La cybersécurité adore les rituels. Des gestes répétés, sanctifiés, hérités d’une époque où Windows XP était roi et où l’on pensait sincèrement que « changer son mot de passe tous les 90 jours » allait stopper les hackers russes, chinois et ton neveu Kevin.
Sauf que voilà : la menace évolue, les attaquants aussi. Pas les PowerPoint SSI.
Alors aujourd’hui, rendons hommage à ces conseils cyber dépassés. Une minute de silence, puis on les enterre. Avec un sourire. Et un peu de sarcasme, évidemment.
🔑 « Changez votre mot de passe tous les 90 jours »
Ah, le grand père de la cybersécurité moderne. Le mantra répété en boucle par des chartes copiées-collées depuis 2008.
Sur le papier : bonne idée. Dans la vraie vie : une fabrique industrielle de mots de passe pourris.
Résultat ?
- Password01 devient Password02
- Et puis Password03
- Voire été2025!
Le changement forcé pousse à :
- la réutilisation,
- la prévisibilité,
- la complexité absurde mais inefficace.
Pendant ce temps, le véritable enjeu est ailleurs :
- MFA robuste
- détection comportementale
- surveillance des connexions anormales
- contrôle des appareils
Changer un mot de passe fort et unique tous les 3 mois ? C’est comme repeindre la porte blindée pendant que la fenêtre reste ouverte.
🍪 « Videz régulièrement vos cookies »
Le cookie, ce petit biscuit que l’on accuse de tous les maux numériques.
Sauf qu’en 2025, croire que supprimer ses cookies protège vraiment, c’est comme penser qu’effacer ses empreintes digitales avec un mouchoir suffit à tromper la police scientifique.
Le tracking moderne ne repose plus sur des cookies, mais sur :
- le fingerprinting
- WebGL
- Canvas
- police système
- GPU
- résolution écran
- fréquence d’affichage
Effacer un cookie, c’est changer de t-shirt. Le fingerprint, c’est votre visage. Et parfois votre ADN numérique.
Morale : ❌ vider ses cookies ✅ utiliser des navigateurs qui brouillent ou standardisent l’empreinte (Firefox, Brave, Safari)
Mais ça, étrangement, ce n’est jamais écrit dans la politique SSI.
ᛒ « Désactivez le Bluetooth et le NFC »
Conseil directement issu de la mythologie mobile post-2010.
À une époque, oui :
- piles immatures
- implémentations bancales
- failles partout
Mais aujourd’hui ? Les attaques sans interaction sont rarissimes, complexes et ciblées. Les OS modernes isolent ces composants en sandbox et demandent validation, appairage et consentement.
Le danger réel n’est pas le Bluetooth actif. Le danger, c’est :
- un téléphone non patché
- un Android laissé en version 10 “parce que ça marche encore”
- des surcouches abandonnées par le constructeur
Protéger = mettre à jour. Pas vivre en mode avion permanent comme un survivaliste numérique.
🪫 « Ne chargez jamais votre téléphone sur un port USB public »
Le mythe du Juice Jacking, cette légende urbaine de la cybersécurité grand public.
Oui, autrefois, c’était techniquement faisable. Mais aujourd’hui, pour qu’une borne USB publique t’attaque, il faudrait :
- un 0-day kernel
- une interaction utilisateur
- une configuration exotique
- un alignement des planètes
Les OS modernes imposent :
- charge-only par défaut
- confirmation de confiance
- isolation du contrôleur USB
Donc non, le port USB du Starbucks n’est pas un hacker dormant. Le vrai problème ? Le téléphone non mis à jour depuis 14 mois.
🛜 « Évitez absolument le WiFi public »
Autre conseil magique. Celui qui fait encore trembler les SSI en comité de direction.
Oui, autrefois le WiFi public était un terrain de jeu sympathique pour du MITM. Mais aujourd’hui ? Le trafic est chiffré : TLS partout, HTTPS généralisé, apps sécurisées par défaut.
Un attaquant capte quoi aujourd’hui ? Du bruit chiffré. Des paquets inutilisables sans clé privée.
Le vrai sujet, beaucoup plus sérieux, c’est : 👉 la pérennité de ce chiffrement face au post-quantique
Et ça, curieusement, n’apparaît dans aucune charte utilisateur.
⚰️ Et tant qu’on y est… enterrez aussi ceux-là
💀 « Un antivirus suffit »
Non. Un antivirus sans EDR, sans SOC, sans logs et sans supervision, c’est un vigile endormi dans un supermarché ouvert toute la nuit.
💀 « On est trop petit pour être attaqué »
Ransomware-as-a-Service a enterré cette phrase depuis 2018. Aujourd’hui on attaque :
- tout ce qui respire
- tout ce qui facture
- tout ce qui a un serveur exposé
La taille n’est pas un facteur. La vulnérabilité, oui.
💀 « Bloquer les ports = sécurité »
Bienvenue en 1999. Aujourd’hui la sécurité est centrée sur :
- l’identité
- le comportement
- la posture de l’appareil Pas sur une règle de firewall bricolée à 2h du matin.
💀 « Le cloud est dangereux »
Le cloud n’est pas dangereux. Les humains qui le configurent sans lire la doc, eux, le sont.
🧠 La cybersécurité moderne ne se base plus sur des réflexes, mais sur :
- la gestion des identités
- la détection intelligente
- la supervision continue
- la mise à jour proactive
- la compréhension réelle de la menace
La vraie question n’est plus :
Est-ce que j’applique les bonnes pratiques ?
Mais :
Est-ce que mes bonnes pratiques correspondent encore à la réalité ?
⚡ Conclusion : la sécurité par rituel est une illusion rassurante
Appliquer des consignes obsolètes ne sécurise pas. Ça donne juste bonne conscience, des rapports joliment colorés et des audits satisfaits sur le papier.
La vraie sécurité est inconfortable, mouvante, imparfaite. Et surtout : elle nécessite de remettre en question ce qu’on croyait acquis.
Alors oui, continuons à parler cybersécurité. Mais parlons-en sérieusement. Pas comme en 2010.
Et vous, dans votre organisation, quels conseils SSI mériteraient de disparaître dans le cimetière des bonnes pratiques inutiles ?
A lire aussi : 🧠 La fin des PowerPoints soporifiques : quand la sensibilisation cyber devient une science du comportement
