Par deux fois en l’espace de quelques jours, j’ai assisté à une table ronde où un ‘expert’ a affirmé que la presse porte une lourde responsabilité dans le climat de paranoïa sécuritaire qui règne actuellement. Et bien non, Messieurs les experts, la presse et les journalistes n’y sont pour rien, et vous feriez mieux de nettoyer devant votre porte…
Le discours a été porté par un expert en sécurité de renom, un ‘gradé’ qui plus est, intervenant lors d’une conférence sur la cybercriminalité. L’attaque massive Wannacry, pour spectaculaire qu’elle soit, aurait finalement eu peu d’effet. Sauf médiatique, puisqu'elle aurait été montée en épingle par la presse et les journalistes en mal d’audience ! Je ne vous dirai pas qui a fait cette affirmation, ce n’est pas ce qui est important.
Ce discours, je l’ai rencontré de nouveau quelques jours plus tard lors d’une conférence. Il ne concernait plus Wannacry mais Petya. Là encore la presse est pointée du doigt comme étant le vecteur d’informations destinées à maintenir la paranoïa ambiante. Nous autres journalistes cherchons le scoop, l’info qui va mettre notre média sur le devant de la scène, au risque de vous raconter n’importe quoi, évidemment.
Je le concède bien volontiers, il est plaisant d’être à l’origine d’une information capable de faire bouger le Landerneau des médias, d’attirer l'attention sur vous, de vous inviter à nous lire. N’oubliez pas cependant que nous n’appartenons pas à la presse ‘people’, et que notre travail consiste à vous apporter la bonne information, celle que vous recherchez.
Les discours comme ceux que j’évoque ci-dessus appartiennent à la même démarche que celle qui pousse les politiques à affirmer péremptoirement « c’est la faute de la presse ! ». Certes, nous ne sommes pas des anges, mais ce n’est pas nous qui créons l’information, nous nous contentons de la relater, plus ou moins brillamment. Et surtout crier au loup, c’est généralement détourner notre/votre attention en évitant d’évoquer l’essentiel. Ici que nos experts en cybersécurité ont laissé passer des menaces par des failles qui pourtant étaient connues depuis longtemps.
Maintenant, je vous invite à vous mettre à ma place. Journaliste, vous veillez sur l’actualité, vous recevez entre 100 et 200 mails de communiqués de presse par jour, vous êtes abonné à une multitudes de newsletters, ce qui fait une centaine de mails supplémentaires, vous suivez Twitter, LinkedIn... vous faites votre travail de repérage de l'information.
Et voici qu’émerge une info sur une cyberattaque. Parlons de Petya, si vous le voulez bien. Dans votre boite mail, le premier message évoquant la menace date du 29 mars 2016. Oui, vous avez bien lu, 2016 ! On en parle mollement, chez les éditeurs, dans la presse, au FIC. Le 2 juin de cette année, pour la première fois un évangéliste se risque à faire un rapprochement entre Wannacry et Petya. Il ne sera pas suivi… tout du moins pas tout de suite !
A partir de la mi-juin, les éditeurs et les consultants en cybersécurtié évoquent le risque, puis la menace, et enfin l’attaque d’une nouvelle version de Wannacry. « On vous avait prévenu ! », tel est le message porté par nos experts ! Il faudra attendre le 27 juin pour que Petya passe sur le devant de l’actualité. Si je ne compte que les messages provenant d’agences RP, des communiqués de presse donc, en une semaine 58 évoquent directement Petya. Le dernier datant d’aujourd’hui, 4 juillet, à 13 heures. S’y ajoutent 27 avis d’experts provenant d’éditeurs, d’évangélistes ou de consultants, dont la plupart se servent de Petya pour nous expliquer que eux ils auraient pu ou ils ont su bloquer la menace. Tient donc ! Et puis il y a les articles de presse, de presse mondiale d’ailleurs, les billets de blogs, les tweets, retweets, etc., mais là je ne les ai pas comptés.
Comment, dans de telles conditions, avec des dizaines, voire des centaines de rappels à ‘Petya’, aurions-nous pu rater cette information ? Et ne pas la publier à votre attention, participant au buzz. Maintenant, posons-nous une autre question : Qui souffle le vent de la paranoïa ? La presse qui relate l’information ? Les DSI et RSSI qui la consultent ? Ou l’écosystème des acteurs de la cybersécurité à la recherche de visibilité sur les médias et auprès de vous ?
Sur Petya comme sur Wannacry, sur les pratiques de hackers ou de la NSA, sur les failles ou sur l’ingénierie sociale, je reste persuadé qu’une poignée seulement d’experts, guère plus, détiennent la vérité et savent de quoi ils parlent ! Leurs compétences leurs suffisent, ils n’ont pas besoin de faire régner un climat de paranoïa pour qu’on les écoute.
Quant au journaliste, il ne peut que relater une information qu’on lui donne, que l'on publie (rendre publique) ou qu’il va rechercher. Alors, la prochaine fois que quelqu’un affirmera que « c’est la faute des journalistes », me ferez-vous l’honneur de lui répondre que comme vous, le journaliste ne fait que son travail, mais que ce n’est pas lui qui répand les rumeurs et les menaces. Et demandez-vous qui se cache derrière les boucs émissaires ? Et rappelez-vous que si vous êtes attaqués, c'est probablement que vous ou plutôt vos partenaires avez raté quelque chose, pas le journaliste qui vous parle...
Image d’entête 537384476 @ iStock ioanlasay