Mot de passe : les nouvelles directives de l’Agence nationale de cybersécurité et du Garant pour la protection des données personnelles.
Enfant, dans nos jeux, nous utilisions les « mots de passe », imitant des scènes de films ou évoquant des contes de fées de lieux auxquels seuls quelques élus pouvaient accéder.
On nous demandait avec l’arrogance et la présomption de ceux qui se sentent privilégiés et nous le prononcions avec une certaine émotion, car nous savions que, si nous ne faisions rien de mal, une porte s’ouvrirait et nous permettrait d’entrer dans un espace interdit. Dans un monde de quelques élus, tandis que tous les autres restaient en dehors.
Un vrai mot magique.
C’était une version ancienne et simplifiée des mots de passe que nous connaissons tous aujourd’hui et qui nous permettent d’accéder à nos réalités 2.0, dans lesquelles nous sommes quotidiennement immergés. Des lieux interdits à tous les étrangers et dont nous seuls, et très peu d’autres, connaissons la clé d’accès.
Le problème est que ce « jeu » auquel nous sommes constamment appelés nous oblige à inventer et à nous souvenir, selon certaines recherches, d’un nombre moyen de 70 à 80 mots de passe pour avoir accès à tous nos appareils, programmes, applications, espaces réservés de sites Internet et tout ce qui est devenu indispensable à notre vie. Ainsi, pour éviter cet effort continu de créativité et de mémoire, nous cherchons souvent des raccourcis : nous utilisons des mots de passe très simples tels que des séquences de nombres, des noms et des dates de naissance d’enfants, de partenaires, de parents divers, d’animaux domestiques ; ou nous utilisons le même mot de passe pour tous les accès dont nous avons besoin, ou encore, nous écrivons les mots de passe sur des feuilles que nous laissons ensuite à la vue.
En bref, concernant les mots de passe, qui ont la même valeur que la combinaison du coffre-fort avec nos biens les plus précieux à l’intérieur, nous ne parvenons toujours pas à leur donner la bonne importance et à les traiter avec la considération requise. En revanche, selon les données, 50 % des cyberattaques impliquent des identifiants de connexion volés car ils sont stockés dans des bases de données insuffisamment protégées avec des fonctions cryptographiques.
Il semble également que le télétravail ait considérablement aggravé le problème. Selon une étude récente de 2022, 62 % des employés partagent leurs mots de passe par SMS ou par e-mail.
La même recherche rapporte des statistiques alarmantes sur la négligence des mots de passe, y compris le fait que 57 % des répondants ont admis avoir écrit des mots de passe associés à leur travail en ligne sur des « notes autocollantes » et, parmi eux, 67 % ont déclaré avoir perdu ces notes.
Les données volées sont utilisées pour pénétrer illégalement dans les sites de divertissement (35,6 %), les réseaux sociaux (21,9 %) et les portails de commerce électronique (21,2 %).
Dans d’autres cas, ils permettent d’accéder à des forums et sites de services payants (18,8 %) et financiers (1,3 %).
Pour toutes ces raisons, l’Agence nationale de cybersécurité et le Garant pour la protection des données personnelles ont élaboré des directives spécifiques en matière de conservation des mots de passe, en fournissant des indications importantes sur les mesures techniques à prendre.
Les directives s’adressent à toutes les entreprises et administrations qui, en tant que titulaires ou responsables du traitement, conservent sur leurs systèmes les mots de passe de leurs utilisateurs, lesquels se réfèrent à un grand nombre de personnes concernées (par exemple, les gestionnaires de l’identité numérique Spid ou CieID, les gestionnaires Pec, les gestionnaires de services de courrier électronique, les banques, les assurances, les opérateurs téléphoniques, les établissements de santé), aux personnes qui accèdent à des bases de données d’une importance ou d’une taille particulière (par exemple, les employés des administrations publiques), ou à des types d’utilisateurs qui traitent habituellement des données sensibles ou judiciaires (par exemple, les professionnels de la santé, les avocats, les magistrats).
Il s’agit également d’une mesure importante car elle souligne une fois de plus la nécessité de ne pas sous-estimer le rôle stratégique des mots de passe.
Cependant, même en suivant les nouvelles directives, on ne se met pas à l’abri des risques de cyberattaques, car la distraction est toujours à portée de main et le facteur de risque le plus élevé reste toujours le facteur humain. Il est donc essentiel de rester vigilants sur nos actions en ligne et de toujours maintenir un haut niveau de sécurité, que ce soit dans notre vie privée ou dans les entreprises ou organisations où nous travaillons.
Pour cela, en plus de prendre en compte les nouvelles directives diffusées par les institutions, la meilleure défense reste celle d’un parcours de formation adéquat, étalonné sur le niveau de préparation des individus et qui, en plus des connaissances théoriques, prévoit des exercices et des entraînements continus, pour mettre en pratique les connaissances acquises.
Les routes du Web sont de plus en plus dangereuses et lorsque nous décidons de les parcourir (ce qui se produit pratiquement toujours aujourd’hui), nous devons nous assurer d’être correctement protégés et prêts à détecter et à repousser toute attaque.
Les directives, en cours de publication au Journal officiel, peuvent être consultées sur les sites Web www.gpdp.it et www.acn.gov.it.