La cybersécurité, c'est l'affaire de tous, à condition de ne pas faire n'importe quoi
Article paru dans Sécurité ITLorsque j'ai porté les casquettes de responsable SIRH ou innovation IT, je partageais mon bureau avec les RSSI, confidentialité des fonctions oblige.
Et les "conseils" sécurité dont nous débattions n'étaient pas si nombreux que ça, juste très pertinents.
Certains des conseils que je vais vous présenter, était déjà réputés obsolètes il y a 10 ans, et pourtant, les habitudes ont la vie dure.
𝗟𝗲 𝗺𝗼𝘁 𝗱𝗲 𝗽𝗮𝘀𝘀𝗲 𝗱𝗼𝗶𝘁 𝗳𝗮𝗶𝗿𝗲 𝟴 𝗰𝗮𝗿𝗮𝗰𝘁𝗲̀𝗿𝗲𝘀 : faux, il doit en faire désormais 16, voire 24. Il y a 10 ans, on parlait déjà de passphrase.
𝗜𝗹 𝗳𝗮𝘂𝘁 𝗰𝗵𝗮𝗻𝗴𝗲𝗿 𝗿𝗲́𝗴𝘂𝗹𝗶𝗲̀𝗿𝗲𝗺𝗲𝗻𝘁 𝘀𝗼𝗻 𝗺𝗼𝘁 𝗱𝗲 𝗽𝗮𝘀𝘀𝗲 : faux, si le changement ne consiste qu'en une modification mineure.
𝗜𝗹 𝗳𝗮𝘂𝘁 𝘂𝘁𝗶𝗹𝗶𝘀𝗲𝗿 𝗱𝗲𝘀 𝗺𝗼𝘁𝘀 𝗱𝗲 𝗽𝗮𝘀𝘀𝗲 𝗳𝗼𝗿𝘁𝘀 : certes, mais infaisable pour un humain, car un mot de passe fort fait 24 caractères totalement aléatoires pour chaque service.
𝗡𝗲 𝗽𝗮𝘀 𝗼𝘂𝘃𝗿𝗶𝗿 𝗱𝗲 𝗽𝗶𝗲̀𝗰𝗲𝘀 𝗷𝗼𝗶𝗻𝘁𝗲𝘀 𝗲𝗻 𝗽𝗿𝗼𝘃𝗲𝗻𝗮𝗻𝗰𝗲 𝗱'𝗶𝗻𝗰𝗼𝗻𝗻𝘂𝘀 : faux, il faut vous méfier de n'importe quelle pièce jointe.
𝗟𝗲𝘀 𝘂𝘁𝗶𝗹𝗶𝘀𝗮𝘁𝗲𝘂𝗿𝘀 𝗻𝗲 𝗽𝗿𝗼𝗴𝗿𝗲𝘀𝘀𝗲𝗿𝗼𝗻𝘁 𝗷𝗮𝗺𝗮𝗶𝘀 : rarement entendu pour ma part, mais naturellement faux. Il faut patiemment mener la campagne d'information. S'ils captent l'agile, ils capteront bien la sécu.
𝗟𝗲𝘀 𝗳𝗶𝗿𝗲𝘄𝗮𝗹𝗹𝘀 𝗲𝘁 𝗮𝗻𝘁𝗶𝘃𝗶𝗿𝘂𝘀 𝘀𝘂𝗳𝗳𝗶𝘀𝗲𝗻𝘁 : faux, le télétravail et les apps en tout genre ont ajouté une myriade de nouveaux trous de sécurité non surveillés par les firewalls et antivirus de votre boite.
𝗟𝗲𝘀 𝗼𝘂𝘁𝗶𝗹𝘀 𝘀𝘂𝗳𝗳𝗶𝘀𝗲𝗻𝘁 𝗮̀ 𝗻𝗼𝘂𝘀 𝗽𝗿𝗼𝘁𝗲́𝗴𝗲𝗿 : faux, le phishing est un bon contre-exemple, et la mention spéciale va aux champions qui utilisent leur ordi dans les transports.
𝗟𝗮 𝗰𝘆𝗯𝗲𝗿𝘀𝗲́𝗰𝘂𝗿𝗶𝘁𝗲́ 𝗲𝘀𝘁 𝗹'𝗮𝗳𝗳𝗮𝗶𝗿𝗲 𝗱𝘂 𝗥𝗦𝗦𝗜 : faux, nous ne sommes pas dans Asterix avec des romains en haut des tourelles, mais dans un village de la savane avec des bouts de bois en guise de mur d'enceintes.
Le mot de la fin : soyez prudent, un poil responsables, informez-vous, et tout ira bien.