A l’occasion du mois européen de la cybersécurité, qui vise à sensibiliser les utilisateurs aux cybermenaces et aux habitudes à prendre pour s’en protéger, il convient de faire le point sur les risques qui perdurent. Le plus connu de tous : le mot de passe.

L’ANSSI a d’ailleurs récemment mis à jour son guide dédié à l’authentification multifacteur et aux mots de passe. Ces derniers ont leurs preuves avec la sécurité périmétrique, mais ne sont plus aptes à protéger efficacement les données personnelles ou professionnelles. En effet, ces identifiants sont trop souvent mal utilisés et gérés, et ne représentent plus un niveau de sécurité suffisant face aux techniques des cybercriminels.

Selon Jérôme Colleu, Ingénieur Avant-Vente chez CyberArk, la manière dont les utilisateurs prouve que leur identité est clé, alors que la frontière entre les sphères privée et professionnelle s’estompe :

« Il existe six raisons pour se débarrasser une fois pour toute des mots de passe, et laisser place à des moyens d’authentification plus adaptés face à la sophistication des cybermenaces actuelles.

Des mots de passe faibles. Chaque utilisateur possède en moyenne 85 mots de passe entre ses comptes personnels et professionnels. Par conséquent, lorsqu’un identifiant expire et doit être renouvelé, de nombreuses personnes remplacent simplement un chiffre par un autre, annulant ainsi l'objectif de la réinitialisation obligatoire.

En outre, alors que les équipes IT continuent de faire campagne pour des mots de passe complexes et uniques, beaucoup d’employés ne suivent pas ce conseil. Et même lorsque des identifiants forts sont en place, des habitudes risquées - telles que l'enregistrement des identifiants dans les navigateurs, le recours à des feuilles Excel ou des post-it – restent communes.

Des vols réguliers de mot de passe et d'identifiants. Il est facile pour les attaquants de voler ou de déchiffrer les identifiants via des méthodes courantes, telles que le phishing et l'usurpation d'identité. Un rapport récent de Verizon révèle ainsi que pas moins de 80 % des violations peuvent être liées à des identifiants volées ou récupérés avec une attaque par force brute.

Une perte de productivité pour les employés. Chaque fois qu’un utilisateur ne peut accéder à un compte ou à une ressource de travail, il perd un temps précieux. De même que l’équipe d'assistance informatique, qui devra probablement réinitialiser le mot de passe ou rétablir l’accès en question. On estime ainsi qu’une entreprise de 1 000 employés dépense environ 495 000 $ par an à résoudre des problèmes liés au mot de passe.

Seulement une première ligne de défense. Des gestionnaires de mots de passe sont pertinents pour mémoriser les mots de passe personnels sans recourir à un stockage dans le navigateur. Cependant, ils ne sont pas infaillibles, surtout les mêmes identifiants sont utilisés dans la sphère professionnelle.

De plus, ils ne procurent pas une protection adéquate dans les environnements d'entreprise, où les utilisateurs bénéficient de différents niveaux d'accès au système informatique. Les gestionnaires de mots de passe ne peuvent pas en effet gérer qui accède à quelles ressources sensibles et pour combien de temps ; et les équipes informatiques en parallèle n’ont qu’une visibilité limitée sur les événements liés aux accès ; ce qui crée des failles de sécurité et une exposition aux risques.

Les méthodes d'authentification sans mot de passe. Beaucoup d’utilisateurs ressentent une "fatigue de la sécurité", du fait d’authentification répétée tout au long de la journée, ce qui les conduit à rechercher des moyens de contourner ou d'ignorer les systèmes d'authentification.

Les utilisateurs sont désormais enclins à essayer de nouvelles méthodes sans mot de passe pour protéger à la fois leurs comptes personnels et les données sensibles de leur entreprise. Ainsi, selon une étude de Ponemon, une majorité de professionnels de la sécurité informatique et d'utilisateurs professionnels (55 %) préféreraient une méthode de protection des comptes qui n'implique pas de mots de passe

Les avancées technologiques. Des innovations, telles que le machine learning, minimisent les désagréments courants liés aux mots de passe en éliminant les demandes de connexion excessives.

En outre, les outils d'authentification unique (SSO) aident les employeurs à surmonter les défis de sécurité associés aux mots de passe traditionnels et à automatiser les processus d'octroi d'accès manuel, qui peuvent ralentir les équipes IT. Ces derniers peuvent alors analyser le contexte de l'utilisateur et de l'appareil pour déterminer si la demande d'accès est légitime.

Le système sait, par exemple, si l'utilisateur tente d'accéder à une base de données qui ne doit pas être accessible dans le cadre de ses activités quotidiennes, ou si un appareil se trouve dans une ville différente de l'habitude. Si le contexte est anormal, le système enclenche des contrôles, comme une demande de réauthentification ou l'ajustement du niveau d'accès. L'analyse permet de minimiser les frictions en mettant en place des barrières uniquement lorsque cela est nécessaire, en fonction d'un score de risque.

En tant que citoyen numérique, chaque utilisateur a la responsabilité de protéger sa part du cyberespace. Beaucoup d’identités sont encore vérifiées avec un mot de passe ; pour consulter le solde d'un compte bancaire, faire des achats en ligne ou accéder à des applications et systèmes liés au travail. Cependant, les cybercriminels profitent des vulnérabilités inhérentes à leur mauvaise utilisation, afin de rapidement et facilement voler des informations. »