Cybersécurité : 8 "conseils" dépassés, à ne plus utiliser

En matière de cybersécurité, si l'on n'évolue pas, on risque de prendre du retard... et de devenir vulnérable. On voit pourtant survivre longtemps des astuces et bonnes pratiques devenues obsolètes. Une logique pertinente il y a 10, 5 ou même 2 ans peut ne plus avoir aucun sens aujourd'hui. Parfois, ces conseils ne servent tout simplement plus à rien, mais dans d'autres cas, ils peuvent même dégrader notre sécurité. Voici 8 adages de sécurité qu'il est temps de mettre au placard.

1. Un mot de passe doit comporter au moins huit caractères

Un des premiers conseils cybersécurité que rencontre l'utilisateur moyen est de choisir un long mot de passe. Mais quelle est la longueur suffisante ? On a longtemps considéré qu'un mot de passe devait comporter au moins huit caractères. C'était vrai il y a dix ans. Huit caractères offrent en effet des centaines de milliards de combinaisons possibles. Mais aujourd'hui, les ordinateurs modernes dotés de puissants processeurs peuvent analyser des centaines de millions de possibilités en quelques secondes seulement. Si l'on ajoute à cela les tables arc-en-ciel précalculées qui contiennent toutes les possibilités de mots de passe de huit caractères ou moins, huit caractères n'est vraiment plus un nombre suffisant pour créer un mot de passe sécurisé. De 8, on est maintenant passé à 12. Pour plus de sécurité, mieux vaut utiliser des mots de passe de 16 caractères et plus. Mais nous verrons plus loin pourquoi conseiller de se concentrer uniquement sur la robustesse du mot de passe est également dépassé.

2. Changez régulièrement vos mots de passe

Certains vous conseillent de changer régulièrement vos mots de passe (ou de contraindre vos utilisateurs à le faire). Quand les mots de passe étaient tout ce qui nous protégeait, cela avait du sens. Les mots de passe sont volés, divulgués ou craqués - on estime qu'il y a plus de 24 milliards d'identifiants volés disponibles sur le Dark Web - et les utilisateurs reprennent souvent le même mot de passe ou le même ensemble de mots de passe sur différents sites.

Un cybercriminel volant le mot de passe personnel d'un utilisateur sur un site Web de tiers pourrait ainsi obtenir également le mot de passe de l'entreprise de cet utilisateur. Comme on ne pouvait pas savoir si un mot de passe était compromis, à moins qu'une violation ne fasse la une des journaux (ce qui n'est généralement pas le cas), on estimait donc prudent de changer régulièrement de mot de passe, "au cas où".

Voilà le problème : la plupart des gens ont déjà du mal à appliquer la bonne pratique de base, qui consiste à utiliser des mots de passe longs et complexes. Et même lorsqu'ils le font, ils n'aiment pas les changer. Forcer les utilisateurs à changer régulièrement de mot de passe les incite souvent à essayer de contourner le système. Par exemple, ils changent simplement un chiffre ou apportent à leur mot de passe actuel d'autres modifications mineures (et faciles à deviner). Si les mots de passe sont la seule chose qui protège une organisation, il est toujours possible de changer les mots de passe régulièrement, mais la véritable solution reste l'authentification multifacteur. Si l'on ajoute la protection par authentification multifacteur, il ne faut pas exiger des utilisateurs qu'ils changent régulièrement de mots de passe, sauf si leurs mots de passe actuels sont concernés par une compromission avérée ou potentielle.

3. Communiquer sur l'importance des mots de passe forts

Abordons un sujet controversé ! Malgré tout ce qui a été abordé jusqu'ici, voici pourquoi insister pour que vos utilisateurs suivent les bonnes pratiques en matière de mots de passe rime avec perte de temps.

Techniquement, c'est une bonne chose pour la sécurité. Malheureusement, il faudrait en réalité utiliser des mots de passe différents, totalement aléatoires, à 24 caractères, pour chaque site. Mais comme aucun être humain normal n'est capable de mémoriser seul des centaines de mots de passe longs et aléatoires, il est préférable d'utiliser un gestionnaire de mots de passe, et de choisir l'authentification multifacteur aussi souvent que possible.

Un gestionnaire de mots de passe, c'est le moyen d'automatiser les bonnes pratiques. Il est possible de le paramétrer pour qu'il génère des mots de passe de 24 caractères totalement aléatoires et qu'il les saisisse à la place de l'utilisateur quand celui-ci visite des sites où il est nécessaire de s'identifier. Déployés au niveau de l'organisation, les gestionnaires de mots de passe sont un outil pour appliquer une politique de mots de passe forts. En cas de fuite, le gestionnaire de mots de passe peut également changer automatiquement un (ou tous) les mots de passe d'un utilisateur. Au lieu d'avoir plusieurs mots de passe, les utilisateurs n'ont plus qu'à en retenir un seul, qui doit être très fort. Ils peuvent alors utiliser une « phrase mot de passe », c'est-à-dire une phrase courte contenant des espaces et de la ponctuation. Cette phrase apporte la longueur et la complexité nécessaires pour créer un mot de passe fort, tout en restant facile à retenir. Combiner multifacteur et gestionnaire de mots de passe permet d'obtenir une authentification très forte (plus la peine de convaincre les utilisateurs de mémoriser et d'utiliser de nombreux mots de passe longs).

4. Méfiez-vous des liens et des pièces jointes en provenance d'inconnus

Ce conseil est dépassé. Pas parce qu'il est faux, mais parce qu'il est incomplet. Les utilisateurs doivent se méfier des liens et des pièces jointes provenant de n'importe qui, même de personnes qu'ils connaissent. Les cybercriminels essaient souvent d'usurper l'identité de personnes qu'ils connaissent ou de pirater amis et collègues pour envoyer des messages directement à partir de leurs comptes, il faut donc toujours être méfiant quand un lien ou une pièce jointe semble étrange. Si vous recevez un document de votre chef sans vous y attendre, et que cela ne correspond pas à la façon dont vous travaillez habituellement ensemble, méfiez-vous ! Prendre le temps de vérifier avec son supérieur (ou qui que soit d'autre) qu'il est bien l'expéditeur du message. Il est possible de faire confiance, mais vérifions d'abord !

5. Les utilisateurs ne progresseront jamais

C'est un adage dépassé parmi les professionnels de l'informatique et de la sécurité de l'information. Beaucoup ont renoncé à essayer de former ou d'adapter le comportement des utilisateurs, estimant que c'était une perte de temps. Des blagues circulent dans le milieu, sur le thème « problème ICC » (interface chaise clavier), ou « problème de couche 8 » (l'interface expérience utilisateur). Pour ces informaticiens, puisque les utilisateurs feront toujours des erreurs, mieux vaut se concentrer sur la mise en place de dispositifs techniques de contrôle, qui limiteront ces erreurs humaines. C'est une mauvaise approche !

Vous ne pouvez pas attendre d'un comptable, d'un vendeur ou d'un chargé de support qu'il soit un expert en technologie ou en sécurité, mais cela ne veut pas dire qu'il ne peut pas apprendre les pratiques de base de la sécurité. Les gens sont généralement assez intelligents et capables d'apprendre de nouvelles choses si vous prenez le temps de les former correctement. Inutile de les prendre pour des idiots. Les informaticiens qui pensent que la formation n'en vaut pas la peine, parce qu'elle ne permet pas d'éviter toutes les erreurs, passent complètement à côté de l'essentiel. S'il est impossible d'éliminer totalement les erreurs humaines, il est possible d'en réduire considérablement le nombre. Oui, chaque fois que vous cliquez là où il ne faut pas, vous donnez du travail à votre équipe informatique et sécurité. Mais réduire le nombre de ces clics accidentels de 15 par trimestre à 1 par trimestre est une énorme victoire, parce que vous limiterez alors considérablement le temps et les efforts que votre équipe doit déployer pour y répondre.

Et ce type d'amélioration est tout à fait réalisable. Plusieurs campagnes de test de phishing ont montré qu'on pouvait réduire le taux d'erreur de jugement de 35 % à 3 ou 4 % après une formation régulière. Oui, les contrôles de sécurité préventifs comme filet de sécurité au cas où un utilisateur commettrait une erreur seront toujours utiles, mais la formation est une approche tout à fait valable !

6. Les firewalls et les antivirus sont suffisants

Compter sur les firewalls et les antivirus pour assurer la sécurité aujourd'hui reviendrait à essayer d'arrêter une armée moderne avec de la cavalerie. L'environnement de sécurité actuel est incroyablement complexe et le devient chaque jour davantage. Avec l'essor des entreprises distribuées et du travail à distance et hybride, de nombreux employés travaillent en dehors du réseau principal de l'entreprise et au-delà du firewall. Ils utilisent leurs appareils personnels pour travailler et se connectent sur des réseaux sécurisés... ou non. Ils utilisent des services et des applications de tiers. Les cybercriminels disposent donc d'une surface d'attaque beaucoup plus grande et appliquent de nouveaux outils (comme les logiciels malveillants chiffrés, sans fichier) et de nouvelles tactiques (comme les attaques hors sol ou living off the land) qui peuvent facilement échapper aux firewalls et aux antivirus traditionnels. En utilisant des identifiants volés obtenus en ligne ou par des attaques de phishing, ils peuvent facilement contourner les défenses les plus robustes et se connecter à votre réseau.

Pour être bien protégées, les organisations doivent mettre en place une défense multicouche comprenant des firewalls et des antivirus, mais aussi une protection, une détection et une réponse au niveau des endpoints, un réseau Wi-Fi sécurisé et une authentification forte, multifacteur. Plus important encore, la gestion unifiée des menaces (UTM) ou les firewalls de nouvelle génération (NGFW) vont désormais bien au-delà du simple « pare-feu », en intégrant de nombreux services de sécurité réseau supplémentaires tels que l'IPS, plusieurs moteurs de détection des logiciels malveillants, le filtrage DNS et Web, et bien plus encore ; ils offrent dix fois plus de couches défensives qu'un firewall traditionnel. Les organisations certaines de pouvoir "s'en sortir" avec une sécurité minimale devraient repenser leur niveau de risque ; une seule violation majeure des données ou une attaque par ransomware pourrait facilement dépasser le coût d'une infrastructure de sécurité plus complète et mettre en péril l'ensemble de leur activité.

7. Les outils de sécurité suffisent à nous protéger

Si la technologie seule suffisait à assurer la sécurité des organisations, le travail de la plupart des professionnels de la sécurité de l'information serait beaucoup plus facile. En réalité, de nombreuses attaques réussies ne sont pas dues à la défaillance d'un système de sécurité, mais à une erreur humaine, à un manque de formation ou à de mauvaises pratiques de sécurité. Comme mentionné plus haut, au lieu de pirater un réseau, les cybercriminels obtiennent souvent des informations d'identification au moyen du phishing, de sites Web malveillants ou par ingénierie sociale et se connectent tout simplement aux réseaux, contournant ainsi la plupart des mesures de sécurité. Dans d'autres cas, ils profitent d'une mauvaise configuration ou de systèmes qui ne sont pas équipés des derniers logiciels ou dont le firmware est obsolète. Oui, une solution de sécurité correctement mise en oeuvre peut certainement prévenir de nombreuses attaques et limiter les dégâts même lorsque les attaques ont d'abord réussi. Mais ces outils de sécurité ne sont pas suffisants par eux-mêmes. Les organisations doivent investir du temps et de l'énergie pour former tout le monde aux bonnes pratiques de cybersécurité et pour les aider à comprendre les conséquences d'une défaillance de la sécurité. Elles doivent également s'assurer d'avoir rédigé des politiques de sécurité, une "politique d'utilisation acceptable" par exemple, et de les diffuser à leurs collaborateurs, pour leur faire savoir ce qu'ils peuvent et ne peuvent pas faire en ce qui concerne les outils technologiques dans l'entreprise.

8. Laisser le service informatique ou le RSSI assumer la responsabilité de la cybersécurité

Une cybersécurité efficace n'est pas une boîte noire. Oui, les services informatiques et le RSSI sont responsables de la mise en place et de la maintenance de l'infrastructure de sécurité et de la réponse aux menaces au fur et à mesure qu'elles se présentent. Mais aucun système n'est parfait, et la technologie n'est qu'une partie de la solution. Il est important que tous les membres de l'organisation, de la direction à l'échelon le plus bas, soient sensibilisés aux risques, régulièrement formés aux bonnes pratiques en matière de cybersécurité, encouragés à signaler toute activité suspecte et non pas ridiculisés ou rabaissés s'ils commettent des erreurs. Le RSSI peut mettre en oeuvre d'excellentes solutions techniques, mais il a besoin de l'aide des employés pour éviter les menaces ciblant plus directement les comportements humains. En d'autres termes, le moyen le plus efficace d'être en sécurité est de créer une culture de la cybersécurité dans toute l'organisation. Si certains membres de l'organisation ont des rôles dédiés à la cybersécurité, celle-ci doit être considérée comme étant la responsabilité de tous.

Il est surprenant de constater à quel point la « sagesse conventionnelle » est souvent dépassée ou tout simplement fausse. Pourtant, en matière de cybersécurité, personne ne peut se permettre de s'accrocher à des croyances obsolètes, ou d'appliquer des solutions reposant sur de mauvais conseils. Les enjeux sont trop élevés et les conséquences d'une erreur sont bien trop graves.

Pour en savoir plus

Pascal Le Digol a rejoint WatchGuard, en sécurité informatique, réseaux et télécommunications ; il est également détenteur de la Certification des Professionnels de la Sécurité de l'Information : CISSP (Certified Information Systems Security Professional).