Qui est SUSI?
L'acronyme SUSI signifie Sensibilisation des Utilisateurs à la Sécurité de l'Information.
Un utilisateur suffisamment sensibilisé est celui qui sait éviter les nombreux pièges du cyberespace, un espace sans frontières dans lequel les pirates se déplacent à une vitesse quasi-instantanée en quête de cryptomonnaie sonnante et trébuchante.
Ceci n'est pas de la science-fiction.
C'est dans l'air du temps. L'ère du Web, du cloud, de la 5G, de la blockchain, du big data et de l'intelligence artificielle.
Alors mieux vaut être armé, ou du moins être vêtu d'une cyberarmure pour parer aux cyberattaques de plus en plus perfectionnées des pirates du XXIème siècle, qui profitent de chaque occasion pour sortir de leurs cybercachettes.
D'autant que les assaillants ne se limitent pas au monde des logiciels. Ils attaquent depuis tous les recoins du Web, exploitant même des failles matérielles, objets connectés y compris, sans oublier les failles liées à l'actualité.
Dernière vague d'attaques notoire, celle liée au coronavirus.
Vous souhaitez sensibiliser vos employés à la sécurité informatique pour leur permettre de comprendre les bonnes pratiques et d'acquérir les bons comportements en vue de la protection des données de votre entreprise?
Contactez-nous pour mettre en place la formation SUSI dans votre entreprise.
Mots de passe – règles usuelles
L'Ancien Testament IT contient les fameux Commandements des Mots de Passe, connus et respectés par les utilisateurs du monde entier depuis la nuit des temps informatiques:
- Ton mot de passe tu n'écriras point.
- Ton mot de passe à personne tu ne communiqueras.
- Ton mot de passe dans le dictionnaire ne se trouvera pas.
- Ton mot de passe aucune information personnelle ne contiendra.
- Ton mot de passe au moins 8 caractères comportera.
- Ton mot de passe majuscules, minuscules, chiffres et caractères spéciaux combinera.
- Ton mot de passe tous les trois mois tu changeras.
Un casse-tête permanent pour les employés et pour les Service-Desks du monde entier…
Ceci a conduit à recommander l'utilisation d'une phrase simple, ponctuation incluse (passphrase).
Favorisons les mots de passe longs (au moins 10 caractères) plutôt qu'une combinaison complexe mais trop courte.
Expression | Mot de passe | Qualité du mot de passe | Temps de craquage |
---|---|---|---|
Un voyage de mille lieues | unvoyagedemillelieues | Très fiable | + de 10'000 siècles |
Un voyage de mille lieues | 1Voyage1000lieues | Très fiable | + de 10'000 siècles |
Un voyage de mille lieues | 1Voyage1000l | Fiable | Quelques siècles |
Un voyage de mille lieues | 1V1000l | Peu fiable | Quelques heures |
Reste un souci majeur, la multiplication des mots de passe. Retenir l'une des expressions ci-dessus, passe encore, mais en retenir des dizaines…
Une solution consiste à opter pour un manager de mots de passe, une sorte de coffre-fort virtuel qui stocke tous vos mots de passe, au cas où votre mémoire flancherait. Un coffre-fort qui s'ouvre avec une clé, en l'occurrence un mot de passe, encore un, à définir avec une infinie précaution, faute de quoi vous êtes bons pour redéfinir… tous vos mots de passe!
Même si l'on stocke toute sa collection de mots de passe dans un e-coffre-fort adéquat, cela reste un processus laborieux et chronophage. Il faudra, pour encore un bon bout de temps, s'accommoder des règles en matière de mots de passe édictées par chacun des produits et sites Web nécessitant une authentification. Imaginer un mot de passe unique pour se connecter partout n'est donc pas encore envisageable (ni actuellement recommandable).
Mots de passe – remise en question
Les recommandations susmentionnées en matière de complexité des mots de passe ont été faites en son temps par Bill Burr, du National Institute of Standards and Technology américain.
Le hic, c'est que Bill Burr a fini par changer d'avis, eu égard aux derniers tests de craquages de mots de passe en vogue dans le cyberespace.
Les derniers développements arrivent aux deux conclusions suivantes:
- La sacro-sainte règle du changement de mot de passe tous les trois mois n'est pas pertinente, car elle encourage les utilisateurs à simplement incrémenter leur ancien mot de passe.
- Un mot de passe apparemment complexe, mais court, tel S1s,0s1g? est plus facile à craquer qu'une longue suite de mots aléatoires courants (se trouvant dans le dictionnaire, donc) telle "carotte renard fable ruisseau eau".
3 des 7 Commandements des Mots de Passe sont ainsi contredits:
- Ton mot de passe dans le dictionnaire ne se trouvera pas.
- Ton mot de passe majuscules, minuscules, chiffres et caractères spéciaux combinera.
- Ton mot de passe tous les trois mois tu changeras.
Mais d'ici à ce que toutes les entreprises, tous les éditeurs de logiciels et tous les sites Web nécessitant un mot de passe mettent à jour leurs pratiques pour correspondre à ces nouvelles préconisations, nous auront droit à un joyeux mélange entre règles "à l'ancienne" et règles mises au goût du jour, ce qui complexifiera potentiellement encore plus, pour un bon bout de temps, la gestion de ses mots de passe.
Nos autres actualités concernant les mots de passe:
Double authentification
Ce casse-tête apparemment insoluble en matière de gestion des mots de passe, qui a cours tant dans l'environnement professionnel que dans l'environnement privé, ces deux environnements étant de plus en plus liés avec l'avènement des appareils mobiles, a conduit les géants du Web à ajouter une couche de sécurité supplémentaire.
Il s'agit de combiner le mot de passe traditionnel avec un élément qui ne peut physiquement être que dans les mains de l'utilisateur et de générer un code à usage unique utilisable uniquement au moment exact de la connexion, et donc par le biais du support physique appartenant à l'utilisateur, généralement un smartphone.
En parallèle, l'utilisation d'un code pin stocké uniquement dans l'appareil à déverrouiller se généralise aussi. Ceci empêche le piratage traditionnel par les voies du Web.
Mais revenons à la deuxième couche d'authentification. Celle-ci utilise de plus en plus les avancées de la biométrie, que celle-ci soit faciale, rétinienne ou digitale.
Le Larousse définit la biométrie comme "la technique qui permet d'associer à une identité une personne voulant procéder à une action, grâce à la reconnaissance automatique d'une ou de plusieurs caractéristiques physiques et comportementales de cette personne préalablement enregistrées (empreintes digitales, visage, voix, etc.)."
Le projet WebAuthn, sous l'égide du World Wide Web Consortium, a pour objectif de définir un cadre technique précis et fiable pour combiner les deux éléments de l'authentification tels un yin et un yang:
- un élément secret mémorisable (pin, mot de passe)
- un élément physique unique (empreinte digitale, iris, voix)
Mais l'authentification à deux facteurs (2FA, Two-factor authentication) n'est qu'un début; rien n'oblige à se contenter de deux facteurs, on parle alors de MFA (Multi-factor authentication), authentification multi-facteurs.
Hello de Microsoft et Trust API de Google vont dans cette direction.
Hello combine un mot de passe ou un code pin avec des empreintes digitales, de la reconnaissance faciale ou un scan de l'iris.
Trust API combine un ensemble d'informations telles la biométrie, la voix, l'analyse des déplacements, l'analyse de la dactylographie et/ou la géolocalisation.
Du clavier au frigo
La cloudification ajoute une couche d'incertitude supplémentaire.
Vous avez beau trouver le mot de passe le plus sûr possible, combiné avec votre plus joli sourire biométrique, si les données et/ou logiciels et/ou sites Web auxquels vous accédez sont mal sécurisés dans le cloud, les pirates se serviront sans se faire prier. La preuve par l'exemple avec cette fuite gigantesque découverte en 2019 qui fait froid dans le cyberdos (21 millions de mots de passe et 2,7 milliards d'identifiants "envolés").
L'Internet des Objets n'est pas en reste en matière de fuite d'informations: un demi-million de mots de passe pour serveurs, routeurs et objets connectés ont été dérobés cette année.
Il faut donc prendre l'habitude de protéger tous ses accès, objets y compris. La protection d'accès par mot de passe est encore très associée à l'ordinateur et aux sites Web. Pourtant, protéger ses accès concerne aussi bien les appareils physiques (hardware), que les logiciels (software) et que tout matériel connecté, mobile ou non, du clavier au frigo, donc, en passant par le smartphone, la tablette, le système de chauffage (domotique), la voiture, le système d'arrosage, la télévision, l'e-banking, etc.
Même les caméras de surveillance, pourtant là pour…surveiller, ne sont souvent pas protégées, et librement accessibles par tout pirate potentiel. Le site Insecam référencie les caméras de l'espace public accessibles à travers le monde à leur insu. Il y en a 252 en Suisse, dont 14 à Lausanne, en particulier celle-ci qui vous permet de voir qui attend le prochain bus, ou celle-ci qui permet de jauger le trafic à Genève, ou encore celle-ci dans le canton de Berne qui vous permet de savoir si la famille Schmutz est montée au chalet ce week-end et si leur pelouse est bien tondue.
Et comme la tendance est clairement au tout-connecté, la prudence est et sera de mise, surtout au vu de la croissance impressionnante du nombre d'objets connectés: on recensait 22 milliards d'objets connectés à Internet en 2018, on en prévoit 38 milliards pour 2025, et quelques 50 milliards d'ici 2030 (source: Statista).
De la vis connectée à la ville connectée, tout y passe, tout s'interconnecte. Le thème de l'interconnectivité sera d'ailleurs au cœur de la prochaine Expo universelle de 2020, qui aura lieu à Dubaï entre l'automne 2021 et le printemps 2022 (report d'une année en raison de la pandémie actuelle).
En savoir plus sur…
Des spécialistes à votre service
Cette complexification de la sécurité de l'information, qui touche désormais toute une panoplie d'objets au bureau comme à la maison, et même sur le chemin entre le bureau et la maison, se reflète au niveau des Service Desks.
Deux profils de spécialistes sont particulièrement mis en lumière par cette nouvelle donne sécuritaire:
- le spécialiste de la gestion des accès
- le chargé de sécurité de l'information
Le spécialiste de la gestion des accès fait en sorte que chaque employé accède à tout ce dont il a besoin dans l'entreprise, du premier au dernier jour de son contrat. Il est donc potentiellement impliqué dans la politique en matière de mots de passe et dans la mise en place de systèmes biométriques et d'authentification multiple.
Le chargé de sécurité de l'information veille sur la sécurité du système d'information de l'entreprise. Il a un œil d'auditeur sur tout ce qui rentre et tout ce qui sort de l'entreprise (au niveau des données elles-mêmes et des supports de données, ainsi que de l'infrastructure du flux entrant et sortant de données). Il audite les droits d'accès mis en place par son collègue de la gestion des accès.
En savoir plus sur…
Vous souhaitez sensibiliser vos collaborateurs à la sécurité de l'information? Vous avez besoin de conseils en matière de gestion des mots de passe? Un spécialiste sécurité manque à votre Service Desk et tout est dépeuplé?
CONTACTEZ-NOUS, NOUS VOUS PROPOSERONS UNE SOLUTION ADAPTÉE À VOTRE CONTEXTE.
SUSI Forever
L'OMS (Organisation Mondiale de la Santé) a signalé une multiplication par 5 des cyberattaques à son égard depuis le début de la pandémie du covid-19.
Dire que les pirates sont à l'affût de la moindre cyberopportunité est un doux euphémisme…
L'affrontement entre pirates et marins du Web date de la nuit des temps numériques. C'est à se demander qui du pirate ou du marin, du virus ou de l'antivirus, est apparu en premier? Qui de la poule ou de l'œuf?
A chaque nouveauté technologique, les pirates s'adaptent.
La guerre est devenue cyberguerre. les criminels des cybercriminels menant des cyberattaques. Le Web a d'ailleurs son pendant du côté obscur, le Dark Web.
La cryptomonnaie a été détournée de son usage primaire pour payer les rançons en cas d'attaques par rançongiciels (ransomwares).
Tout événement sportif d'ampleur planétaire est accompagné d'attaques et de fraudes: Jeux Olympiques, Coupes du Monde de football, Super Bowl, etc.
Chaque crise voit pousser comme des champignons ses profiteurs; la pandémie du coronavirus en est la parfaite illustration.
Alors, il convient de rester sur vos gardes sur le Web et avec vos appareils numériques, tant dans le milieu professionnel que dans le milieu privé.