• Les définitions et contours de ces risques, donnés par les institutions gouvernementales ou les entreprises, ne correspondent pas toujours aux représentations des particuliers.
• Pour imaginer des solutions de protection adaptées, il est nécessaire de comprendre comment les internautes perçoivent les risques. Ceux pour lesquels les internautes sont ou se sentent lésés sont au centre de ces travaux de recherche.
A quoi pensez-vous lorsqu’on vous parle de risque numérique ? Certains Français répondront en faisant référence au cyberharcèlement, d’autres au phishing, à la cryptomonnaie ou à l’usurpation d’identité. Une partie ne saura pas répondre, et une majorité parlera de piratage. Ces réponses sont tirées de véritables verbatims obtenus au cours d’une enquête réalisée auprès de 2000 Français, en janvier 2024 [1].
L’usage du numérique s’accompagne de nombreux risques. Ceux relatifs à la « cybersécurité » sont de plus en plus médiatisés. Pourtant, tout comme le cyberharcèlement, la définition des risques numériques reste floue pour beaucoup.
Cet article présente les différentes façons de définir les risques numériques, et propose un nouveau cadre théorique. Il s’inscrit dans le contexte d’une thèse en sociologie [2], et de travaux de recherche visant à comprendre, à l’échelle individuelle, comment les risques liés à la cybercriminalité sont perçus par les internautes, afin de penser des préventions et des systèmes de protection. Les définitions institutionnelles seront présentées, suivies du cas particulier de la fraude bancaire. Un cadre d’analyse des risques en ligne sera ensuite proposé.
Les contours de la « cybersécurité » sont imprécis
Les « risques en ligne » sont devenus un sujet de préoccupation majeur ces dernières années, suscitant l’attention du gouvernement, des entreprises et des chercheurs. Dans le cadre de la recherche d’Orange et d’une volonté d’étendre la sécurité en ligne au grand public, ce défi de conceptualisation du « risque en ligne » se présente.
Les risques en ligne sont souvent considérés comme des synonymes de potentiels problèmes de sécurité. Ils sont alors traités conjointement avec la notion de « cybersécurité ». Comme le souligne un rapport d’information de l’Assemblée Nationale de 2019, la notion de « cybersécurité » a des contours imprécis. Il indique « que l’on insiste sur les moyens pour y parvenir ou sur la finalité visée, la cybersécurité serait donc un état de stabilité et de vulnérabilité minimales face aux potentielles menaces qui mettent en cause le bon fonctionnement des systèmes d’information ». La cybersécurité et les risques qu’elle cherche à prévenir recouvrent plusieurs réalités.
Figure 1. Taxonomie des crimes par internet contre les individus. Source : Nurse, J.R. (2018). Cybercrime and You: How Criminals Attack and the Human Factors That They Seek to Exploit. ArXiv, abs/1811.06624.
Le 21 mai 2024, une loi visant à sécuriser et réguler l’espace numérique (loi « SREN ») a été promulguée [4]. Présentée comme devant « restaurer la confiance nécessaire au succès de la transition numérique », elle propose de nombreuses mesures de cybersécurité pour lutter contre les arnaques en ligne et le harcèlement, et renforcer les sanctions pour ces infractions. De plus, cette initiative vise à protéger les enfants contre la pornographie en ligne. Elle aborde aussi la régulation des entreprises du cloud, la surveillance des locations touristiques, et la gestion des jeux numériques. La cybersécurité regroupe ainsi un large éventail de risques. Cette loi vient s’ajouter à plusieurs initiatives gouvernementales visant à réguler Internet.
A l’échelle des entreprises, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est chargée de garantir la sécurité en ligne des administrations et entreprises. Les risques et la sécurité sont considérés à l’échelle d’une entreprise et incluent des mesures de cyberdéfense. Le terme de « cybersécurité », souvent associé aux risques liés aux entreprises, est de plus en plus utilisé pour les particuliers.
L’organisme Cybermalveillance.gouv.fr est un dispositif national qui assiste les victimes d’actes malveillants en ligne. Il observe et prévient les menaces liées au numérique. Il joue un rôle de prévention et de sensibilisation des publics aux risques cyber. Il utilise le terme de « cyber arnaques » et de « cyber malveillances » pour qualifier les problèmes de sécurité sur Internet. Il définit les « cyber malveillances » comme « toutes infractions commises par voie numérique ».
La Commission Nationale de l’Informatique et des Libertés (CNIL), se dit « au service de la cybersécurité ». En plus d’accompagner les professionnels, elle sensibilise également le grand public à ce qu’elle nomme les « risques cyber ». Ils sont nombreux et couvrent des problèmes de sécurité liés aux données personnelles. Contrairement à Cybermalveillance.gouv.fr, ces incidents de sécurité peuvent être malveillants ou non, intentionnels ou non.
Les approches de ces organismes se complètent et fournissent un cadre institutionnel aux différents risques. A celui-ci s’ajoute le risque spécifique de fraude aux moyens de paiement.
La fraude aux moyens de paiement par le numérique touche surtout les particuliers
Les internautes sont victimes d’attaques en ligne, de plus en plus sophistiquées, ayant pour objectif de leur faire perdre de l’argent. Cela correspond souvent à de la fraude bancaire. Elle est définie par l’Observatoire de la Sécurité des Moyens de Paiement (l’OSMP) comme « l’utilisation illégitime d’un moyen de paiement ou des données qui lui sont attachées, ainsi que tout acte concourant à la préparation ou à la réalisation d’une telle utilisation ». En 2022, la fraude aux moyens de paiement touchait 8% des Français [3]. En 2024, 13% des Français sont concernés [4]. Pourtant, si ces chiffres paraissent élevés, ils sont loin de recouvrir tous les cas d’internautes touchés par des opérations malveillantes, ou ayant perdu de l’argent à la suite d’une escroquerie. En effet, certains cas d’escroquerie ou d’arnaque ne rentrent pas dans cette définition. Il en est ainsi lorsque l’internaute effectue lui-même le paiement vers une personne malveillante, ou lorsque l’objectif n’est pas directement de retirer de l’argent, mais d’obtenir les coordonnées bancaires d’un individu pour ensuite réaliser une fraude plus élaborée. De même, les cas d’arnaques commerciales, telles que la réception de produits non conformes, peuvent être considérées comme des risques par les internautes, mais pas par certaines institutions comme les banques. Au-delà de la fraude, il convient alors de s’intéresser à l’ensemble des problèmes de sécurité numérique vécus ou perçus et des risques associés.
Vers une compréhension sociologique des risques en ligne
Adoptant une approche sociologique, l’objectif est de dépasser les définitions institutionnelles et d’explorer les risques en ligne à travers les pratiques et les représentations des individus. Cette démarche s’inscrit dans une perspective qui considère les risques non pas comme des entités objectives, mais comme des constructions sociales façonnées par des facteurs culturels, économiques et contextuels [5]. Bien que la littérature scientifique sur ce sujet ne soit pas très développée, il existe plusieurs recherches l’ayant traité, mais de manière plutôt disparate.
David Bounie et Marc Bourreau [6] ont montré que le risque de vol de données bancaires en ligne avait un effet sur la consommation de certains internautes. Camille Capelle et Vincent Liquète [7] ont étudié l’impact de la perception des risques numériques sur la manière d’enseigner. Pour eux, « les risques numériques peuvent être considérés comme des menaces qui peuvent se manifester au cours ou à la suite d’une activité numérique, de nature plus ou moins dangereuse, et qui sont susceptibles d’affecter l’usager ou d’avoir des conséquences néfastes pour d’autres ». Jean-François Céci [8] montre qu’il existe également des risques numériques ayant une dimension sanitaire (exposition aux ondes, addiction aux écrans, hyperconnexion, troubles de l’attention), ainsi que d’autres ayant une dimension socio-politique (surconsommation énergétique, pollution électronique, creusement des inégalités d’accès, ubérisation, facilitation du terrorisme, taylorisation des emplois à l’extrême, piratage informatique, désinformation, etc.). Sonia Livingstone adopte une approche comparative pour étudier les risques encourus par les enfants européens selon leur niveau d’utilisation d’internet [9].
Ces recherches peinent à prendre en compte la diversité des perceptions des risques des internautes. Pour enrichir ces approches, une nouvelle méthodologie est proposée. Elle consiste à comprendre, dans un premier temps, ce qui constitue un risque pour les internautes, puis, comment ils s’y adaptent et, enfin, imaginer des préventions et protections adaptées. Cette démarche enrichit les conceptions existantes en se concentrant sur la perspective des utilisateurs. Celle-ci est analysée à l’aide d’entretiens semi-directifs et d’enquêtes quantitatives. Il est ainsi démontré que selon leurs profils, leur expérience du numérique et leur entourage, les perceptions du risque et les pratiques d’évitement des utilisateurs diffèrent. Il s’agira ensuite de comprendre comment ces risques sont interprétés et gérés dans le cadre de leurs pratiques numériques quotidiennes.
Selon leur profil d’internaute, les individus n’ont pas la même perception du risque.
A travers plusieurs travaux de recherche, le rapport des Français face aux risques qu’ils rencontrent en ligne a été interrogé. Tout d’abord, le terme en lui-même ne fait pas sens pour nombre de Français. Aussi, lorsqu’il leur est demandé ce qui pour eux constitue un risque numérique, ils sont une majorité à l’associer en premier lieu au piratage. Pour eux, le piratage ne se réduit pas à sa définition : « S’introduire sans autorisation dans une ressource comme un ordinateur, un serveur, un réseau, un service en ligne ou un téléphone mobile. » Des entretiens [10] ont démontré qu’il existe un flou chez les internautes sur les risques qu’ils encourent en ligne. Ils associent le piratage à d’autres types d’attaques, qui les inquiètent plus, comme les arnaques en ligne, ou la fraude bancaire. De même, les problématiques liées à la vie privée sont mélangées à celles liées au piratage. Les arnaques sont confondues avec les pratiques commerciales déloyales, le drop shipping avec les sites internet frauduleux, etc. Les personnes peuvent se sentir victimes, alors que ce ne sont ni des fraudes ni des arnaques. Les raisons de ce flou sont certainement à chercher derrière la diversité des termes liés à la cybersécurité, des conseils trop divers et nombreux [11], et peut-être des injonctions contradictoires reçues [12].
Les perceptions diffèrent aussi selon les profils, selon les parcours et les moments de la vie. Certains enquêtés considèrent risqué d’acheter sur un certain site internet, quand d’autres le considèrent comme très pratique et y font fréquemment des achats. Certains, après avoir vu leurs amis, ont enregistré leur carte bleue sur leur téléphone (Avec Google Pay, Apple Pay, etc.) quand une autre, à la suite d’une mise en garde d’un ami, l’a retiré. Enfin, les cookies sont acceptés ou refusés, selon les risques perçus, les conseils, et l’image que les internautes ont de leur utilité.
Pour sensibiliser et imaginer des solutions de protection, il est nécessaire de redéfinir les risques à l’aune de leur perception par les utilisateurs.
L’approche de recherche sur les risques proposée consiste à donner la parole aux individus afin de comprendre leurs expériences subjectives [13].
Pour étudier les risques, il s’agit de se pencher sur les menaces qui peuvent se manifester au cours ou à la suite d’une activité numérique et sont susceptibles d’affecter l’usager ou d’entraîner des conséquences néfastes pour d’autres. Ces conséquences peuvent être réelles ou perçues. Elles recouvrent les virus, piratages, arnaques, et d’autres situations en ligne où les individus ont perdu de l’argent et se sont sentis victimes de la situation. Les risques sont considérés dans leur contexte social et culturel. Les facteurs qui influencent les conceptions des individus envers ces risques sont explorés. Cette démarche ouvre la voie à une compréhension nuancée et contextualisée des risques en ligne, en mettant l’accent sur les logiques d’action et les stratégies d’adaptation des individus. Cela afin de contribuer à développer des systèmes de prévention et de protection adaptés.
Adopter une approche de la cybersécurité centrée sur les utilisateurs s’inscrit dans la volonté d’un environnement numérique de confiance facilitant l’inclusion.
Si les risques numériques sont étudiés depuis longtemps [14], leurs évolutions récentes amènent à de nouvelles questions. En même temps que les efforts, notamment gouvernementaux et ceux d’Orange, visant à démocratiser l’accès au numérique et à promouvoir l’inclusion numérique, il est nécessaire de penser aux défis qui suivront cette inclusion. Aujourd’hui, à profil équivalent, les individus peu actifs en ligne, notamment dans les transactions financières, sont moins ciblés que les utilisateurs fréquents [1]. Avec l’accompagnement vers le numérique, et l’incitation croissante vers plus de transactions en ligne, une recrudescence des victimes d’attaques est à craindre. La sensibilisation aux risques numériques doit accompagner le processus d’inclusion numérique. Des initiatives telles que l’offre Orange Cybersecure vont dans ce sens. Les travaux présentés ci-dessus contribuent à élaborer des stratégies de prévention basées sur les expériences concrètes des utilisateurs. Ils s’intègrent à la stratégie d’Orange, visant à créer une société numérique de confiance alignée à sa raison d’être : « L’acteur de confiance qui donne à chacune et à chacun les clés d’un monde numérique responsable. »
Glossaire :
Ingénierie sociale
Pratique de manipulation psychologique à des fins d’escroquerie.
Hameçonnage (phishing)
Message frauduleux utilisant une technique d’ingénierie sociale (social engineering) ayant pour but de dérober à des utilisateurs leurs identifiants de connexion, mots de passe ou leurs numéros de cartes bancaires.
Hameçonnage ciblé (spear-phishing)
Variante du phishing pour laquelle le destinataire est ciblé, à la différence d’une attaque plus massive et générique de phishing.
Sources :
[1] Etude Opinionway pour Orange, « Les Français face aux risques numériques », 2024.
[2] Coly, A. (2022-2025). Usage de l’argent en ligne des jeunes adultes et risques associés, [Thèse de doctorat CIFRE en cours]. Université Gustave Eiffel, Orange Innovation.
[3] Etude Opinionway pour Orange, « Les Français et la fraude bancaire », 2022.
[4] Etude Opinionway pour Orange, « Les Français face aux risques numériques », 2024. La question était posée ainsi : « Vous personnellement, avez-vous été victime d’une ou de plusieurs FRAUDES BANCAIRES dans le cadre de votre vie privée. » Et était précédée d’une définition de la fraude : « Par fraude bancaire, nous entendons une utilisation frauduleuse, une arnaque, une escroquerie ou un vol de l’un de vos moyens de paiements, votre chéquier, votre carte bancaire (CB, Visa, Premium, Mastercard, Infinite…) ou votre numéro de compte bancaire pour effectuer un règlement, un virement ou un prélèvement sans votre accord ou malgré vous. Pour cette étude, on ne s’intéresse pas aux pratiques commerciales déloyales (ex : achats non reçus, ou achats non conformes, date de péremption dépassée). »
[5] Granjon, Fabien (2012). Reconnaissance et usages d’Internet: Une sociologie critique des pratiques de l’informatique connectée. Presses des Mines. isbn: 978-2-35671-092-5. doi: 10.4000/books.pressesmines.252.
[6] Bounie, David and Marc Bourreau (2004). “Sécurité des paiements et développement du commerce électronique”. In: Revue économique 55.4, p. 689. issn: 0035-2764, 1950-6694. doi: 10.3917/ reco.554.0689.
[7] Capelle, Camille and Vincent Liquète (2022). Perceptions et analyses des risques numériques. Vol. 1. Londres: Iste. isbn: 978-1-78405-866-1.
[8] Céci, Jean-François (2019). “Vers Une École Du Risque Numérique ?” In: Annales des Mines – Enjeux Numériques. Répondre à La Menace Cyber N◦8.
[9] Livingstone, Sonia and Ellen Helsper (Aug. 2007). “Gradations in Digital Inclusion: Children, Young People and the Digital Divide”. In: New Media & Society 9.4, pp. 671–696. issn: 1461-4448, 1461-7315. doi: 10.1177/1461444807080335.
[10] Entretiens semi-directifs réalisés entre janvier et février 2024, après de jeunes adultes de 18 à 29 ans.
[11] Reeder, Robert W., Iulia Ion, and Sunny Consolvo (2017). “152 Simple Steps to Stay Safe Online: Security Advice for Non-Tech-Savvy Users”. In: IEEE Security Privacy 15.5, pp. 55–64. doi: 10.1109/MSP.2017.3681050.
[12] Par exemple, dans une émission radio en juin dernier, le directeur expertise cybersécurité de cybermalveillance.gouv.fr affirme qu’il n’est pas nécessaire de changer régulièrement ses mots de passe, ce qui est pourtant un conseil largement répandu. (Radio France. (2024, juin 5). Arnaques en ligne : les nouveaux cambrioleurs. https://www.radiofrance.fr/franceculture/podcasts/entendez-vous-l-eco/arnaques-en-ligne-les-nouveaux-cambrioleurs-3463631)
[13] Pasquier, Dominique (2018). L’internet des familles modestes: enquête dans la France rurale. Sciences sociales. Paris: Mines ParisTech-PSL. isbn: 978-2-35671-522-7.
[14] Gire, Fabielle, et al. (2006). Représentation des risques et pratiques de sécurisation des internautes en France, Issy-les-Moulineaux, rapport FTR&D.
