Une étude de Yubico relève que plus de trois quarts des entreprises en France, au Royaume-Uni et en Allemagne sous-évaluent l’authentification à deux facteurs. Bien que la technologie 2FA (Two-Factor Authentication) constitue la meilleure ligne de défense contre les prises de contrôle de comptes, seuls 22 % des salariés indiquent que leur entreprise l’a instaurée depuis le début de la pandémie.
La gestion des mots de passe tourne au casse-tête dans la plupart des entreprises. Trop faibles, ils mettent à mal la confidentialité des données. Trop forts, ils provoquent des migraines chez les collaborateurs, car ils sont trop difficiles à mémoriser.
Ils existent pourtant des options pratiques : les gestionnaires de mots de passe et les clés d’Authentication. Les premiers permettent de stocker et d’utiliser en toute sécurité des dizaines de mots de passe compliqués sans avoir besoin de les mémoriser, seul le mot de passe « maitre » devant l’être.
Quant aux clés, qui s’insèrent dans un port USB ou USB-C Thunderbolt 3 (certaines intégrant aussi la norme "Near Field communication" pour être utilisées avec un smartphone), elles permettent de renforcer la sécurité par la double authentification.
Bonnet d’âne aux chefs d’entreprise et cadres supérieurs
Mais la réalité est plus contrastée comme le montre cette étude de Yubico, une des marques les plus connues de clés de sécurité pour l’authentification matérielle. Menée auprès de 3 006 employés, chefs d’entreprise et cadres supérieurs de grandes entreprises (comptant plus de 250 employés) au Royaume-Uni, en France et en Allemagne, elle constate que l’hygiène numérique est loin d’être généralisée.
Et cette hygiène numérique commence par une bonne gestion des mots de passe…Or, 54 % des employés réutilisent leurs mots de passe sur plusieurs comptes professionnels, tandis que 41 % des chefs d’entreprise et un tiers des cadres supérieurs prennent toujours note de leurs mots de passe pour s’en souvenir…
Ne blâmons pas les salariés et cadres supérieurs : un tiers des employés français, tous secteurs confondus, n’ont pas encore reçu de formation à la cybersécurité dans le cadre du télétravail, ce qui laisse les entreprises largement exposées à des risques en constante évolution. Mais ce constat ne date pas d’aujourd’hui…
Cette étude révèle surtout que, depuis le début de la pandémie, les salariés adoptent de mauvaises pratiques en matière de cybersécurité sur les appareils fournis par leur employeur, les chefs d’entreprise et les cadres supérieurs étant les pires élèves.
Dans le même temps, les entreprises négligent les meilleures pratiques en matière de cybersécurité qui doivent être appliquées aux environnements extérieurs au bureau. Or, de nombreux RSSI estiment que les mots de passe ne sont plus suffisants.
Moins d’un quart des personnes interrogées admettent avoir déployé une authentification 2FA depuis le début de la pandémie et, même dans ce cas, beaucoup utilisent des formes moins sûres et moins conviviales de 2 FA, comme les applications d’authentification mobile et les codes d’accès uniques par SMS.
« L'étude montre que de nombreuses organisations sont encore en train de trouver leurs marques dans ces nouveaux environnements de travail, essentiellement virtuels. Or, les acteurs de la menace trouvent des moyens nouveaux et innovants de compromettre les défenses des entreprises, ce qui nécessite des solutions de sécurité modernes comme la YubiKey », explique Stina Ehrensvärd, PDG et fondatrice de Yubico.