MIT : une clinique étudiante pour contrer les cyberattaques
En 2019, la cyberattaque ransomware paralysant Baltimore a servi de déclencheur à la création de la Clinique en cybersécurité du MIT. Fondée par l'enseignant Jungwoo Chun et le professeur Lawrence Susskind, cette initiative conjugue un cours universitaire à un service bénévole visant à protéger les infrastructures publiques vulnérables. Face à la multiplication des cybermenaces, aggravée par l'usage croissant de l'intelligence artificielle, les municipalités et les établissements de santé peinent à recruter des experts qualifiés, les budgets publics ne pouvant rivaliser avec les salaires du secteur privé. La Clinique répond à ce défi par une approche nommée ingénierie sociale défensive. Cette méthode postule que la sécurité numérique ne repose pas uniquement sur des outils techniques, mais avant tout sur la psychologie humaine et la gouvernance organisationnelle. Les étudiants, issus de formations complémentaires telles que l'informatique, l'économie ou la planification urbaine, suivent un cursus intensif. Après avoir validé des modules en ligne et un examen de certification, ils sont assignés par équipes à des clients publics pour réaliser des audits de vulnérabilité confidentiels et gratuits. Leur mission consiste à identifier les faiblesses structurelles et à proposer des correctifs adaptés aux contraintes financières du secteur public. Les recommandations privilégient des mesures à faible coût mais à large efficacité : gestion rigoureuse des accès, sauvegardes régulières, activation de l'authentification multifactorielle, formation continue des employés aux risques de manipulation et élaboration de plans de réponse aux incidents. Selon les créateurs de la Clinique, l'application cohérente de ces pratiques permet d'éliminer plus de 80 % des risques et des coûts associés aux cyberincidents. Depuis son lancement, plus de quarante évaluations ont été fournies, principalement à des collectivités de la Nouvelle-Angleterre et à des organisations sanitaires. Au-delà des analyses techniques, les étudiants apprennent à communiquer avec les décideurs locaux et à intégrer les réalités budgétaires et institutionnelles dans leurs conseils. Cette pédagogie pratique est enrichie par des interventions régulières d'experts couvrant la sécurité des systèmes industriels, la modélisation des risques et les cadres réglementaires. Pour amplifier sa portée, la Clinique a rendu ses modules de formation accessibles via la plateforme MITx, attirant des dizaines de milliers d'apprenants. Ces ressources ont également structuré un consortium universitaire fédérant soixante et une institutions à travers les États-Unis, lancé en 2021 pour standardiser les bonnes pratiques en cybersécurité des services publics. Un accompagnement est assuré auprès des clients pendant au moins deux ans après chaque mission. De nombreux directeurs informatiques utilisent désormais les rapports étudiants comme levier pour convaincre leurs hiérarchies d'augmenter les budgets sécurité. Certains organismes sollicitent même de nouvelles évaluations après avoir modernisé leurs infrastructures. En formant des professionnels polyvalents et en sécurisant des services essentiels, la Clinique du MIT démontre qu'une défense numérique robuste exige une approche humaine, collaborative et durable.
