Publicité en cours de chargement...
La sensibilisation à la sécurité numérique est-elle toujours d’actualité en 2019 ?
Avons nous bien travaillé en 2018 ? Nos messages étaient-ils clairs ? Les utilisateurs ont-ils bien pris conscience des enjeux liés à la sécurité numérique ?
Commençons avec le sujet des mots de passe, mi décembre, la société éditrice de solutions de gestion de mots de passe, Splash Data, publiait son top 100 des pires mots de passe de l’année 2018 [1], dont voici les 15 premiers :
123456
password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123
De quoi donner l’envie à tout RSSI d’aller se pendre. Vous me direz, en France , si l’on respecte la réglementation en vigueur [2], nos politiques de mots de passe ne devraient pas permettre d’enregistrer des mots de passe aussi ridicules, à condition que nos progiciels (ou applicatifs en carton pour beaucoup) le permettent.
Une politique de mot de passe imposant 8 caractères minimum, trois des types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux, c’est bien, il était nécessaire de définir un minimum à mettre en place, mais certains mots de passe respectant la politique ne pourront nous protéger que d’attaques minimalistes opérées par des « piratins du dimanche », parce que si l’utilisateur ne peut plus mettre « password » comme mot de passe, rien ne l’empêchera de le remplacer par « Password2019 » qui respectera la complexité imposée par la politique de mot de passe, et il ne se privera sûrement pas de le faire. Il ne faut pas se leurrer, des mots de passe du type « Pierredu15 », il y en a sûrement plein nos Active Directory…
Mis à part augmenter le nombre de caractères minimum, il sera difficilement de faire mieux avec Active Directory, et les utilisateurs trouveront vite un subterfuge du genre « Pierredu15++++++ ». Ne parlons pas des « informaticiens » eux-mêmes, qui ont la possibilité d’outrepasser les politiques de mot de passe, et qui, pour certain(e)s, n’hésiteront pas à mettre des « totodu63 » à tour de bras...
Si vous souhaitez pousser la réflexion un peu plus loin, je vous recommande l’excellent retour d’expérience sur la mise en place d’une politique de mot de passe zxcvbn publié par Jil sur le site du comptoir sécu [3]
Autre sujet qui revient fréquemment, le phishing, qui, malgré toutes les sécurités que l’on peut mettre en place sur nos systèmes de messagerie, reste toujours un véritable fléau.
En effet, la campagne de phishing au webmail ciblant de nombreux établissements de santé français qui a initiée début août, semble repartir, après un mois d’interruption (ça doit rapporter le phishing, pour se permettre de prendre 4 semaines consécutives de vacances). Cette campagne nous a démontrée là encore le manque de sensibilisation auprès de nombreux utilisateurs, en particulier dans nos établissements de santé français… De nombreuses victimes, dont les boîtes mails sont devenues par la suite, expéditrices de messages frauduleux.
Les vacances semblent d’ailleurs avoir profitées aux attaquants qui ont peaufiné leur formulaire de phishing :
À côté de ça, je vois aussi des utilisateurs nous signaler des messages parfaitement légitimes comme indésirables, dès qu’il leur ait demandé de modifier leur mot de passe…
Tout ça pour dire que nous avons encore du pain sur la planche et que toutes les idées novatrices en matière de sensibilisation des utilisateurs sont les bienvenues !
Bonne cyber année !
[1] https://www.teamsid.com/100-worst-passwords-top-50/
https://www.teamsid.com/100-worst-passwords/
[2] https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=DCFF485B7666F100CC93BF17B
5D6BB27.tpdila17v_1?cidTexte=JORFTEXT000033928007&dateTexte=&oldAction=rechJO&
categorieLien=id&idJO=JORFCONT000033926715
[3] https://www.comptoirsecu.fr/blog/2018-12-13-retour-experience-zxcvbn/
Avez-vous apprécié ce contenu ?
A lire également.
Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...
Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...
L’arnaque à l’arrêt de travail comme source de réflexion
14 avril 2025 - 21:57,
Tribune
-Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...
Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...