Selon un nouveau rapport de Google, les experts en sécurité et les utilisateurs ont une approche radicalement différente de la sécurité. Au terme de l'étude, pour laquelle le géant de la recherche a interrogé 231 experts en sécurité - ayant plus de cinq années de pratique dans la sécurité informatique - et 294 utilisateurs du web, il s'avère que, pour les experts, les trois meilleures pratiques de la sécurité en ligne consistent à tenir ses logiciels à jour, choisir des mots de passe uniques et opter pour une authentification à deux facteurs. Mais les priorités des utilisateurs sont différentes : pour eux, le plus important est d'avoir un logiciel antivirus, de choisir des mots de passe forts et de les changer fréquemment. Les utilisateurs reconnaissent également qu'ils remettent souvent à plus tard la mise à jour de leurs logiciels et se disent méfiants à l'égard des gestionnaires de mot de passe. « Si nous voulons faire en sorte que les recommandations de sécurité soient mieux suivies, notre communauté doit connaître les pratiques des utilisateurs et délivrer des conseils qui peuvent avoir le meilleur impact en terme de bénéfice tout en restant réalistes sur ce que nous pouvons demander et attendre des utilisateurs », indique le rapport. « Les précautions préconisées par les experts interrogés ont été validées comme de bonnes pratiques par d'autres experts, mais les bonnes pratiques préconisées par les non-experts ont été moins bien notées ».
Voici, en quatre points, les domaines où les divergences sont les plus notables :
Visiblement les "experts" font confiance aux éditeurs et aux technologies, sans doute plus que les utilisateurs. Ne sont ils pas juge et partie ? Peut on être "expert" sans défendre les technologies dont on vit, après tout la meilleure sécurité c'est de rester connecté le moins possible...
Signaler un abusDe la même façon, je doute qu'un expert en sécurité recommande d'utiliser un carnet plutôt qu'un logiciel, un bricolage perso même excellent, plutôt qu'une solution packagée.
Ma conclusion c'est que les experts en sécurité ne sont pas des utilisateurs comme les autres mais des acteurs sur un marché et que probablement il vaut mieux pour eux vendre de la confiance que de la méfiance.
Au vue des l'existence des failles zéro-day quelle stratégie adopter ?
Signaler un abuspersonnellement je préconise l'utilisation de logiciels exotiques dont l’intérêt pour les attaquants est réduit en raison du faible nombre d'utilisateur.
Les gestionnaires de mots de passes ? un simple carnet me semble bien plus sur. La plus grosse erreur étant de stocker ses mots de passes dans un simple fichier excel sur le bureau...