Post by Gregory V.

Ingénieur Cybersécurité chez Orange

Le CISA américain vient de publier une directive absolument fondamentale, et je ne peux m’empêcher de faire un parallèle avec le sujet de la sécurité des mots de passe.   Il n’y a pas si longtemps, toute recommandation qui se voulait sérieuse à propos des mots de passe imposait un renouvellement régulier (tous les 6 mois, tous les 3 mois, tous les mois… 🙃), alors que le sujet de fond était leur unicité, leur complexité, et leur stockage dans un espace sécurisé. Un bon mot de passe, correctement géré, n’a absolument pas besoin d’être changé régulièrement, c’est même contre-productif. Jusqu’à un jour d’octobre 2016 où un organisme officiel (le NCSC britannique) ose aller à contre-courant (The problems with forcing regular password expiry) : https://lnkd.in/e63VVwse Et même si 10 ans plus tard on retrouve parfois des réminiscences de cette doctrine, le pragmatisme a gagné : forcer un renouvellement des mots de passe n’améliore pas la sécurité (mais la bonne utilisation d’un vault, oui), toute la communauté sécurité l’a enfin admis.   En ce mois de juin 2026, le BOD 26-04 du CISA américain permet d’enterrer une autre doctrine : celle du score CVSS seul pour prioriser les vulnérabilités. On ne peut pas efficacement répondre à des centaines de nouvelles vulnérabilités par jour seulement au regard de l’impact technique potentiel. L’exposition, l’exploitabilité sont des critères tellement essentiels, qu’ils ne peuvent plus être ignorés. https://lnkd.in/eWEjeqaM   Ainsi, peut-être que dans 10 ans, nous arrêterons d’avoir des articles qui titrent « c’est un CVSS 10/10 donc c’est la fin du monde » 😉 Comme pour les mots de passe, quitter une doctrine maladroite (mais qui donnait l’impression d’être la solution) pour quelque chose de plus complexe, plus subtil, ne se fera pas en un jour pour toute l’industrie. Mais c’est un pas dans la bonne direction

Post content