La sensibilisation à la sécurité numérique est-elle toujours d’actualité en 2019 ?

Avons nous bien travaillé en 2018 ? Nos messages étaient-ils clairs ? Les utilisateurs ont-ils bien pris conscience des enjeux liés à la sécurité numérique ?

Commençons avec le sujet des mots de passe, mi décembre, la société éditrice de solutions de gestion de mots de passe, Splash Data, publiait son top 100 des pires mots de passe de l’année 2018 [1], dont voici les 15 premiers :

123456
password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123

De quoi donner l’envie à tout RSSI d’aller se pendre. Vous me direz, en France , si l’on respecte la réglementation en vigueur [2], nos politiques de mots de passe ne devraient pas permettre d’enregistrer des mots de passe aussi ridicules, à condition que nos progiciels (ou applicatifs en carton pour beaucoup) le permettent.
Une politique de mot de passe imposant 8 caractères minimum, trois des types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux, c’est bien, il était nécessaire de définir un minimum à mettre en place, mais certains mots de passe respectant la politique ne pourront nous protéger que d’attaques minimalistes opérées par des « piratins du dimanche », parce que si l’utilisateur ne peut plus mettre « password » comme mot de passe, rien ne l’empêchera de le remplacer par « Password2019 » qui respectera la complexité imposée par la politique de mot de passe, et il ne se privera sûrement pas de le faire. Il ne faut pas se leurrer, des mots de passe du type « Pierredu15 », il y en a sûrement plein nos Active Directory…
Mis à part augmenter le nombre de caractères minimum, il sera difficilement de faire mieux avec Active Directory, et les utilisateurs trouveront vite un subterfuge du genre « Pierredu15++++++ ». Ne parlons pas des « informaticiens » eux-mêmes, qui ont la possibilité d’outrepasser les politiques de mot de passe, et qui, pour certain(e)s, n’hésiteront pas à mettre des « totodu63 » à tour de bras...

Si vous souhaitez pousser la réflexion un peu plus loin, je vous recommande l’excellent retour d’expérience sur la mise en place d’une politique de mot de passe zxcvbn publié par Jil sur le site du comptoir sécu [3]

Autre sujet qui revient fréquemment, le phishing, qui, malgré toutes les sécurités que l’on peut mettre en place sur nos systèmes de messagerie, reste toujours un véritable fléau.

En effet, la campagne de phishing au webmail ciblant de nombreux établissements de santé français qui a initiée début août, semble repartir, après un mois d’interruption (ça doit rapporter le phishing, pour se permettre de prendre 4 semaines consécutives de vacances). Cette campagne nous a démontrée là encore le manque de sensibilisation auprès de nombreux utilisateurs, en particulier dans nos établissements de santé français… De nombreuses victimes, dont les boîtes mails sont devenues par la suite, expéditrices de messages frauduleux.

Les vacances semblent d’ailleurs avoir profitées aux attaquants qui ont peaufiné leur formulaire de phishing :

À côté de ça, je vois aussi des utilisateurs nous signaler des messages parfaitement légitimes comme indésirables, dès qu’il leur ait demandé de modifier leur mot de passe…

Tout ça pour dire que nous avons encore du pain sur la planche et que toutes les idées novatrices en matière de sensibilisation des utilisateurs sont les bienvenues !

Bonne cyber année !

[1] https://www.teamsid.com/100-worst-passwords-top-50/

     https://www.teamsid.com/100-worst-passwords/

[2] https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=DCFF485B7666F100CC93BF17B
5D6BB27.tpdila17v_1?cidTexte=JORFTEXT000033928007&dateTexte=&oldAction=rechJO&
categorieLien=id&idJO=JORFCONT000033926715

[3] https://www.comptoirsecu.fr/blog/2018-12-13-retour-experience-zxcvbn/