Publicité en cours de chargement...

Publicité en cours de chargement...

La sensibilisation à la sécurité numérique est-elle toujours d’actualité en 2019 ?

08 jan. 2019 - 10:47,
Tribune - Charles Blanc-Rolin
Même si octobre est le mois de la cybersécurité, janvier est le mois des bonnes résolutions, alors pourquoi ne pas commencer l’année en dressant un petit bilan du niveau de maturité constaté  chez les utilisateurs, qu’ils soient utilisateurs lambda ou « avec pouvoirs » ?

Avons nous bien travaillé en 2018 ? Nos messages étaient-ils clairs ? Les utilisateurs ont-ils bien pris conscience des enjeux liés à la sécurité numérique ?

Commençons avec le sujet des mots de passe, mi décembre, la société éditrice de solutions de gestion de mots de passe, Splash Data, publiait son top 100 des pires mots de passe de l’année 2018 [1], dont voici les 15 premiers :

123456
password
123456789
12345678
12345
111111
1234567
sunshine
qwerty
iloveyou
princess
admin
welcome
666666
abc123

De quoi donner l’envie à tout RSSI d’aller se pendre. Vous me direz, en France , si l’on respecte la réglementation en vigueur [2], nos politiques de mots de passe ne devraient pas permettre d’enregistrer des mots de passe aussi ridicules, à condition que nos progiciels (ou applicatifs en carton pour beaucoup) le permettent.
Une politique de mot de passe imposant 8 caractères minimum, trois des types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux, c’est bien, il était nécessaire de définir un minimum à mettre en place, mais certains mots de passe respectant la politique ne pourront nous protéger que d’attaques minimalistes opérées par des « piratins du dimanche », parce que si l’utilisateur ne peut plus mettre « password » comme mot de passe, rien ne l’empêchera de le remplacer par « Password2019 » qui respectera la complexité imposée par la politique de mot de passe, et il ne se privera sûrement pas de le faire. Il ne faut pas se leurrer, des mots de passe du type « Pierredu15 », il y en a sûrement plein nos Active Directory…
Mis à part augmenter le nombre de caractères minimum, il sera difficilement de faire mieux avec Active Directory, et les utilisateurs trouveront vite un subterfuge du genre « Pierredu15++++++ ». Ne parlons pas des « informaticiens » eux-mêmes, qui ont la possibilité d’outrepasser les politiques de mot de passe, et qui, pour certain(e)s, n’hésiteront pas à mettre des « totodu63 » à tour de bras...

Si vous souhaitez pousser la réflexion un peu plus loin, je vous recommande l’excellent retour d’expérience sur la mise en place d’une politique de mot de passe zxcvbn publié par Jil sur le site du comptoir sécu [3]

Autre sujet qui revient fréquemment, le phishing, qui, malgré toutes les sécurités que l’on peut mettre en place sur nos systèmes de messagerie, reste toujours un véritable fléau.

En effet, la campagne de phishing au webmail ciblant de nombreux établissements de santé français qui a initiée début août, semble repartir, après un mois d’interruption (ça doit rapporter le phishing, pour se permettre de prendre 4 semaines consécutives de vacances). Cette campagne nous a démontrée là encore le manque de sensibilisation auprès de nombreux utilisateurs, en particulier dans nos établissements de santé français… De nombreuses victimes, dont les boîtes mails sont devenues par la suite, expéditrices de messages frauduleux.

phishing_expediteurs_sante 

Les vacances semblent d’ailleurs avoir profitées aux attaquants qui ont peaufiné leur formulaire de phishing :

phishing_owa

À côté de ça, je vois aussi des utilisateurs nous signaler des messages parfaitement légitimes comme indésirables, dès qu’il leur ait demandé de modifier leur mot de passe…

Tout ça pour dire que nous avons encore du pain sur la planche et que toutes les idées novatrices en matière de sensibilisation des utilisateurs sont les bienvenues !

Bonne cyber année !


[1] https://www.teamsid.com/100-worst-passwords-top-50/

     https://www.teamsid.com/100-worst-passwords/

[2] https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=DCFF485B7666F100CC93BF17B
5D6BB27.tpdila17v_1?cidTexte=JORFTEXT000033928007&dateTexte=&oldAction=rechJO&
categorieLien=id&idJO=JORFCONT000033926715

[3] https://www.comptoirsecu.fr/blog/2018-12-13-retour-experience-zxcvbn/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

22 sept. 2025 - 22:42,

Communiqué

- Imprivata

Imprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...

Illustration Intelligence artificielle : construire la confiance, renforcer les compétences

Intelligence artificielle : construire la confiance, renforcer les compétences

22 sept. 2025 - 22:31,

Tribune

-
Nausica MAIORCA

Dans moins de trois ans, l’Intelligence Artificielle sera présente dans 90 % des établissements de santé. Déjà adoptée par un tiers d’entre eux, elle impose de dépasser le mythe technologique pour affronter la question d’un usage éclairé.

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Illustration Un nouveau partenariat entre la Cnil et l’Agence de l’innovation en santé

Un nouveau partenariat entre la Cnil et l’Agence de l’innovation en santé

22 sept. 2025 - 22:06,

Brève

- Damien Dubois, DSIH,

Le 15 septembre, la Cnil et l’Agence de l’innovation en santé ont annoncé sur LinkedIn la signature d’une convention de partenariat pour renforcer la protection des données à caractère personnel dans le secteur de la santé.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.