- 32% des mots de passe des entreprises les plus puissantes font directement référence à l'entreprise
- Dans les 20 secteurs d'activité analysés, les mots "password" et "12345" figurent tous deux parmi les 7 mots de passe les plus utilisés.
_ Les plus grandes entreprises préfèrent "dummies", "vacation" et "sexy4sho" comme mots de passe.
Même les employés des entreprises internationales les plus puissantes ont des habitudes terriblement mauvaises en ce qui concerne les mots de passe, publie une nouvelle étude. Alors que les experts en cybersécurité ne cessent de recommander aux entreprises de mieux gérer leurs mots de passe, les sociétés les plus riches du monde considèrent en effet toujours que le couple gagnant - "123456" et "password" - est suffisant pour sécuriser les actifs numériques de l'entreprise.
« Le paradoxe veut que les entreprises les plus puissantes de la planète, qui disposent des ressources financières nécessaires pour investir dans la cybersécurité, tombent dans le piège des mots de passe peu fiables. Par contre, cette situation est tout à fait compréhensible car les internautes ont des habitudes malsaines et profondément enracinées en matière de mots de passe. Cette étude prouve une fois de plus que nous devrions tous accélérer la transition vers des solutions alternatives d'authentification en ligne », insiste Jonas Karklys, PDG de NordPass.
Même si NordPass étudie tout au long de l'année l'évolution des habitudes des internautes en matière de mots de passe, elle s'est penchée cette année sur les mots de passe utilisés par les employés des plus grandes entreprises mondiales, dans 31 pays, pour sécuriser leurs comptes professionnels. Les chercheurs ont compilé 20 listes de mots de passe spécifiques à chaque industrie.
“Dummies,” “sexy4sho,” et autres mots de passe discutables
Selon l'étude, les mots de passe "password" et "123456", qui occupaient les deux premières places dans la liste des mots de passe les plus courants de l'année dernière, sont également populaires parmi les employés des plus grandes entreprises. Parmi les 20 secteurs d'activité analysés, ces deux mots de passe figurent parmi les sept mots de passe les plus utilisés.
Certains secteurs se sont également montrés plus créatifs que d'autres. Le mot de passe "dummies" se classe au 6e rang des employés du secteur des biens de consommation, "sexy4sho" au 16e rang des employés de l'immobilier et "snowman" au 11e rang des employés du secteur de l'énergie. Il est intéressant de noter que les personnes travaillant pour des entreprises du secteur de la finance semblent avoir un sérieux besoin de vacances, avec les mots de passe "ready2go", "vacation" et "summer" comme premiers choix de mots de passe.
Inspirations classiques pour les mots de passe
Comme pour les internautes ordinaires, les mots du dictionnaire, les noms de personnes et de pays et les simples combinaisons de chiffres, de lettres et de symboles constituent la plupart des mots de passe présentés dans l'étude.
Toutefois, les 32% restants révèlent une autre tendance intéressante. Les employés des entreprises les plus florissantes du monde aiment les mots de passe qui font directement référence ou font allusion au nom d'une entreprise spécifique. Le nom complet de l'entreprise, son domaine de messagerie, une partie ou une abréviation de son nom, ainsi que le nom de son produit ou de sa filiale sont les sources d'inspiration les plus courantes.
« Ces types de mots de passe sont à la fois mauvais et dangereux à utiliser. Lorsqu'ils s'introduisent dans des comptes d'entreprise, les pirates essaient toutes les combinaisons de mots de passe faisant référence à cette entreprise, car ils savent qu'elles sont courantes. Les employés évitent souvent de créer des mots de passe compliqués, en particulier pour les comptes partagés. Ils finissent donc par choisir quelque chose de radicalement basique, comme le nom de l'entreprise », constate Jonas Karklys
Représentation élargie des pays et des secteurs d'activité
L'analyse des mots de passe des entreprises internationales les plus puissantes a été réalisée en partenariat avec des experts indépendants spécialisés dans la recherche sur les incidents de cybersécurité. Ils ont étudié les 500 plus grandes entreprises du monde en fonction de leur capitalisation boursière, qui représentaient 31 pays et 20 secteurs d'activité.
Les États-Unis (46,2%), la Chine (9,6%), le Japon (5,8%), l'Inde (4,2%), le Royaume-Uni (4%), la France (3,8%) et le Canada (3,6%) sont les pays les plus représentés dans cette recherche. De même, la plupart des entreprises analysées appartiennent aux secteurs de la finance, de la technologie et de l'informatique, et des soins de santé.
Les mots de passe sont voués à disparaître
Cette étude complète une série de projets de recherche sur les mots de passe menés par NordPass ces dernières années. En 2021, l'entreprise s'est penchée sur les mots de passe utilisés par les entreprises du classement Fortune 500, et en 2022, elle a enquêté sur les habitudes des cadres supérieurs en matière de mots de passe. Chaque année, NordPass présente également l'étude "Top 200 most common passwords" (les 200 mots de passe les plus courants), qui couvre les tendances des utilisateurs d'Internet en matière de mots de passe.
« Bien que les tendances en matière de mots de passe varient légèrement d'une année à l'autre, l'idée générale qui en ressort reste la suivante : les internautes négligent constamment la gestion de leurs mots de passe et le monde a désespérément besoin de passer à de nouvelles solutions d'authentification en ligne telles que les passkeys », poursuit Jonas Karklys.
Plusieurs entreprises innovantes telles que Google, Microsoft, Apple, PayPal, KAYAK et eBay ont déjà adopté la technologie passkey et proposent à leurs utilisateurs une connexion sans mot de passe. Selon Jonas Karklys, d'autres entreprises en ligne ne tarderont pas à suivre cette tendance. C'est pourquoi NordPass a mis au point une solution permettant de stocker les clés d'accès des clients et développe actuellement un outil permettant aux entreprises d'intégrer facilement la prise en charge des clés d'accès à leurs sites Web.
Conseils pour sécuriser les comptes professionnels
Selon un rapport d'IBM, en 2022, le vol des identifiants restera la cause la plus fréquente d'une violation de données dans les entreprises (19%). Selon Jonas Karklys, la mise en œuvre de quelques mesures de cybersécurité permettrait aux entreprises d'éviter de nombreux incidents de cette nature.
- Veillez à ce que les mots de passe de l'entreprise soient suffisamment sécurisés. Ils doivent comporter des combinaisons aléatoires d'au moins 20 lettres majuscules et minuscules, de chiffres et de caractères spéciaux.
- Activer l'authentification multifactorielle ou l'authentification unique. Alors que l'authentification multifactorielle mise en place sur un autre appareil, connectée à un courriel ou à un code SMS, garantit une couche de sécurité supplémentaire, la fonctionnalité d'authentification unique permet de réduire le nombre de mots de passe que les utilisateurs doivent gérer.
- Évaluer de manière critique à qui accorder des droits d'accès aux comptes. Les privilèges d'accès doivent être retirés aux personnes qui quittent l'entreprise et transmis uniquement à celles qui ont besoin de certains accès.
- Utiliser un gestionnaire de mots de passe. Grâce à une solution professionnelle, les entreprises peuvent stocker en toute sécurité tous leurs mots de passe en un seul endroit, les partager au sein de l'organisation, s'assurer de leur solidité et gérer efficacement les privilèges d'accès.