Comparatif de l’usage des bonnes pratiques de sécurité
Les couacs à répétitions de sécurisation de grande marques/enseignes de par le monde et les pratiques hasardeuses de certaines instances gouvernementales récemment exposées ont poussé tout un chacun à s’intéresser à sa propre vulnérabilité. En résulte une prise de conscience qu’il existe bel et bien un degré d’exposition irréductible pour tout utilisateur d’internet, même pour qui se contente d’utiliser les réseaux sociaux.
En conséquence il suffit de quelques secondes de recherche sur internet pour aujourd’hui trouver énormément d’astuces liées à la sécurité informatique. Cette collection de bonnes pratiques a beau s’enrichir de jours en jours elle n’en est pas forcément plus évidente et il peut également être difficile voire décourageant de chercher quels usages prioriser et pourquoi.
Les questions comme “Pourquoi choisir une approche plutôt qu’une autre ?” et “La sphère sécuritaire professionnelle communique-t-elle vraiment sur ses bonnes pratiques ?” sont au centre d’une conférence nommée “…no one can hack my mind”: Comparing Expert and Non-Expert Security Practices” présentée à l’occasion du Symposium On Usable Privacy and Security.
Cette conférence met en lumière les évaluations réalisées sur deux fronts : l’une auprès de 231 experts en sécurité et l’autre sur 294 utilisateurs web lambda, non experts en sécurité. La ligne de conduite de chacun des groupes tournait autour de la question “Que peut-on faire pour se mettre et se maintenir en sécurité lors de notre usage d’internet ?”.
Le top 5 des bonnes pratiques
Il a été demandé spécifiquement à chaque groupe de fournir les 3 pratiques qu’ils considéreraient comme les meilleures en matière de sécurité, voici les résultats pour chacun des groupes :
Donnons-nous la peine d’analyser en surface les différences de pratique pour chacun.
1 – Les non-experts préconisent l’utilisation d’un logiciel anti-virus, en effet la méconnaissance des mécanismes parfois complexes liés à l’outil pousse cette population à s’en remettre à un logiciel compétent, rien d’étonnant jusque-là. On pourrait penser que la population d’experts cite aussi les logiciels antivirus, il n’en est rien. La logique des experts semble être diamétralement opposée puisque c’est précisément leur très bonne connaissance des outils et des mécanismes informatiques et la possibilité que ces logiciels soit retournés, détournés ou annulés qui les pousse à privilégier la bonne maintenance du cadre d’exécution au travers de mises à jour régulières : une plateforme toujours à jour fonctionnera selon ses paramètres nominaux donc – logiquement – sans bugs ni vulnérabilités.
2 – Les non-experts recommandent la définition de mot de passe complexes et donc robustes aux attaques déduction, quant à eux les experts semblent privilégier l’utilisation de mots de passes uniques et dédiés. Ces deux approches sont performantes, voire même parfaites lorsqu’elles sont complémentaires.
Note : sur la thématique forte des mots de passe sur ce point il faut citer les mécanismes de single sign on (rejeu de crédentiels) ou encore la supériorité des mécanismes de fédération qui permettent de ne plus faire transiter les mots de passe une fois les trusts établis. L’étape critique de saisie des crédentiels en est par conséquent évitée, réduisant ainsi de beaucoup les vecteurs d’attaques possibles. Synetis conseil et intègre régulièrement auprès de ses clients de telles solutions.
3 – Les non-experts conseillent de changer souvent leurs mots de passe tandis que les experts préfèrent se reposer sur les mécanismes d’authentification à double facteur, ces pratiques sont complémentaires.
4 – Les non-experts préfèrent limiter leurs recherches aux seuls sites qu’ils connaissent là où les experts, eux, pourront élargir leur exposition à condition d’utiliser des mots de passe complexes. Il est intéressant de noter qu’on retrouve ici la pratique du mot de passe complexe en 4ème position chez les experts tandis que les non-experts l’ont placé en position 2.
5 – Les non-experts préconisent de ne pas exposer leurs données personnelles, les experts eux recommandent l’utilisation d’un gestionnaire de mot de passe.
Ce classement étant établi par l’ordre des priorités données par chaque groupe, toutes les pratiques citées n’y figurent pas, voici donc quelques données supplémentaires intéressantes :
- 24% des non-experts disent utiliser un gestionnaire de mot de passe pour tout ou pour une partie de leurs comptes tandis que 73% des experts en utilise un.
- 35% des experts disent être attachés à des mises à jour immédiates de leur plateforme pour seulement 2% des non-experts.
- 42% des non-experts contre seulement 7% des experts disent placer l’utilisation d’un antivirus dans leur top 3 des bonnes pratiques de sécurité.
Alors à la question “La sphère sécuritaire professionnelle communique-t-elle vraiment sur ses bonne pratiques ?”, la réponse est manifestement non ou du moins la communication semble très insuffisante. Si l’on considère que l’expertise des professionnels de la sécurité informatique fait loi en matière de bonne pratique, alors nous devrions trouver ici deux listes identiques, il ne devrait pas y avoir de décalage aussi important entre les deux populations.
Sources & ressources :
Georges
Consultant Sécurité