Malgré l’augmentation constante des cyberattaques qui font de plus en plus parler d’elles, tant par leur nombre que par leur complexité, les entreprises peinent encore à mettre en place des politiques de sécurité efficaces. L’un des fléaux de la sécurité en entreprise reste pourtant celui des mots de passe faibles qui représentent une forte menace, du fait de pratiques des salariés qui demeurent dangereuses.

Cependant, même les entreprises qui réussissent à quantifier leur propre niveau de risque lié aux mots de passe et qui mettent à disposition de leurs salariés des outils pour bien se protéger témoignent d’une situation toujours tendue. Mais quelle en est la raison ? En premier lieu, les pratiques liées à la sécurité ne font pas pleinement leurs preuves. Dans un second temps, les entreprises manquent cruellement de visibilité sur le comportement de leurs employés. Et pour finir, il est difficile d’établir une comparaison face aux autres entreprises similaires en termes de taille, de localisation et de secteur d’activité.

Ce manque de clairvoyance permet de voir que les habitudes des employés en matière de mots de passe sont peu exemplaires. En parallèle, celui des entreprises dans leur globalité n’est pas non plus un modèle à suivre. D’ailleurs, 50% des entreprises déclarent ne pas sécuriser les mots de passe au sein de leur structure.

Il est pourtant bon de souligner que les mots de passe faibles, trop anciens ou trop réutilisés sont des portes d’entrées à l’intérieur des systèmes des entreprises. Cela démontre le besoin réel de formation pour améliorer les habitudes liées à la sécurité. Car ce risque lié aux mots de passe impacte toutes les entreprises, indépendamment de leur taille et où qu’elles se trouvent, même si certaines configurations restent plus périlleuses que d’autres.

Plus l’entreprise est grande, plus le risque est grand

Bien que cette affirmation se confirme au sein du dernier rapport LastPass autour de la sécurité en entreprise, cela ne signifie pas pour autant que les grandes entreprises courent systématiquement à la catastrophe. Certaines entreprises qui figurent parmi les exemples à suivre en termes de sécurité sont parfois bien des grandes entreprises, prouvant une nouvelle fois que la fatalité n’existe pas. Mais en règle générale, plus une entreprise est grande, et plus il est difficile de relever certains défis, d’obtenir des décisions rapides voire des budgets supplémentaires. Pour les petites entreprises, ces défis sont similaires mais bien moins compliqués à résoudre. Malgré des ressources moins importantes, il est plus facile d’avoir une vision sur les habitudes des salariés en matière d’identification et de sécurité.

L’un des challenges qui reste à relever est celui du partage des mots de passe. En moyenne, un employé partage environ six mots de passe avec ses collègues. Cela peut faire énormément de mots de passe échangés surtout si l’entreprise dépasse un certain nombre d’employés. Lorsque les mots de passe sont très simples à retenir, il s’agit encore une fois d’une menace garantie pour la sécurité d’une entreprise.

Sachant que les entreprises sont de plus en plus dépendantes de la technologie, il est nettement plus compliqué de systématiquement protéger, suivre et vérifier que les mots de passe restent confidentiels ou qu’ils sont partagés seulement lorsque cela est nécessaire.

Les défis en matière de sécurité s’étendent à tous les secteurs d’activité et dans le monde entier

La sécurité reste très importante, d’autant plus qu’elle est désormais pointée du doigt puisqu’elle est garante du respect des données personnelles, et davantage depuis l’instauration du RGPD en mai 2018. Avec la mise en place de ce règlement à l’échelle européenne mais qui touche toutes les entreprises dans le monde, les règles en matière d’identification sont revues à la hausse. L’instauration de l’authentification multifactorielle par exemple est de plus en plus en vogue, tout comme les solutions telles que les gestionnaires de mots passe par exemple.

Peu importe la taille de l’entreprise, son secteur d’activité ou son emplacement, toutes les entreprises peuvent prendre des mesures pour gérer plus efficacement les mots de passe. A cela s’ajoute les politiques de mise en œuvre de BYOD et du phénomène récurrent de Shadow IT voire d’autres influences externes qui menacent la sécurité des entreprises. Cependant, la visibilité reste la clé pour se protéger. Il est impossible de sécuriser son entreprise à moins d’avoir un système qui permet d’avoir un aperçu des risques potentiels à considérer.

___________
Gerald Beuchelt est RSSI chez LogMeIn