Cybersécurité industrielle : Le risque est d’abord humain | Oser l'efficacité - Les stratégies de ceux qui font l’industrie

Description

🎧 Cybersécurité industrielle : le risque est d'abord humain

🔐 Série – Cybersécurité industrielle : protéger sans freiner l’activité

La cyber sécurité des PMI est-elle une contrainte technique… ou un levier de compétitivité industrielle ?

Pour répondre à cette question, j’accueille Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité.

Dans cette série spéciale d’Oser l’Efficacité, on démonte les idées reçues autour de la cybersécurité en industrie :

Le facteur humain est-il vraiment le maillon faible ?
Le cloud est-il si dangereux qu’on le dit ?
Peut-on protéger son activité sans la ralentir ?
La sécurité est-elle un coût… ou une assurance survie

Face à l’augmentation du risque informatique, aux exigences des grands donneurs d’ordre et aux nouvelles réglementations (NIS2), la cyber sécurité des PMI devient un droit d’entrée… et un droit de rester dans la chaîne d’approvisionnement industrielle.

Objectif de cette série : rendre la cybersécurité industrielle concrète, pragmatique et actionnable pour les dirigeants de PMI qui veulent protéger leur entreprise sans tomber dans le jargon technique ni dans l’alarmisme.

🎙️ Épisode 2 – Le facteur humain, vraie faille ou faux coupable ?

Dans cet épisode avec Michael Tonso, fondateur de CyberSéréno, on parle sans filtre du rôle du facteur humain dans la cyber sécurité des PMI.

Au programme :

Pourquoi la cybersécurité est d’abord une question d’habitudes
Les erreurs classiques sur les mots de passe (et pourquoi “Prénom2024!” ne suffit plus)
Le gestionnaire de mots de passe : gadget ou bouclier stratégique ?
L’authentification double facteur : contrainte ou assurance minimale ?
Comment réduire le risque informatique sans transformer ton équipe en paranoïaques

On déconstruit une idée reçue :
👉 Le problème n’est pas que “les humains sont le maillon faible”.
Le problème, c’est qu’on ne leur donne ni cadre clair, ni outils adaptés.

Une cyber sécurité des PMI efficace repose sur des règles simples, répétées, intégrées dans le quotidien industriel. Pas sur des discours anxiogènes.

Et bonne nouvelle : quelques gestes bien choisis peuvent déjà faire grimper drastiquement ton niveau de protection.

👉 Passe à l’action :

🎁 Le cadeau de Michael :
http://digetik.fr/cyber

🌐 Contacter Michael (CyberSéréno) :
https://www.cybersereno.fr/
https://www.linkedin.com/in/michaeltonso/

📅 Réserve ton rendez-vous stratégique :
http://digetik.fr/rdv

📰 Abonne-toi à la newsletter :
http://www.digetik.fr/news

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour et bienvenue dans Oser l'Efficacité, dans le format Le Lab, le format où j'invite un expert pour plonger au cœur de sa thématique et te montrer que tu n'es pas seul face à tes incertitudes. Je suis Perrine Thiebaud, j'accompagne les dirigeants dans la transformation de l'entreprise industrielle et que ça se voit, dans leur processus, dans leurs décisions, dans leur trésorerie, mais aussi à l'extérieur. Cette semaine, j'ai à mon micro Mickaël Tonceau de Cyber Sereno pour rendre la cybersécurité extrêmement pratique. Un épisode par jour du lundi au vendredi. N'oublie pas de t'abonner pour recevoir les suivants. C'est notre deuxième épisode sur le sujet. Si tu as raté le premier, il est disponible juste ici. Et aujourd'hui, on parle de l'importance du facteur humain dans la cyber. L'erreur humaine est responsable de 90% des cyberattaques. C'est ce que nous dit l'indice relatif à la veille stratégique en termes de sécurité d'IBM. En toute première cause, vient le clic sur un email frauduleux. Et même si les canaux se diversifient aujourd'hui, il reste le plus gros vecteur d'attaque. Alors, avant de penser outils... antivirus par feu, on va comprendre ce qu'est une erreur humaine et comment l'éviter au quotidien. Mickaël nous en parle dans la rubrique Cheat Code, où il nous donne tous ses conseils pour éviter le pire. Concrètement, c'est quoi le scénario le plus typique que tu vois en termes d'erreurs humaines liées à la cybersécurité dans les ateliers et comment on s'en protège ?
Speaker #1
Ce que je vois assez régulièrement, c'est les accès informatiques qu'on a tendance à ouvrir un peu facilement parce qu'on a besoin d'échanges avec... Une entité extérieure, par exemple. Et c'est les accès qui sont souvent un peu trop ouverts et qu'on a tendance à oublier qu'ils sont ouverts. Pour se protéger de ça, ce qui est idéal, c'est de faire énormément en termes de ces accès à distance. Le but, ce n'est pas d'interdire ces accès-là, de se rappeler qu'ils existent. Et quand il n'y en a plus besoin, c'est de faire en sorte de les éliminer pour éviter d'exposer l'entreprise à notre région.
Speaker #0
Si on veut réduire ces erreurs, c'est quoi la première étape ? Est-ce qu'on sensibilise ? Est-ce qu'on met en place des procédures ? Est-ce qu'on forme ? Comment tu te places ?
Speaker #1
Il n'y a pas forcément de recette magique. Ça va déjà dépendre du contexte de l'entreprise, de leur maturité, justement aussi par rapport au sujet cyber. Ce que je trouve intéressant et pratique dans un premier temps, c'est de procéder par un audit rapide externe, d'avoir un regard extérieur par rapport à l'ensemble de leurs pratiques, qui soit à la fois opérationnel et technique. Ça permet souvent d'identifier les points de faiblesse. Et... et parvenir à la fin à avoir une feuille de route qui soit directement actionnable par l'entreprise. L'idée, c'est d'être en fait proactif et de construire en binôme ou parfois même en trinôme, parce que dans l'organisation, il y a souvent un partenaire informatique qui gère déjà certaines activités. Donc c'est de fonctionner en fait ensemble pour pouvoir adapter les configurations d'équipements informatiques, par exemple. pour déployer des outils qui vont permettre d'automatiquement faire certaines tâches de sécurisation, comme par exemple les mises à jour logicielles sur les postes de travail, de faire le tri et de renforcer les flux d'échanges de données dans l'entreprise, que ce soit en interne mais aussi avec les partenaires externes, et particulièrement avec les partenaires externes, parce que c'est par là aussi qu'il se passe de plus en plus de malveillance. Et il y a la partie sensibilisation qui est clé pour rapport aux salariés, mais on parle là de ces termes un petit peu. peu qui est dans le domaine, qui parle d'ingénierie sociale. Et l'idée, c'est de mettre en lumière un petit peu comment se déroulent ces méthodes d'ingénierie sociale pour ensuite faire prendre conscience aux individus à quel moment ils deviennent en fait partie prenante de cette séquence-là. Donc du coup, leur faire prendre conscience de ce qu'ils peuvent faire à leur niveau pour stopper finalement une séquence de malveillance.
Speaker #0
Oui, t'as donné plein de conseils, c'est hyper intéressant. Je rebondis sur la partie mise à jour. Il y a des gens qui bossent pour votre protection informatique. Vos fournisseurs de logiciels travaillent pour votre protection informatique via les mises à jour. Donc faites-le, en fait. Ce n'est pas juste pour vous embêter. Ce n'est pas anodin d'une mise à jour. Ce n'est pas parce qu'elle n'apporte pas une nouvelle fonctionnalité qu'il n'y a pas quelque chose de structurant derrière et de vraiment important pour vous.
Speaker #1
Absolument. Et le piège que je vois, c'est que souvent on a tendance à se dire, oui, mon informatique, mon outil fonctionne, donc comme il fonctionne, je ne vais pas forcément le mettre à jour ou le toucher parce que je prends le risque. Mais de plus en plus, que ce soit les éditeurs, tous les éditeurs, en fait, ils corrigent très régulièrement maintenant des failles de sécurité dont on ne se rend pas compte, en fait, nous, en tant qu'utilisateurs. Et si ces correctifs ne font pas passer, en fait, l'application, l'ordinateur, l'équipement, l'appareil, il va de plus en plus exposer à des risques. Il y a une facilité d'intrusion par un hack de piratage. Donc c'est hyper important de faire ces mises à jour.
Speaker #0
Est-ce que tu pourrais me donner ton cheat code ? Ce petit hack simple qu'un dirigeant peut appliquer dès demain pour réduire le risque humain ?
Speaker #1
Pour réduire le risque humain, oui, c'est un hack qui coûte 0€. qui prend cinq minutes à mettre en place et qui tue dans l'oeuf une bonne partie des arnaques financières. C'est le cas par exemple de l'arnaque, la fameuse fraude au président que tout le monde connaît maintenant et l'arnaque au four virement qu'on a eu l'occasion d'expliciter sur l'épisode précédent. Du coup, pour éviter ça, c'est ce qu'on peut appeler la pratique du canal croisé. Alors demain matin, à la machine à café ou sur un point d'équipe, en fait l'idée c'est que le dirigeant réunit tout le monde et il dit simplement ceci. Il dit, à partir de maintenant, si vous recevez une demande de ma part, c'est valable aussi pour un fournisseur ou pour un client, si vous recevez une demande de ma part qui implique de l'argent ou des données sensibles, vous ne répondez jamais par le même canal, et ce, d'autant plus s'il y a une notion d'urgence qui est exprimée. Donc si ça arrive par email, par exemple, ou par téléphone, si ça arrive par SMS ou par une conversation type chat, on verra, on voit dans le bureau de... de l'interlocuteur s'il est à proximité, puis on vérifie de vivo avec lui ce qu'il en est vraiment. Donc c'est des réflexes qui sont de plus en plus nécessaires pour justement éviter des usurpations de rôles et des arnaques.
Speaker #0
C'est extrêmement important de rappeler que même s'il y a un critère d'urgence qui est indiqué, de toute façon, si la personne vous a demandé de faire quelque chose, Si vous devez lui faire confirmer, c'est qu'elle est disponible. Elle vient de vous contacter pour ça. Donc, il n'y a pas d'histoire de s'il est en réunion, je ne vais pas réussir à l'avoir, je ne vais pas réussir à avoir confirmation alors que c'est urgent. Non, s'il vous a demandé quelque chose d'urgent, ça doit être confirmable par un autre canal. Sinon, c'est que ce n'est pas la bonne personne.
Speaker #1
Absolument.
Speaker #0
Comment on évite que la cybersécurité soit perçue comme une corvée de plus par les équipes ?
Speaker #1
Alors oui, parfois c'est un peu cette connotation. Mais à mon avis, pour dépasser ça... C'est d'abord d'appliquer et de permettre à toutes les personnes de l'entreprise de bien comprendre en quoi chacune, chacun joue un rôle, la plupart du temps inconscient, dans ces séquences de malveillance. Donc, j'ai envie de l'expliquer avec des mots simples et prendre quelques exemples sur les conséquences que cela peut avoir. Donc ça, c'est un premier point vraiment clé. Ensuite, le second point, c'est d'évaluer à l'avance avec les équipes l'impact d'une mesure de sécurité dans leur quotidien. sur leur productivité, sur mesurer vraiment ce que ça va changer dans leur quotidien en bien ou en moins bien. L'idée, c'est que les choix et que les décisions soient prises de manière éclairée par les responsables d'équipe, par les dirigeants, pour qu'ils restent maîtres des mesures qui soient en place, sans que ça vienne pénaliser leur mode de fonctionnement. Et une fois que les bons choix ont été faits, l'idée c'est d'aller... dans la mise en place parce que c'est bien beau de dire bah oui on recommande de mettre en place telle ou telle chose mais moi je vois très régulièrement aussi en entreprise des recommandations qu'on leur a déjà faites mais où l'entreprise sait de toute bonne foi en fait disait ok d'accord je sais qu'il faudrait que je fasse ça mais je sais pas comment m'y prendre et là il y a régulièrement il y a souvent besoin en fait juste déjà d'une impulsion ou d'un soutien pour aiguiller et permettre à l'entreprise de correctement mettre en place dès le départ les bonnes pratiques et les bons outils pour que ça fonctionne dans le quotidien. On dit autrement, je réassiste là-dessus, c'est ne jamais imposer de mesures qui soient incomprises et qui pourraient devenir inadaptées.
Speaker #0
Vu qu'on ne peut plus parler d'informatique aujourd'hui sans parler d'intelligence artificielle, je vais te poser une question là-dessus. Est-ce que... l'intelligence artificielle va nous protéger des failles humaines justement alors un jour peut-être,
Speaker #1
aujourd'hui c'est de mon point de vue pas encore le cas parce qu'on parle d'humains comme étant la faille effectivement mais au moment où on se parle en fait il y a des outils qui en effet existent pour nous aider en fait à être capables et à faire des tâches et des actions numériques à notre place donc il y a un réel enjeu qui est en train de se mettre en place à partir de maintenant et qui va clairement, vraisemblablement s'accentuer dans les années à venir. Sauf qu'en l'état actuel des choses, au moment où on se parle en tout cas, ces outils-là, ils se trompent quasiment au moins autant que nous. Et en particulier, il existe aujourd'hui des outils-là qui sont capables de simuler une navigation, par exemple de réaliser un achat sur un site e-commerce à notre place par rapport à une intention qu'on donne. Donc c'est très très bien sur le principe. Sauf que ces outils-là, ça... pas forcément faire la différence entre un outil, un acteur e-commerce fiable et un acteur e-commerce qui est malveillant, qui est en fait une arnaque. Et ces outils-là, ils peuvent t'amener malheureusement à créer des transactions auprès de personnes malveillantes. Bon, j'ai nul doute qu'à l'avenir, ces outils-là vont continuer de progresser. Donc, progressivement, c'est des choses qui devraient un petit peu se... qui devrait un petit peu disparaître, même si je pense qu'il en restera toujours plus ou moins, parce que, on va dire, la...
Speaker #0
Les fraudes deviendront de plus en plus avancées aussi.
Speaker #1
Tout à fait, tout à fait.
Speaker #0
Je retiens en particulier l'exemple du canal croisé, parce que, comme tu l'as dit, ça coûte zéro et ça peut vraiment protéger en profondeur les entreprises. Comme quoi, on n'a pas besoin d'outils complexes, parfois, pour juste du bon sens et des règles claires pour éviter des gros problèmes.
Speaker #1
Ce sont des nouveaux réflexes, effectivement, à ancrer au quotidien.
Speaker #0
Parfait. Pour la suite, je voudrais qu'on revienne pour une des raisons pour lesquelles on a fait cet épisode, même si ça faisait un petit moment qu'on en parlait. Mais bon, le vrai déclencheur, c'est un post que j'ai écrit en août sur LinkedIn où je parlais d'un petit objet que j'avais trouvé dans un magasin de souvenirs en vacances et qui était un carnet de mots de passe. Donc vraiment un petit cahier indiqué. carnet de mots de passe dessus et j'en avais fait un post clairement à tendance humoristique pour expliquer que je trouvais quand même que c'était pousser le vis de dire mes mots de passe sont ici, venez me pirater. Là où je voyais juste effectivement un petit souvenir de vacances et un post très léger posté en août, j'ai eu un déchaînement de passion. On est sur un post qui a fait plus de 200 000 vues, 500 commentaires, 500 likes et dans les commentaires, j'ai eu absolument de tout. entre Tu comprends rien, les vieux en ont besoin, j'ai eu c'est pas possible, c'est un fake IA, ça ne peut pas exister cet objet-là. Mais aussi de vraies propositions de solutions dans les commentaires. Et je voudrais un petit peu qu'on revienne sur ce déchaînement de passion et que tu me donnes ton avis en tant que spécialiste sur différents commentaires que j'ai pu recevoir là-dessus. Ça se passe dans le grill. Alors tu m'as dit déjà en haut qu'il n'y a pas de solution parfaite, mais il y en a des moins pires. Au niveau de la gestion de mots de passe, toujours, est-ce que tu peux développer ça ?
Speaker #1
En fait, nos accès reposent aujourd'hui beaucoup trop sur nos fameux mots de passe. Par exemple, même à supposer que vous ayez le meilleur des mots de passe, avec un nombre de caractères vraiment très long, il a tout ce qu'il faut, chiffres, lettres, majuscules, minuscules, caractères spéciaux, vraiment nickel. Vous ne les notez nulle part, ni dans un carnet, ni dans un affaire de mots de passe. Il n'y a que vous qui le savez, donc il est ancré dans votre tête. Et bien en fait, même malgré ça, vous n'êtes pas à l'abri de tomber dans un piège où vous allez divulguer, sans vous en rendre compte, votre mot de passe sur un email de hameçonnage très bien fait. Donc là, il reste cette faille-là malgré tout. Et pourtant, le mot de passe, il est nulle part. Alors qu'il existe des contextes de nos jours où un pirate peut même accéder et prendre la main à un accès web. Un pirate, il est en mesure de pouvoir récupérer un accès sur lequel vous vous êtes déjà authentifié. et de pouvoir faire la même chose que vous connecter sans qu'il ait eu à utiliser votre mot de passe. C'est quelque chose qui est clairement techniquement possible aujourd'hui. Il faut juste prendre conscience qu'il est nécessaire, important de bien faire les choses avec ses mots de passe, mais qu'à lui seul, il ne suffit plus aujourd'hui à être suffisamment sécurisé.
Speaker #0
Il y a des commentaires que j'ai reçus justement qui vont dans ton sens et qui vont même plus loin, qui disaient « le mot de passe est mort » . Qu'est-ce que tu en penses ?
Speaker #1
pas encore moi mais j'aimerais bien qu'il le devienne j'espère bien voir le jour un jour le voir disparaître partout ce qui est sûr c'est que le mot de passe à lui seul comme je disais il est largement insuffisant pour avoir être en bonne sécurité c'est à partir de là en fait que quelques personnes ont eu ont inventé ce ces merveilleux code que chacun d'entre nous est amené à recevoir de temps à autre là c'est des codes qu'on reçoit pas souvent par un par email par sms ça rajoute une barrière plus difficile à franchir pour les pirates alors Ce qu'il faut quand même savoir, c'est que malheureusement, malgré cette nouvelle barrière, les pirates arrivent aujourd'hui à la contourner malgré tout. Il existe d'autres solutions qui permettent de se passer complètement des mots de passe lors de nos connexions. Ce sont des outils et des solutions qui sont assez peu connus pour le moment, mais qui sont en train de se déployer. C'est ce qu'on appelle les clés de sécurité. En anglais, il y a quelques-uns qui parlent de passkey. Et en fait c'est des éléments soit physiques, soit dématérialisés qui peuvent permettre de remplacer aussi bien le mot de passe, mais aussi la double authentification. Donc je prends un exemple, on a tous des comptes en ligne. Quand vous vous connectez, plutôt que de saisir le mot de passe et ce fameux code, avec une clé que vous pouvez brancher sur votre ordinateur, donc il faut l'avoir sur soi. C'est un peu comme la clé de sa maison, c'est une clé qui permet d'ouvrir son accès à son monde numérique. Une fois que c'est relié, plutôt que de se servir de votre passe, votre compte reconnaît la clé qui a été paramétrée pour vous identifier. C'est intéressant parce que le pirate, même s'il connaît votre passe, s'il n'a pas la clé, il ne peut pas se connecter. Le petit hic dans tout ça, c'est que c'est une nouvelle pratique qui est en train de se déployer, qui s'élargit quand même de plus en plus, mais qui n'est pas encore supportée par tous les outils en ligne. Et c'est malheureusement aussi une méthode qui fonctionne en parallèle du fameux couple mot de passe double authentification. Donc en fait, on est quand même obligé de vivre avec les deux pour l'instant, mais jusqu'au jour où je pense. la clé de sécurité prendra le dessus et ne remplacera définitivement cette partie-là.
Speaker #0
Donc ce que tu dis c'est qu'aujourd'hui il ne suffit pas d'acheter cette clé, elle n'est pas compatible partout, on ne peut pas encore se dire si je fais l'investissement dans cette clé je peux protéger tous mes comptes avec. Il va falloir que tout le monde y passe au fur et à mesure.
Speaker #1
Il va falloir que tout le monde y passe au fur et à mesure même si encore une fois c'est quand même supporté maintenant par les... La plupart des acteurs majeurs, mais je pense qu'avec le temps, ça va se mettre en place forcément par la force des choses.
Speaker #0
Est-ce que les gestionnaires de mots de passe, c'est un progrès actuellement ou c'est une faille en devenir ?
Speaker #1
Pour moi, les gestionnaires sont un vrai progrès si nous les comparons à certaines mauvaises pratiques. C'est mieux d'avoir un gestionnaire de mots de passe qui va faciliter le fait d'avoir différents mots de passe complexes. pour chacun de nos outils, de nos accès en ligne. Donc là, pour moi, c'est un progrès d'avoir un gestionnaire. Le gestionnaire de mots de passe, en eux-mêmes, ce n'est pas forcément suffisant. Il reste quelques failles qui peuvent être exploitées par quelques personnes malveillantes. Il y a des gestionnaires de mots de passe par défaut qui existent dans les navigateurs. Il est connu et reconnu qu'il vaut mieux éviter de l'utiliser parce qu'il y a quelques malveillances connues de beaucoup de pirates qui permettent de récupérer les accès. Alors, pas comme ça, d'un point de vue d'un coup de balai de pagique, mais disons que c'est un élément qui... ou qui est vulnérable. Après, si je donne un autre exemple également, il y a malheureusement eu une mauvaise expérience par un célèbre éditeur de jeux qui a créé un gestionnaire de mots de passe où lui-même, en fait, il a été victime d'un piratage. Donc c'est quand même 15 millions d'identifiants qui ont été mis dans la nature par son intermédiaire. Tout ça pour dire que malheureusement, même si on utilise un gestionnaire de mots de passe, Donc même si nous, à titre individuel, on fait le maximum pour faire en sorte que nos accès et nos identifiants soient protégés, il reste encore ce risque-là où s'il y a un petit défaut du côté de l'éditeur, tout peut être gâché. Après, en général, quand ça arrive, ça se sait. Donc évidemment, quand c'est connu, le premier réflexe à avoir, c'est de modifier tous ces accès, voire même d'envisager de changer de solution. Donc il y a quand même quelques plus faibles mesures possibles. Mais voilà, ça nous oblige en tout cas, nous, en tant qu'entreprise, ou en tant qu'utilisateur, à s'intéresser de plus en plus au sérieux et à la réputation des éditeurs de logiciels.
Speaker #0
Ça marche. Si on reprenait de tout ça une seule règle d'or au sujet des mots de passe à appliquer en PME, ce serait laquelle ?
Speaker #1
De se renseigner et de déployer autant que possible des outils qui vont vous permettre de vous passer des mots de passe, justement.
Speaker #0
Est-ce qu'un dirigeant qui n'incarne pas la culture sécurité peut quand même avoir une boîte sûre ? Je parle un peu d'exemplarité sur ce sujet-là.
Speaker #1
C'est une bonne question. La sécurité informatique, c'est en effet un état d'esprit à entretenir à l'intérieur de l'entreprise. Et bien sûr, s'il n'est pas porté ou relayé par la direction vers l'ensemble des équipes, ça ira moins bien. Une entreprise qui fait le bonheur des pirates, finalement, c'est une entreprise qui pense être à l'abri, qui croit que se protéger, c'est trop cher, ça lui est inaccessible, ou que ça va lui racheter trop de contraintes. ça va faciliter le travail des pirates parce que les bonnes mesures n'auront pas été mises en place.
Speaker #0
Et toi franchement, tu changes tes mots de passe tous les combien de temps ?
Speaker #1
Alors je ne vais pas forcément divulguer toutes mes recettes et toutes mes pratiques perso, mais ce que je peux dire c'est que je ne les change pas forcément si souvent que ça, parce que j'ai mis en place des mesures de mon côté avec des bonnes pratiques avec lesquelles je suis ok d'un point de vue sécurité. Ce qu'il faut savoir aussi par rapport à ça, c'est que tous les spécialistes et tous les référents en cyber, ils ne partagent pas forcément tous le même avis sur le sujet.
Speaker #0
Ça, j'ai vu dans les commentaires, oui.
Speaker #1
Voilà, notamment. Et par exemple, en France ou en Europe, on est encore un petit peu sur le fait qu'il est bon de changer ses mots de passe, sa fréquence régulière, sur tous nos comptes, etc. Ce que quand on peut faire, pourquoi pas ? Si ce n'est que quand même, il y en a quelques-uns qui se sont rendus compte que cette pratique-là, elle pouvait... devenir contre-productive, dans le sens où souvent, quand on amène à changer le mot de base, on change peut-être un chiffre à la fin, enfin bref, on reste toujours plus ou moins sur la même base. Et en fait, on est là pour apporter une contrainte qui finalement, en termes de résultats et d'efficacité au quotidien, n'est pas si efficace que ça. Aux États-Unis, par exemple, eux, officiellement, ils commencent à tenir sur un discours différent où ils disent « Non, en fait, on ne recommande plus forcément de faire changer les utilisateurs de mot de passe, mais par contre, de maintenir plutôt la pratique sur des comptes extrêmement sensibles. » Donc, c'est plutôt les utilisateurs qui ont des accès très importants, les administrateurs informatiques, etc. Où là, oui, ça peut encader du sens, mais par contre, pour les utilisateurs standards, de ne pas forcément les contraindre à ça.
Speaker #0
Ça marche. Ma dernière question sur le sujet, c'est « Est-ce que tu penses que ce fameux carnet » de mots de passe, c'est quand même bien pour les vieux, puisque c'est un commentaire qui est revenu beaucoup. Vieux ou personne peu à l'aise avec l'outil informatique, de manière plus générale.
Speaker #1
Alors, tu évoques les vieux, mais moi, je vais peut-être te surprendre, mais je croise beaucoup, lors de mes séances d'audit, je croise quand même beaucoup d'utilisateurs qui ne sont pas si vieux que ça et qui ont un carnet de mots de passe, enfin un bout de papier sur lequel ils notent leurs accès, parce que ça les rassure. Ça les rassure et oui, ce n'est pas forcément une bonne pratique, donc je ne vais pas l'apporter. Mais c'est toujours pareil, il faut la relativiser. Moi, personnellement, je ne me moque pas de ceux qui... Enfin, je ne trouve pas ça scandaleux, en tout cas, de voir des personnes qui le gèrent de la sorte. Et quand on compare finalement à d'autres méthodes qu'on a pu développer juste avant, où on se dit, en fait, même si on le gère dans un gestionnaire de mots de passe numérique, censé être sûr, sécurisé, etc., finalement, on n'est pas à l'abri de sa fuite non plus. tout comme son bout de papier qu'on a sous la main, alors certes il est à proximité, il n'est pas à l'abri de quelqu'un à mettre la main dessus non plus, mais finalement on est un petit peu sur le même plan, quasiment. Après, je ne prône pas la pratique, donc je pense qu'il ne faut pas l'encouragement à utiliser ce genre de carnet, mais c'est quelque chose qui est plus répandu qu'on ne le croit, je pense.
Speaker #0
Oui, je suis d'accord avec toi et c'est loin de moi l'idée de me moquer. Un des trucs qui m'a particulièrement choqué dans les commentaires que j'ai pu avoir, c'est quand même pratique d'avoir son carnet à côté de son ordinateur parce qu'on est protégé. Effectivement, il n'y a pas un pirate qui va venir lire le carnet. Maintenant, le carnet à côté de l'ordinateur, ou en tout cas visible avec marqué carnet de mot de passe dessus, en fait, il y a un truc qui m'a ramené à une histoire très personnelle. c'est qu'une personne âgée dans ma famille, il y a déjà des personnes qui se sont introduites chez elle. Et je ne parle pas de cambriolage, je parle de personnes qui rentrent par la grande porte sous prétexte de lui vendre des pommes, du vin ou n'importe quoi et qui, se servant de la fragilité de la personne en face, ont accès à, on va dire, l'entrée de sa maison. Ils ne vont peut-être pas aller partout, mais ils ont accès à l'entrée de la maison. Et un carnet de mot de passe qui est visible à ce moment-là, c'est quelque chose qu'on subtilise quand même. extrêmement facilement. Donc de se dire je protège les personnes âgées de ma famille en leur fournissant un cardin de mot de passe qui est visible parce que l'idée c'est quand même qu'ils le retrouvent, ça ne les protège pas de tous les moments où on n'est pas là avec eux et où des personnes mal intentionnées peuvent se servir de leur fragilité pour pénétrer dans leur domicile. Et je crois que ça c'est quand même assez sous-estimé.
Speaker #1
Tout à fait, je suis totalement d'accord avec ce que tu mentionnes comme exemple d'ailleurs. Et là c'est un exemple qui est concret, ne serait-ce que le mot de passe d'accès à notre messagerie, quelqu'un qui met la main sur l'accès à la messagerie peut faire Merci. énormément de malveillance à partir de là.
Speaker #0
Voilà, donc je voulais alerter un petit peu là-dessus, de se dire, oui, c'est pas parce qu'on ne peut pas accéder à ce carnet-là de l'extérieur par le web que c'est totalement sécurisé et que personne ne peut s'introduire chez vous.
Speaker #1
Oui, c'est un très bon exemple et tu as parfaitement raison. Et pour le compléter, ce que je voulais dire, c'est que oui, en effet, si jamais certains ont ce besoin-là, il ne faut pas qu'ils restent en visibilité, il faut qu'ils restent dans un endroit fermé, à l'abri, caché. Dans la maison, il ne faut pas que ça soit quelque chose d'exposé et visible, comme tu l'as mentionné dans ton exemple.
Speaker #0
J'avais eu des suggestions là-dessus dans les commentaires, de faire un carnet avec une couverture de télé 7 jours, par exemple, ou de gris de mots croisés. Après, il y a risque que ça passe à la poubelle une fois que la semaine du télé 7 jours est terminée, malheureusement. Mais je trouvais que c'était pas mal quand même.
Speaker #1
Exact.
Speaker #0
Pour conclure cet épisode, si tu devais donner une action concrète pour réduire le risque de failles humaines à mettre en place demain pour les dirigeants qui nous écoutent ?
Speaker #1
Alors oui, c'est une pratique assez courante qu'on est tous amenés à faire régulièrement et dont on n'a pas encore parlé. C'est l'envoi et la communication de ces fameux mots de passe quand on a besoin de les partager. Alors normalement, la plupart du temps, non, parce qu'un mot de passe, il est censé être personnel. Mais il y a certaines circonstances et contextes. ou il y a des mots de passe qui nécessitent, quand on partage un document, que la personne à qui on l'envoie a besoin d'un mot de passe pour pouvoir ouvrir le document, il y a besoin de transmettre un mot de passe à durée de vie limitée. pour que notre destinataire puisse consulter l'information qu'on lui envoie. C'est un exemple de cette situation. Et en fait trop souvent on envoie nos mots de passe, parce qu'on ne sait pas vraiment comment on fait non plus, mais on envoie soit à travers un email, soit à travers une conversation de messagerie instantanée, etc. Ce qui n'est pas forcément la bonne pratique. Parce que le souci c'est que si ça transite par un email justement, quelqu'un qui met la main sur la messagerie en question, il peut aller fouiller dans tous les échanges ce qu'il y a eu comme informations. et du coup retrouver cet élément là. Pour éviter de laisser traîner ces mots de passe, l'idée c'est d'utiliser ce qu'on appelle des liens sécurisés. Donc en fait c'est des liens qu'on va pouvoir partager par email, par messagerie etc. mais qui auront une durée de vie limitée. Donc déjà on va réduire considérablement le risque qu'un pirate puisse mettre la main parce qu'il faudrait que du coup il ait l'accès au même moment que l'envoi d'un mot de passe. à la message-là en question. Donc, c'est des liens qui peuvent se générer assez facilement avec des outils spécialisés de gestion de mot de passe et qui permettent de dire, ce lien-là, il est valable pendant 24 heures, 7 jours, 30 jours. Après, il faut calibrer le bon paramètre pour que l'information importante soit mieux partagée.
Speaker #0
Super, on va s'arrêter là sur le facteur humain et les mots de passe. Je crois que tu as un cadeau pour nos auditeurs.
Speaker #1
Alors oui, il y a un lien, c'est digitik.fr slash cyber. Pour celles et ceux qui seraient intéressés d'avoir un petit check sur leur poste de travail pour identifier de potentielles failles dont elles n'auraient pas connaissance, d'avoir cette vue-là de manière assez rapide et concrète, et d'avoir aussi l'accès à une période d'essai de deux mois. C'est une période découverte aussi d'un outil qui permet justement d'éliminer toutes ces failles-là au quotidien sans que ça prenne de temps et que ça perturbe l'utilisation. de l'outil informatique.
Speaker #0
Merci pour eux. Demain, on va s'intéresser à un sujet dont j'entends énormément parler chez les industriels que j'accompagne en transformation numérique. Est-ce que choisir un logiciel en SaaS, c'est une horrible décision de sécurité ? En attendant, demain, on s'abonne et on ose l'efficacité.

Chapters

Bienvenue dans Oser L'Efficacité - Le Lab'
0sec
Mon invité de la semaine : Michael Tonso, fondateur de CyberSéréno, expert en cybersécurité
21sec
L'importance du facteur humain
32sec
Cheat Code - Les conseils de Michael pour éviter le pire
1min
Le Grill - Les mots de passe
10min
Une action concrète pour réduire le risque de faille humaine
24min
Le cadeau de Micael Tonso
26min

About Oser l'efficacité - Les stratégies de ceux qui font l’industrie

Oser l’efficacité est le podcast qui explore les stratégies de ceux qui font l’industrie.

Chaque semaine, nous décryptons :

• les décisions qui ont changé la trajectoire d’une entreprise
• les idées brillantes et celles qui se sont crashées
• les méthodes qui permettent de passer à l’échelle
• les galères qui deviennent des leçons pour toute une industrie

L’objectif ?

Comprendre ce qui fait vraiment la différence entre les entreprises qui stagnent et celles qui deviennent des références.

Seule ou avec mes invités, je décrypte les parcours, les histoires et les stratégies industrielles.

Et surtout, je t’explique comment te réapproprier ton histoire et transformer ton expertise en média d’autorité.

Parce que dans beaucoup d’entreprises industrielles, les commerciaux passent leur temps à expliquer la valeur de la solution à des prospects qui ne comprennent pas encore vraiment le problème.

Alors que les entreprises les plus visibles font l’inverse :

👉 elles utilisent leur expertise et leurs valeurs pour attirer naturellement les bons prospects.

Je suis Perrine Thiébaut, ingénieure et architecte d’autorité industrielle.

J’aide les entreprises à transformer leur expertise technique en opportunités commerciales grâce à un média d’autorité.

Parce que l’expertise mérite d’être visible, comprise et amplifiée.

🎧 Un nouvel épisode chaque semaine.

📬 Envie d’aller plus loin ?
Découvre “Oser l’efficacité – la news”, notre newsletter hebdomadaire pour prolonger l’expérience : ce qu'il faut retenir de l'épisode et la méthode à appliquer chez toi.

Avant de partir, pense à :

T’abonner pour ne rater aucun épisode.
Laisser un commentaire et une note ⭐⭐⭐⭐⭐ si tu apprécies le contenu : ton soutien m’aide énormément.
Me suivre sur LinkedIn et Instagram pour poursuivre la conversation et rester informé(e) des nouveautés.
M'aider à mieux te connaître : https://tally.so/r/nGEXNp

Graphisme et identité visuelle : Elise Rondard

Musique Intro et Outro : Annabelle Thiébaut

Montage : Annabelle Thiébaut
Hébergé par Ausha

Visitez ausha.co/fr/politique-de-confidentialite pour plus d'information.