La gestion des mots de passe est essentielle à votre stratégie de cybersécurité
De la génération de mots de passe forts à la surveillance du score de sécurité de votre entreprise, les gestionnaires de mots de passe de classe mondiale sont aujourd’hui des atouts puissants dans la guerre pour défendre votre entreprise contre les cybercriminels.
Les mots de passe sont les clés du royaume
Les organisations peuvent dépenser des millions en défenses et consultants en cybersécurité, implémenter les outils traditionnels tels que les pares-feux, les SIEM et les antivirus et autres, utiliser la détection des menaces la plus sophistiquée utilisant l'intelligence artificielle, l'apprentissage automatique et le comportement et l'analyse des utilisateurs ; tous ces outils ont leur place et peuvent être très précieux, cependant, un problème persiste :
des violations liées au piratage ont exploité des mots de passe volés et/ou faibles.¹
Les mots de passe sont souvent la seule chose qui protège les plans d'affaires confidentiels, la propriété intellectuelle, les communications, l'accès au réseau, les informations de recensement des employés et les données des clients. Malheureusement, en raison d'une erreur humaine, d'une négligence et d'un simple manque de connaissances, les mots de passe sont également le maillon le plus faible de la sécurité. L'attaque frontale des problèmes de mot de passe offre un retour sur investissement maximal pour la sécurité.
Les mots de passe ne sont pas prêts à disparaître
Une croyance commune est que la biométrie, comme les empreintes digitales, l'iris ou le visage, peut être utilisée pour éliminer les mots de passe traditionnels. Il y a plusieurs raisons pour lesquelles ce n'est pas vrai. Beaucoup de systèmes de biométrie ne jouent que le rôle de substitut du mot de passe ou du code PIN, si ceux-ci sont faibles, la biométrie n’aura qu’un aspect pratique et pas sécuritaire. Le développement de la biométrie dans une entreprise signifie aussi le déploiement de scanners sur chaque ordinateur et appareil connecté, ce qui représente un coût et une maintenance importante. Ce ne sont que deux exemples parmi d’autres.
La biométrie reste une excellente option à utiliser conjointement avec des mots de passe lorsqu'une authentification forte (à deux facteurs) est requise, mais les mots de passe ne sont pas encore obsolètes.
L'authentification unique (SSO) n'est pas une solution miracle
SSO a été créé pour résoudre de nombreux problèmes liés aux mots de passe, mais la plupart des applications héritées et même de nombreuses applications plus récentes ne prennent pas en charge les protocoles SAML. De nombreux comptes d'accès privilégiés ne prennent pas en charge SAML ou même n'utilisent pas de mots de passe. Par conséquent, le stockage des clés de chiffrement (SSH, AES, RSA), des certificats numériques et des clés d'accès sont des cas d'utilisation que le SSO ne traite pas. Les entreprises qui utilisent SSO doivent utiliser un gestionnaire de mots de passe pour compléter leur déploiement SSO et combler ces lacunes potentielles.
Pour les PME, un gestionnaire de mots de passe peut être la solution complète de gestion des identités et des accès (IAM) en raison de la flexibilité de travailler avec n'importe quelle application, site Web ou actifs privilégiés comme les serveurs, les bases de données et les appareils réseau. De plus, les PME peuvent ne pas avoir l'argent, le temps ou l'expertise nécessaires pour une intégration SSO complète.
Ma PME est-elle vraiment une cible ?
Oui, et c'est une grande cible. Aujourd'hui, les petites et moyennes entreprises (PME) pensent à tort que les plus grandes vulnérabilités de sécurité résident dans les grandes entreprises. En fait, il existe de plus en plus de preuves du contraire, ce qui suggère que les PME deviennent des cibles plus fréquentes pour les cyberattaques.
Pourquoi ? Tout simplement parce qu'elles sont des cibles « plus souples » que les grandes entreprises. Une grande banque sait qu'elle est une cible majeure, mais elle dispose également des ressources à consacrer à son propre centre d'opérations sécurisé, à des équipes d'experts en sécurité, à des flux de menaces et aux dernières technologies. L'omniprésence des problèmes de mot de passe signifie que même les plus grandes entreprises doivent utiliser un gestionnaire de mots de passe, mais les PME sont contraintes de s'en tenir aux fondamentaux et de tirer le meilleur parti de toute technologie qu'elles mettent en œuvre. La gestion des mots de passe doit figurer en tête de liste.
L’humain est un des maillons faibles de la sécurité
L'étude de Keeper sur dix millions de mots de passe piratés par des pirates montre que les pratiques courantes de mot de passe des employés constituent la plus grande menace pour la sécurité intérieure d'une organisation. Les 25 mots de passe les plus couramment utilisés répertoriés ci-dessous représentaient plus de 50 % des 10 millions de mots de passe analysés. Près de 17% étaient "123456" seuls. Les pirates créent et maintiennent des « listes de dictionnaires » de ces mots de passe et les utilisent en premier lorsqu'ils tentent de pénétrer dans un site Web, une base de données ou un service. Ils savent également que plus de 60% de toutes les personnes ont tendance à utiliser le même mot de passe sur plusieurs sites Web, services et applications.
Si les employés n'utilisent pas de mots de passe sur cette liste, ils utilisent les anniversaires, les adresses, les noms de leurs animaux de compagnie, leur équipe sportive préférée ou un certain nombre de combinaisons facilement devinables. Ce n'est pas leur faute, il est impossible de se souvenir de mots de passe forts et uniques pour chaque compte.
Les employés renoncent souvent à trouver des mots de passe uniques et utilisent le même mot de passe sur plusieurs comptes. Le problème évident ici est que si un service est violé, les pirates ont immédiatement accès à tous leurs autres services. La violation de Yahoo a fourni à elle seule 3 milliards d'informations d'identification. Les pirates peuvent effectuer cette même analyse et créer des "dictionnaires de craquage" qu'ils utilisent pour les attaques de "credential stuffing". En d'autres termes, ils essaient les mots de passe les plus populaires et ont un taux de réussite très impressionnant.
D'autres tactiques des employés incluent le stockage des mots de passe sur des post-it ou dans une feuille de calcul ou un autre document électronique. De plus, la plupart des navigateurs proposent aujourd'hui de stocker les mots de passe et se connectent automatiquement lorsqu'ils visitent un site. Maintenant, un pirate informatique n'a même plus besoin d’attaquer les mots de passe via un dictionnaire. Tout ce dont il a besoin est d’un accès physique à l'ordinateur ou, dans le cas du stockage des mots de passe, aux feuilles de calcul, aux navigateurs ou encore d’un accès à distance via un moyen tel que RDP. Si cela semble exagéré, considérez que Trustwave a constaté que l'accès à distance était le principal contributeur (29,7 %) aux violations, devant le phishing (18,8 %).
La politique « Apportez votre propre appareil (BYOD) », où les employés sont autorisés à utiliser leurs appareils personnels pour le travail, offre aux entreprises une flexibilité, réduit les coûts et augmente la productivité. Le BYOD ouvre également la porte aux problèmes de sécurité, d'administration et de conformité. Lorsque les employés utilisent des appareils personnels pour se connecter à des comptes professionnels, ils ont besoin des mots de passe et encore une fois, les stockent dans des fichiers ou dans le navigateur, ce qui aggrave les problèmes avec ces solutions.
Pourquoi mon entreprise a-t-elle besoin d'un gestionnaire de mots de passe ?
Keeper permet aux organisations d'avoir une visibilité sur l'hygiène de leurs mots de passe et les facteurs de risque qui peuvent entraîner une violation de données et réduire la productivité des employés en raison de problèmes liés aux mots de passe. Cela peut inclure un temps excessif pour rechercher des mots de passe, des mots de passe oubliés, un partage non sécurisé de mots de passe ou contacter le service d'assistance pour obtenir de l'aide afin de réinitialiser un mot de passe, etc.
Outre les coûts liés aux failles de sécurité, les pertes de productivité sont importantes car les employés effectuent des transactions avec des identifiants de connexion tout au long de la journée, sur plusieurs sites, systèmes et applications.
Keeper permet à l'employé (l'utilisateur) de prendre le contrôle de ses mots de passe et d'utiliser un mot de passe unique, aléatoire et à haute résistance pour chaque site, système et application. Chaque employé dispose d'un coffre-fort numérique sécurisé basé sur le cloud qui stocke les mots de passe et toute autre information critique telle que les clés de cryptage et les certificats numériques. Keeper générera des mots de passe forts et aléatoires et les remplira automatiquement pour les utilisateurs. Cela leur fait gagner du temps, de la frustration et élimine le besoin pour eux de réutiliser et de mémoriser les mots de passe. Le coffre-fort Keeper est disponible pour les employés depuis n'importe quel appareil et de n'importe où. Tout cela rend l'ensemble de l'organisation plus sûre, augmente la productivité et réduit considérablement les appels au service d'assistance.
En conclusion
Les mots de passe sont les « clés du royaume » pour les pirates et constituent leur principal vecteur d'attaque.
Les entreprises peuvent dépenser des millions en cybersécurité et beaucoup le font, mais un gestionnaire de mots de passe solide devrait être le premier investissement pour une protection et un retour sur investissement rapide. Du point de vue de la sécurité, la grande majorité des violations commencent par des informations d'identification volées ou faibles.
Du point de vue des coûts, Keeper Enterprise augmentera la productivité des employés et réduira considérablement les coûts du service d'assistance. Keeper propose des solutions de provisionnement rapide pour chaque organisation, quelle que soit sa taille, et peut s'intégrer de manière transparente à Active Directory, LDAP et à toutes les principales solutions SSO.
Sources: ¹ - Verizon Data Breach Investigation Report 2017