En matière de sécurité des accès, les habitudes ont la vie dure et la nonchalance se dispute à l’indolence : les études montrent que beaucoup d’entreprises recourent encore aux mots de passe, en laissant aux salariés le soin de les gérer comme bon leur semble.
Aujourd’hui c’est la journée mondiale du mot de passe. Une invention qui remonte à la nuit des temps et qui, malgré ses lacunes sécuritaires, perdure encore sous sa forme la plus simple, un ensemble de lettres, de chiffres et de symboles. Cependant, malgré les mises en garde continuelles, les comportements à risque persistent dans les entreprises et chez les télétravailleurs par rapport à cet « ouvre-toi sésame » universel.
Dans beaucoup de cas, la sécurité des accès repose sur de simples identifiants (le tandem nom d’utilisateur/mot de passe). Pire encore, d’après une étude réalisée par Capterra, la plateforme appartenant au groupe Gartner, spécialisée dans l’aide au choix de logiciels professionnels, estime que 20 % des entreprises seulement ont introduit une politique de sécurisation des mots de passe. L’enquête a été réalisée pendant le confinement, du 6 et 9 avril dernier, auprès d’un échantillon représentatif de 513 répondants.
L’enquête indique par ailleurs que 56 % des répondants utilisent des logiciels et des plateformes dans le cloud (partiellement ou totalement). De fait, la quantité d’identifiants dont un employé doit se souvenir est considérable, ce qui justifie largement l’utilisation d’un outil de gestion des mots de passe. « Ce n’est pourtant pas une pratique répandue dans la majorité des PME françaises aujourd’hui », se lamente le rapport de Capterra.
Une gestion des mots de passe « au petit bonheur la chance »
Dans bien des cas, la gestion des mots de passe reflète une nonchalance incompréhensible alors que les attaques se multiplient. D’après l’enquête de Capterra, 20 % seulement des entreprises recourent à des outils de gestion des mots de passe. Dans la plupart des cas, la gestion des mots de passe est laissée à la débrouillardise des employés qui se démènent comme ils peuvent. Ils sont 43 % à faire confiance à leur mémoire, 35 % à recourir à un fichier Excel partagé entre collègues, 22 % à l’enregistrer sur leurs comptes en ligne liés à leurs navigateurs et 21 % à l’écrire sur papier.
D’après une étude de Thales, 2020 Thales Access Management Index, près d’un tiers (29 %) des organisations en Europe et au Moyen-Orient continuent à considérer les identifiants comme l’un des moyens les plus efficaces de protéger l’accès à leur infrastructure IT. Et cette confiance aveugle n’est pas près de cesser, car 67 % des répondants déclarent que leur organisation prévoit de continuer l’utilisation des noms d’utilisateur et des mots de passe à l’avenir.
L’enquête a été menée par Vanson Bourne pour Thalès, auprès de 400 cadres de 7 pays d’Europe et du Moyen-Orient ayant des responsabilités en matière d’IT et de sécurité des données ou une influence dans ces domaines.
De l’impossibilité de concilier sécurité et facilité des accès
Pourtant, les responsables IT ont conscience de la situation et déclarent qu’ils ont de moins en moins de difficultés à convaincre leurs conseils d’administration de la nécessité de se préoccuper de la sécurité (48 %) par rapport à l’an dernier (29 %). En fait, ils n’arrivent tout simplement pas à concilier la sécurité avec la facilité des accès. Les employés n’étant, dans la plupart des cas, pas formés ne peuvent pas, ou ne veulent pas, des solutions trop complexes pour accéder aux infrastructures et aux applications.
Plus des deux tiers (67 %) des responsables informatiques européens indiquent que leurs équipes de sécurité se sentent sous pression pour fournir aux utilisateurs un accès aisé à des applications et services cloud, mais toujours en privilégiant la sécurité, ce qui montre qu’ils ont du mal à trouver un équilibre entre transformation numérique et priorités de sécurité. Il est clair qu’il y a de quoi s’inquiéter, peut-on lire dans le rapport de Thalès. Non seulement il y a une augmentation des menaces, mais il y a aussi une persistance de la cécité des entreprises face aux moyens vulnérables utilisés.
Le spécialiste français de la sécurité conseille alors de recourir à des méthodes de sécurité et d’authentification modernes pour offrir une approche zéro confiance en matière de sécurité des données. « Il arrive beaucoup trop souvent que nous rencontrions des technologies vulnérables et des solutions de gestion des accès médiocres, ce qui est une erreur impardonnable ». C’est dit.