur communauté aux bonnes politiques et pratiques de sécurité contre les menaces et aux mesures préventives de sécurité de l'information, et 51 % des IES informent le capital humain de leur communauté sur les questions de sécurité, ce qui indique que le système éducatif a échoué à consolider ses efforts dans la cybersécurité ».

Claire Levens, Directrice des politiques d'Internet Matters, ne partage pas cet avis. Elle nuance cependant la question, en précisant que « nous devons avoir conscience que les écoles ont beaucoup à faire, et que la cybersécurité ne figure pas parmi leurs priorités ».

« Nous travaillons en permanence avec les enseignants et, d'après notre expérience, nous pouvons dire que les systèmes éducatifs actuels et les enseignants qui les composent ne sont pas suffisamment préparés pour faire face à une telle tâche », souligne quant à elle l'ONG argentine. « Le nombre d'enseignants et d'étudiants qui s'informent sur de nombreux sujets grâce aux conférences offertes par Argentina Cibersegura commence progressivement à prendre conscience de ces questions. De plus, ils ne se sentent pas en sécurité pour aborder les questions liées à la sécurité numérique en classe. Tout le monde compte sur un professeur d'informatique pour lui enseigner, et ce chiffre n'existe même pas dans la plupart des écoles ».

Dans le monde, il existe déjà des initiatives visant à former les enseignants qui travaillent dès le plus jeune âge dans le domaine de l'éducation aux connaissances et aux outils dans le domaine de la cybersécurité afin de fournir aux générations futures les outils nécessaires pour relever les défis que pose la sécurité de l'information. Dans des pays comme les États-Unis, des organisations comme le Department of Homeland Security (DHS) des États-Unis ont le Cybersecurity Education Training Assistance Program (CETAP). Au Massachusetts, l'Université Clark a développé en 2016 un programme pour le système scolaire public de Shrewsbury (situé dans cet État) dans le but d'éduquer les plus jeunes comme citoyens technologiques et de les former aux risques auxquels la technologie que nous utilisons et notre information est exposée. Bien qu'il reste encore beaucoup à faire, l'importance de la formation en sécurité informatique devient de plus en plus évidente.