L'erreur est humaine : l'importance des bonnes pratiques en cybersécurité
Comme quoi, même les experts ne sont pas à l'abris - une belle leçon d'humilité pour les pro de la cybersécurité et un rappel important pour tous que... l'erreur est humaine!
Imaginez : vous êtes en déplacement professionnel, fatigué par le décalage horaire, et vous recevez un courriel urgent concernant l'un de vos comptes en ligne. Sans trop réfléchir, vous cliquez sur le lien fourni, saisissez vos identifiants, et confirmez votre code de sécurité. Catastrophe! Quelques secondes plus tard, vous réalisez que vous venez d'être victime d'une attaque de phishing et que votre liste entière d’abonnés a été exportée contre votre gré. Fiction? Non! C'est exactement ce qui est arrivé à Troy Hunt, un expert reconnu en cybersécurité et le fondateur du site "Have I Been Pwned?".
Si même les professionnels les plus aguerris peuvent se faire piéger, cela souligne une réalité incontournable : l'erreur est humaine. Nous sommes tous susceptibles de commettre des fautes, surtout lorsque nous sommes fatigués, stressés ou distraits. C'est pourquoi il est essentiel d'adopter des bonnes pratiques en matière de cybersécurité pour minimiser les risques.
Les bonnes pratiques en cybersécurité : une nécessité
Après tout : Vous ne conduiriez pas sous l’influence de l’alcool, ultra fatigué ou complètement distrait, n’est-ce pas? Tout comme nous avons des règles de conduite pour assurer notre sécurité sur la route, il est crucial d'établir des règles pour naviguer en ligne en toute sécurité. Voici quelques recommandations :
Vérifier toujours l’expéditeur : Avant de cliquer sur un lien ou de télécharger une pièce jointe, assurez-vous que le courriel provient d'une source fiable.
Utiliser un gestionnaire de mots de passe : Ces outils peuvent détecter si vous êtes sur un site légitime en remplissant automatiquement vos identifiants. Si les champs ne se remplissent pas, c'est un signal d'alerte. 1password est un exemple de gestionnaire reconnu dans l’industrie. D’ailleurs, lorsque Troy Hunt détaille l’incident dont il a été victime, il soulève que les champs de mot de passe ne s’étaient pas auto rempli et qu’avec un peu de recul, il réalisait qu’il s’agissait d’un des red flags principal lors de l’attaque. Malheureusement, malgré cet indice il a choisi plutôt d’entrer manuellement son mot de passe, croyant à un simple glitch de son gestionnaire.
Activez toujours l'authentification multifactorielle (MFA) : Vous savez, ce code qu’on reçoit par SMS, par courriel ou via une application d’authentification? De cette façon, même si un attaquant obtient votre mot de passe, la MFA ajoute une couche de sécurité supplémentaire. À noter, ces méthodes de protection supplémentaires ne sont pas infaillibles.
Dans le cas de son attaque, Troy Hunt utilisait l’authentification à plusieurs facteurs, mais celle-ci n’était pas à l’abris des attaques automatisées. Quelles méthodes alors sont plus sécures dans un cas comme celui-ci? On peut penser aux clés de sécurité FIDO2 – la Yubikey par exemple ou des Passkeys. Malheureusement, ce ne sont pas tous les sites qui offrent cette option.
L'importance des solutions techniques en complément
Cependant, s'appuyer uniquement sur les bonnes pratiques humaines n'est pas suffisant. Des solutions techniques doivent être mises en place pour pallier les éventuelles erreurs humaines. Par exemple, l'utilisation de filtres anti-phishing, de pare-feu et de logiciels antivirus peut aider à détecter et bloquer les menaces avant qu'elles n'atteignent l'utilisateur.
Il est également impératif que les plateformes et sites que nous utilisons mettent en place des options de sécurité à l’épreuves des tentatives d’hameçonnage. Il est complétement impensable (et franchement irresponsable) qu’en 2025, certaines plateformes n’offrent toujours pas l’authentification à facteurs multiples à leurs utilisateurs (cough, cough… Ticketmaster…). Ces mesures agissent comme des filets de sécurité, intervenant lorsque la vigilance humaine fait défaut.
Faire preuve d'empathie et apprendre de ses erreurs
Bref, lorsqu'une personne est victime d'une cyberattaque, il est facile de pointer du doigt et de blâmer. Cependant, il est essentiel de faire preuve d'empathie et de comprendre que personne n'est infaillible. Comme l'a démontré l'expérience de Troy Hunt, même les experts peuvent être dupés. L'important est de tirer des leçons de ces incidents, de partager les expériences pour sensibiliser les autres, et de renforcer continuellement nos défenses, tant humaines que technologiques. D’ailleurs, moins d’une quarantaine de minute suivant l’incident dont il a été victime, Hunt publiait un blog détaillé de ce qui s’était passé et proposaient des solutions.
Une belle leçon d’humilité pour les experts et un rappel important pour tous d’être vigilants lorsqu’on traite nos courriels.
Cybercitoyen.org