Selon nos recherches,50% des employés français ont accès à des données sensibles d’entreprise. Dans certains secteurs, le pourcentage est même plus élevé :il est ainsi globalement de 65%dans le secteur de la santé, du fait des informations sur les souscripteurs, pour des contrats d'assurance maladie, ou des dossiers de patients. Or, une fuite de données confidentielles pourrait mener à une perte de confiance et, in fine, à un déficit de clients, de revenus, de part de marché et de crédibilité parmi les autorités de l’activité. Alors que 82% d'attaques proviennent du facteur humain, et que les identifiants d’employés constituent un levier significatif pour les cybercriminels, il est essentiel que les entreprises agissent en conséquence et sécurisent le stockage, le partage, la création et l'utilisation des mots de passe.
Comprendre les vulnérabilités des mots de passe grâce à une évaluation des risques
Analyser les risques, la probabilité des attaques ainsi que les causes des vulnérabilités, aide grandement à optimiser la continuité opérationnelle de l’organisation. Beaucoup d’applications sont cependant incompatibles avec les outils d’authentification unique (SSO) et des protocoles d'identité modernes, ce qui nuit à leur sécurisation. Il s'agit notamment d'applications populaires de collaboration virtuelle, de services bancaires et d'expédition.Les employés accèdent à ces applications à travers des mots de passe faibles, souvent stockés sur des documents Excel et partagés de manière non-sécurisée (comme par email). Ces identifiants facilitent certes l’expérience de connexion, mais n’offrent pas une sécurisation optimale. Ils souffrent en effet notamment d’une absence de contrôles et de visibilité sur des accès, de fonctionnalités d’identification et de reporting détaillée limitant les capacités d'audit, de barrière pour empêcher l’enregistrement de mot de passe dans les navigateurs.
Afin de prendre des décisions stratégiques, les données nécessaires sur lesquels se pencher incluent le nombre d’applications incompatibles avec l’authentification unique (SSO) et le type de données qu’elles contiennent. Il nécessite également d’inclure les applications approuvées par le service informatique et celles qui ont contourné les politiques de l’entreprise, leurs utilisateurs et les contrôles et outils mis en place pour protéger correctement ces applications à haut risques. Grâce à une évaluation des vulnérabilités de l’entreprise en matière de mots de passe fondée sur des données, celle-ci peut décider des contrôles à mettre en place pour atténuer les risques.
Protéger les mots de passe comme des informations à privilèges
Afin de mieux protégés les mots de passe des employés, tout en conciliant le besoin de protection et de productivité, il convient de mettre en place un stockage sécurisé et centralisé des identifiants pour contrôler comment ces derniers sont stockés, gérés et récupérés. Le chiffrement de bout en bout, en transit ou au repos, est également à adopter, ainsi que la flexibilité d'héberger les mots de passe dans un cloud sécurisé ou dans un coffre-fort numérique auto-hébergé, en fonction des besoins de l’organisation. En outre, la récupération automatisée et en temps réel des mots de passe à partir du cloud ou du coffre-fort permet aux équipes IT d’assurer que les identifiants ne sont jamais stockés localement sur les terminaux, réduisant ainsi la surface d’attaque.Les entreprises peuvent s’assurer que les employés partagent en toute sécurité leurs identifiants sans les révéler en en contrôlant qui peut partager, consulter et modifier les informations d'identification. A une époque où le turnover s’accroit, ce niveau de contrôle est essentiel. Imposer un temps d’accès limité aux applications partagées et gérer le transfert de propriété des justificatifs d’identité aux nouveaux utilisateurs, sont également des conditions clés. Autre point, les utilisateurs ne devraient pas pouvoir recourir aux gestionnaires de mots de passe intégrés aux navigateurs, afin de réduire le nombre de stockage d’identifiants, mais se voir proposer de les enregistrer dans un coffre-fort sécurisé.
L’optimisation de l’expérience utilisateur est enfin importante pour consolider la gestion des identités et des accès. Dans cette optique, les entreprises ont intérêt à chercher des outils de protection des mots de passe compatibles avec les annuaires en place et ceux des fournisseurs d’identité tiers, et qui génèrent automatiquement des mots de passe complexes et uniques pour les utilisateurs.
Protéger les mots de passe implique également une visibilité en temps réel des accès. Les contrôles de sécurité devant se poursuivre au-delà du point d’authentification, cela induit de surveiller et d’enregistrer toutes les actions qui ont lieu une fois l’utilisateur connecté. En outre, compte tenu des exigences actuelles en matière de conformité, il est important de s’assurer que tous les enregistrements relatifs aux actions à haut risque effectuées dans les applications sont soutenus par une piste d’audit complète.
Selon nos recherches,77%des décisionnaires en matière de sécurité estiment qu’une cyberattaque est constamment en cours dans leur entreprise. En utilisant les méthodes décrites ci-dessus, il est cependant possible de sécuriser les identifiants des employés et de faire face aux menaces au fur et à mesure qu’elles se concrétisent. En attendant un avenir « passwordless », certaines postures en matière de sécurité des identités sont ainsi indispensables : compléter une protection de mot de passe par une authentification multifactorielle (MFA) adaptative ; exiger des facteurs de MFA à l’épreuve du phishing ; et garantir un accès aux environnements critiques qu’à partir de machines de confiance.
Par Jean-Christophe Vitu, VP Solutions Engineer chez CyberArk
