Publicité en cours de chargement...
La sensibilisation à la sécurité numérique est-elle toujours d’actualité en 2019 ?
Avons nous bien travaillé en 2018 ? Nos messages étaient-ils clairs ? Les utilisateurs ont-ils bien pris conscience des enjeux liés à la sécurité numérique ?
Commençons avec le sujet des mots de passe, mi décembre, la société éditrice de solutions de gestion de mots de passe, Splash Data, publiait son top 100 des pires mots de passe de l’année 2018 [1], dont voici les 15 premiers :
123456
password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123
De quoi donner l’envie à tout RSSI d’aller se pendre. Vous me direz, en France , si l’on respecte la réglementation en vigueur [2], nos politiques de mots de passe ne devraient pas permettre d’enregistrer des mots de passe aussi ridicules, à condition que nos progiciels (ou applicatifs en carton pour beaucoup) le permettent.
Une politique de mot de passe imposant 8 caractères minimum, trois des types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux, c’est bien, il était nécessaire de définir un minimum à mettre en place, mais certains mots de passe respectant la politique ne pourront nous protéger que d’attaques minimalistes opérées par des « piratins du dimanche », parce que si l’utilisateur ne peut plus mettre « password » comme mot de passe, rien ne l’empêchera de le remplacer par « Password2019 » qui respectera la complexité imposée par la politique de mot de passe, et il ne se privera sûrement pas de le faire. Il ne faut pas se leurrer, des mots de passe du type « Pierredu15 », il y en a sûrement plein nos Active Directory…
Mis à part augmenter le nombre de caractères minimum, il sera difficilement de faire mieux avec Active Directory, et les utilisateurs trouveront vite un subterfuge du genre « Pierredu15++++++ ». Ne parlons pas des « informaticiens » eux-mêmes, qui ont la possibilité d’outrepasser les politiques de mot de passe, et qui, pour certain(e)s, n’hésiteront pas à mettre des « totodu63 » à tour de bras...
Si vous souhaitez pousser la réflexion un peu plus loin, je vous recommande l’excellent retour d’expérience sur la mise en place d’une politique de mot de passe zxcvbn publié par Jil sur le site du comptoir sécu [3]
Autre sujet qui revient fréquemment, le phishing, qui, malgré toutes les sécurités que l’on peut mettre en place sur nos systèmes de messagerie, reste toujours un véritable fléau.
En effet, la campagne de phishing au webmail ciblant de nombreux établissements de santé français qui a initiée début août, semble repartir, après un mois d’interruption (ça doit rapporter le phishing, pour se permettre de prendre 4 semaines consécutives de vacances). Cette campagne nous a démontrée là encore le manque de sensibilisation auprès de nombreux utilisateurs, en particulier dans nos établissements de santé français… De nombreuses victimes, dont les boîtes mails sont devenues par la suite, expéditrices de messages frauduleux.
Les vacances semblent d’ailleurs avoir profitées aux attaquants qui ont peaufiné leur formulaire de phishing :
À côté de ça, je vois aussi des utilisateurs nous signaler des messages parfaitement légitimes comme indésirables, dès qu’il leur ait demandé de modifier leur mot de passe…
Tout ça pour dire que nous avons encore du pain sur la planche et que toutes les idées novatrices en matière de sensibilisation des utilisateurs sont les bienvenues !
Bonne cyber année !
[1] https://www.teamsid.com/100-worst-passwords-top-50/
https://www.teamsid.com/100-worst-passwords/
[2] https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=DCFF485B7666F100CC93BF17B
5D6BB27.tpdila17v_1?cidTexte=JORFTEXT000033928007&dateTexte=&oldAction=rechJO&
categorieLien=id&idJO=JORFCONT000033926715
[3] https://www.comptoirsecu.fr/blog/2018-12-13-retour-experience-zxcvbn/
Avez-vous apprécié ce contenu ?
A lire également.

Approche hétérodoxe du concept de risque résiduel
02 juin 2025 - 22:42,
Tribune
-Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE
02 juin 2025 - 15:00,
Communiqué
- GPLExpertGPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...