Le Dr Lorrie Cranor de l'université Carnegie Mellon a pris la parole au sujet de ce que le secteur de la sécurité fait systématiquement mal lors du déjeuner exécutif RSAC de la National Cybersecurity Alliance, organisé à San Francisco en mars 2026.  

Lors d'une discussion approfondie avec l'expert en cybersécurité John Elliott, instructeur de l'initiative Cybersecure My Business de la NCA, elle a expliqué que de nombreux systèmes d'aujourd'hui demandent aux humains de faire des choses que le cerveau humain est littéralement incapable de faire.  

Quand nous faisons peser les problèmes de sécurité sur l'utilisateur, a-t-elle dit, « Nous ne les faisons pas peser sur l'utilisateur d'une manière qu'il puisse réellement gérer », et elle a mentionné que, pendant de nombreuses années, nous nous attendions à ce que les gens se souviennent de dizaines de mots de passe longs, uniques et complexes.  

Cranor, qui est la directrice du CyLab Security & Privacy Institute de Carnegie Mellon, martèle ce message depuis longtemps. Elliott, qui a dit être « impressionné » par Cranor, a évoqué le livre de 2005 Sécurité et utilisabilité : concevoir des systèmes sécurisés que les gens peuvent utiliser. Elliott a dit que ce livre avait changé toute sa vision de la cybersécurité il y a 20 ans.  

Dans cette discussion, Cranor a mentionné plusieurs façons dont le secteur met les gens ordinaires en situation d'échec et ce qui peut être fait pour y remédier. 

1. Pensez à simplifier la sécurité 

Trop souvent, selon Cranor, nous confions aux utilisateurs des tâches de sécurité qui sont difficiles ou déroutantes. Elle a cité l'exemple des avertissements de certificat du navigateur – il y a 10 ans, il était tout à fait normal d'en voir même dans des situations bénignes. En conséquence, les gens les ont simplement « tous balayés », a-t-elle dit. Ils faisaient aussi cela lors des rares attaques réelles de l'homme du milieu. Comme exemple positif d'évolution, elle a noté que cela est maintenant souvent automatisé et ne dépend plus de l'utilisateur.  

Aujourd'hui, elle s'intéresse beaucoup à la façon dont nous abordons les mots de passe. Elle a indiqué que les gestionnaires de mots de passe sont une solution simple et évolutive : « Ils tombent en panne, mais pas très souvent », comparés à la réutilisation des mots de passe.  

Elle a dit que l'objectif à long terme est d'éliminer complètement les mots de passe et de faire en sorte que les gens utilisent des appareils pour s'authentifier (avec des clés d'accès, par exemple) : « Nous devrions sortir d'une situation où nous devons retenir des dizaines ou des centaines de mots de passe. » 

2. La sensibilisation reste importante 

Cranor voit toujours beaucoup de valeur dans les campagnes de sensibilisation, en particulier autour de l'intelligence artificielle (elle ne l'a pas mentionné, mais un exemple est la campagne Escroqué par l'IA, restez vigilants de la NCA). 

« Nous entrons dans une période où l'IA générative peut produire des courriels d'hameçonnage beaucoup plus convaincants, ainsi que des vidéos et de l'audio deepfake », a fait remarquer Elliott.  

« La première étape consiste à faire prendre conscience aux gens que cela se produit et que l'IA est extrêmement avancée », a répondu Cranor, tout en précisant qu'elle veut que le secteur aille au-delà des simples messages du type « soyez prudents ». 

« Si je passe simplement toute la journée à faire attention, je ne vais rien faire », a-t-elle dit, en mentionnant qu'elle aimait l'idée de mots de code pour les familles.  

3. La cybersécurité peut être amusante 

Même si certaines de ses déclarations étaient sombres et que le changement a été lent au fil des décennies, elle voit encore des possibilités de rendre la cybersécurité amusante. Elle a épaté la foule avec une robe à motif de mauvais mots de passe (comme « jennifer ») qu'elle a fabriquée elle-même – elle a même confectionné une robe de bal personnalisée sur le thème des mauvais mots de passe ! Elle a aussi écrit un livre pour enfants de 4 à 6 ans afin de leur enseigner les bases de la vie privée. 

Lorsqu'on lui a demandé quelle est la plus grande erreur de compréhension de la sécurité dans le secteur, elle a répondu que « l'industrie ne mène pas de tests de sécurité avec les utilisateurs lorsqu'elle teste ses produits auprès des utilisateurs ... la sécurité est perçue comme un petit élément secondaire ». 

« Les humains font des erreurs, mais ils en font en faisant des choses qu'ils n'auraient pas dû avoir à faire au départ », a-t-elle estimé.  

Pour Cranor, l'espoir est que les systèmes deviennent plus sécurisés afin que les utilisateurs aient à faire le moins possible.