Alors que le 3 mai prochain marquera la Journée Mondiale du Mot de Passe, pour sensibiliser les internautes à une meilleure sécurisation de leurs données personnelles, le W3C et la l’Alliance FIDO ont récemment annoncé un nouveau projet et de nouvelles techniques, qui pourraient sonner le glas des mots de passe si elles sont largement adoptées car bien plus sécurisées et adaptées aux utilisations actuelles, notamment en raison de la digitalisation croissante des entreprises et des tactiques de plus en plus sophistiquées des cybercriminels.

Les mots de passe sont en effet peu à peu remplacés par des authentifications et des technologies plus performantes en termes de sécurisation :

Ces dernières années, les hackers ont perfectionné leurs techniques pour parvenir à s’introduire insidieusement dans les systèmes informatiques. Par conséquent, même avoir un mot de passe fort – qui mélange chiffres, lettres et symboles, et ne comprend pas de mots présents dans le dictionnaire – ne suffit plus à protéger les données sensibles d’une entreprise. Cette dernière peut alors déployer une seconde couche de sécurité qui s’appuie sur la double authentification ; il s’agit d’une deuxième vérification de l’utilisateur via un token, soit un logiciel applicatif qui fournit un code à rentrer sur le terminal ou à un petit appareil physique (sous le format d’une carte ou d’un porte-clé par exemple) qui confirme l’identité.

Cette sécurité périmétrique améliore la protection certes, mais n’empêche pas activement les cybercriminels de faire des ravages dans le réseau. Ils peuvent en effet duper les utilisateurs via des campagnes de phishing pour récupérer leurs identifiants, dans des environnements non protégés par la double authentification, et usurper ainsi leurs identités ou encore bloquer l’accès à l’appareil grâce à un ransomware. C’est pourquoi la sécurisation du réseau au-delà des points d’accès est indispensable.

En outre, le paysage des menaces actuelles oblige les entreprises à gérer étroitement leurs privilèges, c’est-à-dire les droits d’accès au réseau, afin qu’un cybercriminel ne puisse pas facilement accéder aux informations sensibles et/ou prendre le contrôle des systèmes.  Dans ce contexte, un employé doit donc accéder uniquement aux données qui lui sont nécessaires pour ses missions quotidiennes. Seulement, le dernier rapport annuel de l’ANSSI indique que de nombreuses entreprises françaises ne parviennent pas à détecter les attaques suffisamment tôt, du fait d’une surveillance insuffisante de ces privilèges et des activités sur le réseau. En effet, les vulnérabilités ne dépendent pas uniquement de l’humain ; les identifiants, les comptes et les secrets sont partout et aussi sous forme de machines. Ils peuvent donc être dans le cloud, les applications ou encore la supply chain. Par conséquent, outre l’authentification à deux facteurs, ces comptes peuvent être protégés via le retrait des droits administrateurs locaux aux points d’accès, l’élimination des identifiants codés en dur, la gestion et la protection des mots passe dans des coffres-forts numériques, ou encore la surveillance et l’enregistrement des comptes et activités les plus sensibles.

Aussi, pour repérer toute tentative d’intrusion, les organisations peuvent s’appuyer sur le machine learning, dont les capacités de traitement et d’analyse prédictive des données constituent une défense de taille face aux hackers ; cette technologie exécute rapidement des tâches qui sont très chronophages pour les équipes IT, et difficiles à réaliser en continu. Evolutif par nature, l’apprentissage automatique ajuste également en temps réel les points de comparaison, afin d’évaluer les risques, d’offrir une visibilité sur les vulnérabilités existantes et, éventuellement, de contenir les compromissions. Les algorithmes déterminent en effet en quelques secondes si une connexion ou une activité sur le réseau est douteuse et nécessite une surveillance, voire une intervention immédiate.

Les dernières innovations technologiques en cybersécurité présagent d’une lente disparition du mot de passe, au profit de techniques automatisées, plus sécurisées et adaptées aux tactiques des cybercriminels ; telles que la double authentification, la gestion des privilèges et des secrets, la surveillance des comptes et données les plus critiques ou encore le machine learning. La cybersécurité doit en effet prévenir, contenir et vaincre toute tentative de compromission ; et par conséquent évoluer de concert avec les menaces, quitte à abandonner une habitude vieille de plusieurs décennies, mais plus assez performante.

 

________
Jean-Christophe Vitu est VP Solution Engineers EMEA, chez CyberArk