La sécurité des mots de passe est l'un des problèmes les plus importants auxquels la sécurité informatique est confrontée aujourd'hui. Selon le Verizon Data Breach Report 2017, 81% des atteintes à la protection des données sont causées par des mots de passe faibles ou volés. Pour surmonter ces défis, de nombreuses organisations se tournent vers la technologie d'authentification multifacteurs (MFA) afin de fournir une approche multicouches et de réduire le rôle que jouent les mots de passe lors de la fourniture des accès.
L'authentification multifacteurs est une méthode d’authentification qui consiste à demander à un utilisateur de présenter successivement et avec succès deux facteurs d'identification ou plus. Ces facteurs peuvent être quelque chose que l'utilisateur connaît (comme un mot de passe ou un code PIN), quelque chose qu'il possède (comme un ‘token’ ou un smartphone) ou un élément biométrique (comme une empreinte digitale). Les distributeurs de billets fournissent un exemple simple de l’utilisation de cette méthode. Pour ouvrir une session, l'utilisateur doit insérer sa carte de débit (une chose qu'il possède) et entrer son code PIN (une chose qu'il connaît).
Mais malheureusement, les solutions de MFA traditionnelles sont souvent difficiles à mettre en œuvre et à gérer pour les entreprises, en particulier celles dont les ressources informatiques sont limitées. Pour mieux comprendre l'état actuel de la sécurité des mots de passe et de l'utilisation du MFA, WatchGuard a commandé une enquête auprès des dirigeants de petites et moyennes entreprises et des décideurs informatiques des entreprises de moins de 1 000 employés aux États-Unis, au Royaume-Uni et en Australie. Voici ses conclusions.
L'état actuel de la sécurité des mots de passe
La faiblesse des mots de passe est un problème sérieux, et l'enquête montre que 83% des dirigeants d'entreprises et des décideurs informatiques affirment que leurs employés savent que les meilleures pratiques en matière de mots de passe sont importantes. Bien que les employeurs perçoivent qu'il y a une prise de conscience de la nécessité de la sécurité des mots de passe au sein de leur personnel, le fait de s’appuyer uniquement sur des mots de passe pour protéger les données de leur entreprise, de leurs employés et de leurs clients suscite toujours chez eux de sérieuses inquiétudes. 84% des personnes interrogées estiment que des mots de passe faibles sont responsables de 60% de toutes les cyberattaques, ce qui est même en dessous de la vérité d’après le rapport Verizon mentionné plus haut.
Ainsi, malgré une bonne connaissance des meilleures pratiques en matière de sécurité des mots de passe, leur mise en œuvre fait défaut. 46% des personnes interrogées pensent que leurs employés continueront à négliger la sécurité de leurs mots de passe. La plupart des entreprises interrogées offrent pourtant une certaine forme de formation sur les mots de passe ou ont mis en place des politiques pour encourager les meilleures pratiques. Cela comprend l'obligation pour les employés d'utiliser des mots de passes longs et complexes et de les modifier périodiquement.
Mais, elles pensent toujours que leurs employés adoptent les mauvaises pratiques suivantes en matière de mots de passe :
- 47% des personnes interrogées pensent que leurs employés utilisent des mots de passe simples ou faibles.
- 31% qu’ils réutilisent les mots de passe professionnels pour des applications personnelles.
- 30% qu’ils partagent leurs mots de passe.
- 40% qu’ils cliquent sur des courriels de phishing.
- 36% qu’ils utilisent des connexions Wi-Fi non sécurisées.
- 18% qu’ils n'ont aucun comportement douteux en matière de sécurité.
Important : Pour remédier à cette situation, 84% des décideurs informatiques dans les entreprises de moins de 1 000 employés déclarent qu'ils préféreraient disposer d’une technologie d’authentification plus forte que de simples mots de passe plutôt que de s'appuyer uniquement sur des bonnes pratiques.
Obstacles à l'adoption du MFA
Si les décideurs informatiques sont à la recherche de solutions technologiques et ne font pas confiance à leurs employés pour appliquer les bonnes pratiques en matière de mots de passe, pourquoi le taux d’adoption de l’authentification multifacteurs par les PME reste-t-il aussi faible ?
Quelques éléments de réponse :
- 61% estiment que les solutions de MFA sont uniquement conçues pour les grandes entreprises.
- 24% déclarent que l’authentification multifacteurs est trop complexe à gérer.
- 24% estiment que la MFA est trop complexe à installer.
- 24% pensent que les solutions de MFA sont trop coûteuses
- 22% pensent qu’il y a des résistances en interne à l’adoption d’une solution de MFA.
- 17% qu'ils n'ont tout simplement pas besoin d’une solution de MFA.
Toutes ces préoccupations sont pertinentes (à l'exception de la dernière de la liste - notre enquête montre clairement la nécessité de l'authentification multifacteurs pour les entreprises de toutes tailles). Les entreprises ayant des ressources informatiques limitées ont besoin d'une solution MFA à la fois abordable, simple à déployer et à maintenir.
Quel est le taux d’adoption de l’authentification forte ?
Parmi les entreprises qui n'ont pas d'authentification forte, 83% sont intéressées à l'utiliser et 65% ont des projets d'achat dans le futur. Il y a un élan clair en faveur de telles solutions, même parmi les entreprises de moins de 1 000 employés. 67% des entreprises interrogées utilisent actuellement une sorte d'authentification forte AMF pour au moins une partie de leurs employés, et 29% d’entre elles n'utilisent aucun système de ce type. Ce chiffre de 29% est préoccupant car il suffit qu'un seul employé de ces entreprises commette une erreur pour menacer la sécurité des données. De plus, le chiffre de 67% est lui aussi trompeur.
En effet, parmi les entreprises qui utilisent déjà une sorte d’authentification forte :
- 56% utilisent des ‘tokens’ sur les PC de bureau
- 47% utilisent des SMS
- 44% utilisent des ‘tokens’ sur mobile
- 40% ne connaissent pas la méthode utilisée
- 61% utilisent des serveurs d'authentification dans le cloud.
Le fait que les entreprises utilisent l’authentification forte est toujours une bonne chose dans l’absolu, mais toutes les méthodes employées ne se valent pas. Si la méthode choisie n’utilise pas de fonctions de sécurité avancées, l’entreprise peut courir des risques supplémentaires. Les messages SMS par exemple, ne sont pas totalement sûrs car ils peuvent usurpés ou interceptés par un attaquant. De plus, des ‘tokens’ matériels représentent aussi une menace car ils peuvent être perdus ou volés.
Conclusion
L’authentification forte n’est plus destinée uniquement aux grandes entreprises. Cette enquête montre que bien que la majorité des décideurs informatiques dans des entreprises de moins de 1000 employés ont mis en place des politiques et des formations concernant la sécurité des mots de passe, plus des trois quarts d’entre eux estiment que leurs employés n’appliquent pas les meilleures pratiques en la matière. La quasi-totalité des personnes interrogées s’accordent également sur le fait que les technologies d’authentification forte sont plus efficaces que la seule mise en place de meilleures pratiques et de programmes de formation.
L’essentiel est d’offrir une solution d’authentification forte qui soit à la fois abordable et simple à déployer et à gérer pour éliminer les freins à l’adoption perçus chez les dirigeants d’entreprise et les décideurs informatiques.
Enfin, les méthodes modernes d’authentification forte ne sont plus une mesure de précaution optionnelle. Elles sont devenues une nécessité pour les PME.
Lectures du moment, tribunes d'experts, management et entrepreneuriat...