Publicité en cours de chargement...
La sensibilisation à la sécurité numérique est-elle toujours d’actualité en 2019 ?
Avons nous bien travaillé en 2018 ? Nos messages étaient-ils clairs ? Les utilisateurs ont-ils bien pris conscience des enjeux liés à la sécurité numérique ?
Commençons avec le sujet des mots de passe, mi décembre, la société éditrice de solutions de gestion de mots de passe, Splash Data, publiait son top 100 des pires mots de passe de l’année 2018 [1], dont voici les 15 premiers :
123456
password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123
De quoi donner l’envie à tout RSSI d’aller se pendre. Vous me direz, en France , si l’on respecte la réglementation en vigueur [2], nos politiques de mots de passe ne devraient pas permettre d’enregistrer des mots de passe aussi ridicules, à condition que nos progiciels (ou applicatifs en carton pour beaucoup) le permettent.
Une politique de mot de passe imposant 8 caractères minimum, trois des types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux, c’est bien, il était nécessaire de définir un minimum à mettre en place, mais certains mots de passe respectant la politique ne pourront nous protéger que d’attaques minimalistes opérées par des « piratins du dimanche », parce que si l’utilisateur ne peut plus mettre « password » comme mot de passe, rien ne l’empêchera de le remplacer par « Password2019 » qui respectera la complexité imposée par la politique de mot de passe, et il ne se privera sûrement pas de le faire. Il ne faut pas se leurrer, des mots de passe du type « Pierredu15 », il y en a sûrement plein nos Active Directory…
Mis à part augmenter le nombre de caractères minimum, il sera difficilement de faire mieux avec Active Directory, et les utilisateurs trouveront vite un subterfuge du genre « Pierredu15++++++ ». Ne parlons pas des « informaticiens » eux-mêmes, qui ont la possibilité d’outrepasser les politiques de mot de passe, et qui, pour certain(e)s, n’hésiteront pas à mettre des « totodu63 » à tour de bras...
Si vous souhaitez pousser la réflexion un peu plus loin, je vous recommande l’excellent retour d’expérience sur la mise en place d’une politique de mot de passe zxcvbn publié par Jil sur le site du comptoir sécu [3]
Autre sujet qui revient fréquemment, le phishing, qui, malgré toutes les sécurités que l’on peut mettre en place sur nos systèmes de messagerie, reste toujours un véritable fléau.
En effet, la campagne de phishing au webmail ciblant de nombreux établissements de santé français qui a initiée début août, semble repartir, après un mois d’interruption (ça doit rapporter le phishing, pour se permettre de prendre 4 semaines consécutives de vacances). Cette campagne nous a démontrée là encore le manque de sensibilisation auprès de nombreux utilisateurs, en particulier dans nos établissements de santé français… De nombreuses victimes, dont les boîtes mails sont devenues par la suite, expéditrices de messages frauduleux.
Les vacances semblent d’ailleurs avoir profitées aux attaquants qui ont peaufiné leur formulaire de phishing :
À côté de ça, je vois aussi des utilisateurs nous signaler des messages parfaitement légitimes comme indésirables, dès qu’il leur ait demandé de modifier leur mot de passe…
Tout ça pour dire que nous avons encore du pain sur la planche et que toutes les idées novatrices en matière de sensibilisation des utilisateurs sont les bienvenues !
Bonne cyber année !
[1] https://www.teamsid.com/100-worst-passwords-top-50/
https://www.teamsid.com/100-worst-passwords/
[2] https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=DCFF485B7666F100CC93BF17B
5D6BB27.tpdila17v_1?cidTexte=JORFTEXT000033928007&dateTexte=&oldAction=rechJO&
categorieLien=id&idJO=JORFCONT000033926715
[3] https://www.comptoirsecu.fr/blog/2018-12-13-retour-experience-zxcvbn/
Avez-vous apprécié ce contenu ?
A lire également.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.