Pourquoi les mots de passe sont le maillon faible :
En moyenne, une personne doit se souvenir de 100 mots de passe. Il n'est pas surprenant que la plupart des gens souffrent d'une « saturation de mots de passe » liée au nombre de services et d'applications en ligne qu'elles utilisent, que ce soit à titre professionnel ou personnel. Si l'on ajoute à cela la nécessité de générer des mots de passe complexes avec des caractères et des symboles, le cerveau humain choisira la voie la plus facile, ce qui entraîne souvent de mauvaises pratiques en matière de gestion des mots de passe.
Il suffit qu'un seul employé se fasse pirater un compte pour qu'un hacker puisse potentiellement accéder à toutes les applications qu'il utilise, y compris les outils collaboratifs professionnels tels que Teams, Slack et Outlook. Cette situation peut se traduire par une fuite des données des clients, des demandes de rançon ou des amendes élevées, ou encore une perte totale de la confiance des clients qui peut être difficile à regagner.
L'impact d'une intrusion peut même être plus grave si elle touche quelqu'un qui a un niveau d'autorisation plus élevé que les autres employés. Dans ce cas, les cybercriminels pourraient s'introduire dans le réseau de manière presque inaperçue et provoquer des dégâts considérables.
Si vous occupez un poste à responsabilité, il est particulièrement important que vous preniez des mesures proactives pour lutter contre le vol de mots de passe et l'exposition de vos identifiants. Voici quelques moyens de renforcer les protocoles de sécurité des mots de passe et les mesures concrètes à mettre en œuvre pour obtenir un résultat immédiat.
Ne plus dépendre des mots de passe :
Les cadres doivent adopter et appliquer de bonnes pratiques en matière de cybersécurité. Le meilleur moyen d'y parvenir est de réduire la dépendance à l'égard des mots de passe. Les entreprises doivent donc adopter d'autres méthodes d'authentification pour réduire les risques d'être prises de court. Par exemple, si vous combinez des applications de protection des comptes multiples, telles que les applications d'authentification à deux facteurs, avec la biométrie, vous réduirez les risques d'une attaque réussie tout en contribuant à améliorer la sécurité globale de votre entreprise.
Les entreprises peuvent également recourir à l'authentification unique (SSO), qui permet à un utilisateur de s'authentifier sur plusieurs plateformes distinctes à l'aide d'un seul identifiant. Cette solution évite d'avoir à utiliser plusieurs mots de passe différents. Le risque existe, mais en combinant le SSO avec l'authentification multifactorielle, vous pouvez ajouter une deuxième couche de protection.
Autres moyens d'avoir un impact :
Il n'est pas forcément compliqué d'améliorer l'hygiène de vos mots de passe, mais il est indispensable de le faire sans tarder pour minimiser les risques d'attaque. Des mesures existent pour aider les entreprises à résoudre le problème majeur des mots de passe non sécurisés :
- Mettre en place une solution de suivi des comptes : Comme vous ne pouvez protéger que ce que vous pouvez voir, il est important que vous ayez une visibilité de tous les comptes qui ont été compromis par une attaque. C'est pourquoi vous devez revoir les paramètres par défaut du compte et activer des fonctions telles que la fermeture d'un compte après plusieurs tentatives. En effet, il ne faudrait pas qu'un attaquant dispose d'un temps illimité ou d'un nombre illimité de tentatives de connexion, qui lui permettrait de s'introduire de force dans votre entreprise. Toujours dans un but de visibilité, il existe également des solutions qui permettent de mettre en lumière des mots de passe qui seraient commun a des comptes personnels et professionnels.
- Se protéger contre les attaques de phishing : Interrogés sur l'impact des attaques de phishing réussies, 52 % des responsables de la sécurité ont déclaré avoir été confrontés à un problème de compromission des identifiants Dans ce contexte, les entreprises devraient plutôt se demander comment leur système de sécurité des e-mails a pu laisser un tel e-mail de phishing passer. « Permet-il de bloquer et de prévenir efficacement ces e-mails soigneusement rédigés ? » Sinon, vous devez investir dans une technologie qui empêchera les e-mails malveillants de se retrouver dans la boîte de réception. La deuxième étape consiste à rechercher une solution qui empêche un utilisateur de saisir ses informations d'identification sur un site de phishing. Ces solutions existent, c'est juste une question d'investissement et d'adoption.
- Utiliser un gestionnaire de mots de passe : Parfois, la présence d'un mot de passe est une obligation, et vous ne pouvez donc pas vous fier aux seules autres méthodes d'authentification. Il convient alors de réaliser une évaluation pour déterminer si un gestionnaire de mots de passe serait approprié pour votre entreprise. Les gestionnaires de mots de passe présentent plusieurs avantages : ils permettent à vos employés de stocker en toute sécurité des identifiants, de générer des mots de passe uniques et de remplir automatiquement des champs sur des sites web. Plus besoin de se souvenir de centaines de mots de passe ou de les noter et ainsi potentiellement les laisser à la vue de tous.
Ainsi, dans le cyber-paysage actuel, une attaque est inévitable. Toutefois, il est possible de contrer une attaque en combinant correctement les technologies et les protocoles de sécurité. En bref, il faut agir dès maintenant pour assurer la sécurité de vos comptes. Une mauvaise hygiène numérique qui ne contient pas une bonne gestion des mots de passe peut avoir des conséquences désastreuses et nuire irrémédiablement à la réputation d'une entreprise. Elle doit alors être traitée avec tout le sérieux qu'elle mérite.
Par Adrien Merveille, expert en cybersécurité chez Check Point Software
