L’approche standard de la sécurité de mots de passe a échoué, c’est le constat du rapport The Password Exposé publié par Lastpass. Pire encore, les entreprises ne semblent pas réagir rapidement à cet échec.
Les mots de passe occupent une place importante dans la vie moderne, que ça soit à domicile ou au travail, la sécurité des mots de passe est capitale et le fait que les employés prennent au sérieux cette sécurité est essentiel pour protéger les intérêts de toute entreprise.
Le rapport donne un aperçu sur la réalité quotidienne des mots de passe au sein des entreprises. À travers des données d’entreprises anonymisées et cumulées en utilisant Lastpass, la société a pu mesurer l’impact réel des problèmes de mots de passe auxquels font face les entreprises. Le rapport ne se contente pas de rapporter ce que disent les gens, mais révèle plutôt comment les employés utilisent réellement les mots de passe dans leur vie de tous les jours au travail.
Pour la plupart des gens, la peur d’oublier un mot de passe pèse plus lourd que le risque d’être piraté. Que les mots de passe soient vieux, faibles, réutilisés ou compromis, la mauvaise gestion des mots de passe est la cause principale des brèches de sécurité. Avec plus de 4,2 milliards d’identifiants fuités en l’année 2016 seule, les attaquants peuvent facilement utiliser les mots de passe dérobés pour accéder à un réseau d’entreprise et voler des données.
Un seul mot de passe réutilisé peut compromettre la sécurité de toute une organisation. Ce problème n’est pas nouveau et s’aggrave d’année en année puisque les violations de sécurité continuent d’impacter les entreprises de toutes les tailles et dans chaque industrie. Étonnamment, et malgré la présence de données, les entreprises ne donnent pas la priorité à cette crise de la sécurité des mots de passe.
Voici les principales réalités soulevées par le rapport.
Les mots de passe sont un problème pour tout le monde
Les chiffres ne mentent pas : les mots de passe sont hors de contrôle. L’étude estime que le nombre moyen de mots de passe circulant dans une entreprise de 250 employés est de 47 750 mots de passe.
Une entreprise peut-elle vraiment savoir la force de chaque mot de passe ? S’il est réutilisé, faible ou vieux ? Le manque de visibilité rend difficile l’imposition des meilleures pratiques à suivre, sans parler du foisonnement des mots de passe auquel font face les entreprises.
Les employés sont dépassés par les mots de passe
191 mots de passe, oui vous avez bien lu, est le nombre de mots de passe qu’un employé moyen gère en utilisant Lastpass. Pas 10, pas 50, mais 191. Malgré les rapports standards de l’industrie qui parlent de 27 mots de passe détenus par chaque employé, ce rapport a relevé une moyenne sept fois supérieure. Cette différence s’explique par la tendance des gens à sous-estimer le nombre de comptes qu’ils ont réellement : si vous êtes un administrateur de systèmes, combien de serveurs gérez-vous réellement ? Quand ces identifiants sont systématiquement collectés et organisés dans une seule place, une représentation plus adéquate de la réalité émerge.
Le problème des mots de passe continue de s’aggraver
Le rapport révèle qu’en moyenne, un employé commence avec 20 identifiants dans son coffre-fort et double ce nombre après trois mois seulement. C’est pourquoi 61 % des gens ont tendance à réutiliser le même mot de passe ou un autre similaire partout, malgré le fait qu’ils savent qu’il n’est pas sécurisé. En conséquence, les employés sont submergés par les mots de passe, et c’est un problème qui continue de s’aggraver de jour en jour dans leur travail.
Les employés s’identifient constamment
En moyenne, un employé doit taper les identifiants 154 fois chaque mois pour s’authentifier dans leurs sites et applications. Le rapport indique qu’il faut en moyenne 14 secondes pour taper un mot de passe, soit 36 minutes par mois perdues à cause d’une activité qui n’apporte aucune plus-value à l’entreprise. Quand 76 % des employés informent qu’ils font face à des problèmes réguliers d’usage des mots de passe, il est clair qu’il a aussi un impact significatif sur la productivité et ultimement un coût associé aux identifiants. Les employés souffrent d'inefficacités liées aux mots de passe, ce qui affecte directement le résultat de l’entreprise.
Approuvé ou non, le partage de mots de passe est courant
En moyenne, un employé partage quatre mots de passe avec les autres, selon le rapport. Il est souvent conseillé de laisser vos mots de passe privés et pour une bonne raison, vous minimiserez le risque qu’ils soient récupérés par de mauvaises personnes. Cependant, au travail, le partage d’identifiants et d’autres données sensibles est essentiel pour réaliser les objectifs.
Que ça soit des comptes de médias sociaux gérés par le service marketing ou les configurations de serveurs gérés par l’IT, pour ne citer que ceux-là, les employés de tous les services ont le besoin de partager des mots de passe. Les mots de passe doivent aussi être partagés fréquemment avec des vendeurs, des partenaires, des clients et d’autres. Puisque le partage devient dans ce cas important, il faudra s’assurer que chaque mot de passe partagé soit unique et changé à chaque fois que l’accès n’est plus nécessaire, surtout quand un employé quitte une entreprise.
La ligne reste floue entre les mots de passe personnels et professionnels
Sur les 36 domaines utilisés par les employés dans leur travail, au moins la moitié sont des solutions populaires destinées au grand public. De plus, une étude récente a montré que 23 % des employés utilisent des identifiants de médias sociaux pour se connecter dans les systèmes de travail et les applications. Google, Dropbox, Evernote, pour toutes ces applications populaires, les employés aiment maintenir le contrôle sur ces comptes, malgré le fait qu’ils les utilisent activement au travail et peuvent y sauvegarder ou partager des données sensibles de l’entreprise.
Aujourd’hui, avec l’avènement du BYOD (« bring-your-own-everything »), les employés familiarisés avec la technologie sont devenus la source de services innovants pour le travail. S’ils sont mal gérés, ces applications cachées et comportements vis-à-vis des mots de passe deviennent une menace. Avec une bonne supervision, ces nouvelles technologies favorisent la productivité, l’efficience et même les gains de sécurité à travers l’organisation.
L’authentification unique n’est pas une solution pour les mots de passe
L'authentification unique (en anglais Single Sign-On : SSO) est une méthode permettant à un utilisateur d'accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu'à une seule authentification.
Bien que beaucoup d’applications d’entreprises soient compatibles avec la SSO, les données montrent que plus de 50 % des sites web et services les plus populaires ne supportent pas nativement l’authentification unique. De plus, pour les entreprises qui peuvent investir le temps et les ressources afin d’implémenter une solution SSO, elles se contentent d’intégrer les applications de grande valeur qui sont généralisées dans leur organisation. La plupart des applications ne font pas partie de cette catégorie, y compris celles qui ne sont pas contrôlées par le service IT, et sont donc exclues du système et gérées par les employés. Une fois encore, le mauvais contrôle et visibilité laissent ces points d’entrée vulnérables à une mauvaise utilisation de mots de passe.
Pas assez d’entreprises utilisent l’authentification multifacteur
26,5 % d’entreprises utilisent une authentification multifacteur pour protéger leurs coffres-forts de mots de passe. Bien qu’une proportion importante d’entreprises commencent à adopter la MFA, elle n’est pas utilisée de façon suffisante afin de pallier les faiblesses des mots de passe.
Il faut s’attendre à une croissance de l’adoption des solutions d’authentification MFA, avec l’accent mis sur celles qui tirent profit des technologies déjà utilisées, comme les smartphones des employés. De cette façon, le service IT n’a pas à investir dans des appareils additionnels ou onéreux, et les déploiements longs de nouveaux services. Cependant, cette authentification multifacteur ne compense pas les faiblesses d’un mot de passe faible, chaque mot de passe doit être unique et aussi fort que possible afin de se prémunir contre les attaques.
Ces réalités peuvent être consultées dans ce rapport.
Source : blog Lastpass
Et vous ?
Comment gérez-vous les mots de passe dans votre travail ?
Quelles sont les solutions que vous utilisez pour assurer une bonne gestion des identifiants ?
Voir aussi :
forum Sécurité
Étude : Lastpass révèle huit réalités sur les menaces que posent les mots de passe
Dans les milieux de travail des entreprises
Étude : Lastpass révèle huit réalités sur les menaces que posent les mots de passe
Dans les milieux de travail des entreprises
Le , par Coriolan
Une erreur dans cette actualité ? Signalez-nous-la !