Sécurité des messageries : comment s’assurer de l’implication des employés en 4 étapes

Il est parfois difficile pour les équipes informatiques de sensibiliser les équipes métiers à l’importance de la sécurité. Pourtant, ces derniers ont tendance à réutiliser leurs mots de passe personnels pour se simplifier la vie. Or, quelle que soit leur taille, toutes les entreprises se doivent de faire de la sécurité des messageries une priorité.

Les petites entreprises, notamment, sont tout aussi vulnérables au piratage, et peuvent avoir beaucoup de mal à se remettre des préjudices subis sur le plan financier et vis-à-vis de leur image.

Les employeurs peinant à impliquer leur personnel dans leurs processus de sécurité doivent de se concentrer sur un message clé : les comptes de messagerie sont nos principaux atouts, sur le plan personnel comme professionnel. Ceux-ci constituent en effet une passerelle pour accéder à l’ensemble des portefeuilles de ressources en ligne, et il est donc essentiel d’utiliser un mot de passe sécurisé. Dans le cas contraire, les pirates parvenant à accéder à des comptes de messagerie protégés par des mots de passe faibles ou déjà utilisés pourraient découvrir l’ensemble des autres comptes en ligne des utilisateurs et les réinitialiser à leurs dépens. Même Mark Zuckerberg n’est pas à l’abri de cette pratique : lui aussi a vu ses comptes Twitter et Pinterest piratés à l’issue de la fuite de mots de passe subie par LinkedIn.

La bonne nouvelle est qu’il est possible de mettre en œuvre une stratégie de sécurité à la fois simple et globale. Voici les piliers d’une politique de protection sans faille des messageries :

Changer de mots de passe tous les trois mois :

Les mots de passe uniques et complexes ont beau former une première ligne de défense, ils n’en ont pas moins une durée de vie limitée. Les changer tous les trois mois est une mesure simple à prendre proactivement pour assurer la protection des comptes, surtout lorsque l’on sait que les failles sont généralement divulguées plusieurs mois ou années après la fuite ou la vente des identifiants. Les piratages subis par Yahoo (1,5 milliard de comptes concernés) n’avaient ainsi été révélés au grand public que vers la fin de 2016, alors que les attaques avaient eu lieu en 2013 et en 2014.

Dans le pire des cas, changer régulièrement de mots de passe permettra au moins de limiter le nombre de cybercriminels ayant accès au compte piraté. Cependant, réaliser cette opération sur un grand nombre de comptes peut être à la fois chronophage et compliqué. En effet, les combinaisons de chiffres et de lettres choisies doivent être à la fois complexes et uniques pour chaque compte. La solution la plus rapide et simple pour y parvenir de façon sécurisée est d’utiliser un outil intégrant un générateur global afin de modifier l’ensemble des mots de passe en un clic.

Mettre en œuvre des outils d’authentification à deux facteurs (2FA) :

Avec les mots de passe forts, l’authentification à deux facteurs est l’une des méthodes les plus simples et efficaces pour protéger un compte de messagerie. L’utilisateur doit saisir un mot de passe, ainsi qu’une autre information afin d’accéder à son compte. Il peut s’agir d’un code à usage unique envoyé par SMS ou via une application sur un téléphone portable. Il peut également s’agir d’une empreinte digitale. Indépendamment des facteurs choisis, cette approche empêche les pirates de se connecter à votre messagerie même s’ils connaissent votre mot de passe. En outre, les utilisateurs sont également protégés des logiciels permettant de « cracker » leurs identifiants et des dommages collatéraux des tentatives de phishing réussies. Cette méthode permet ainsi de renforcer la protection des données des employés et clients. De plus en plus d’organisations sont séduites par les avantages de l’authentification 2FA et la mettent en œuvre de façon centralisée, dans le cadre de politiques de sécurité plus globales. 

Rendre les employés responsables de leurs comptes de messagerie professionnels :

Une enquête publiée récemment par BitSight révèle que ces 15 derniers mois, au moins une société sur vingt figurant dans la liste Fortune 1000 a annoncé avoir été victime d’une fuite de données. Et pourtant, dans l’ensemble, leurs performances sur le plan de la sécurité ont récemment régressé : 52 entreprises ont fait des efforts pour renforcer leurs mécanismes de protection, tandis que 103 ont fait le chemin inverse entre octobre 2016 et janvier 2017.

Il est donc clair que même les plus grandes et les plus rentables d’entre elles peuvent être à la peine sur le plan de la sécurité. Les employés sont donc en première ligne pour protéger leurs propres comptes de messagerie, et doivent prendre les mesures nécessaires dès que possible. Malheureusement, en l’état, ce paramètre reste le talon d’Achille des entreprises.

Une étude réalisée récemment s’intéressant aux mots de passe sur le plan psychologique a révélé que plus d’un tiers (39 %) des individus créaient des identifiants plus sécurisés pour leurs comptes personnels que pour leurs comptes professionnels. En outre, nous avons également découvert que bien que 75 % des répondants affirment connaître les meilleures pratiques en la matière, 61 % d’entre eux admettent utiliser malgré tout un mot de passe identique (ou similaire) sur plusieurs comptes. Toute stratégie de sécurité complète devra donc impérativement permettre aux organisations de s’assurer que leurs employés disposent des connaissances nécessaires pour jouer leur rôle dans la protection contre les cyberattaques.

Former les salariés aux meilleures pratiques en matière de sécurité des messageries

Cependant, s’ils doivent être en première ligne, il est important que les employés sachent clairement comment suivre les recommandations ci-dessus et garder leurs comptes à l’abri. Les entreprises doivent donc définir une politique de sécurité couvrant l’ensemble des informations pertinentes, et leur expliquant comment et pourquoi ils doivent prendre tout cela au sérieux. Cette politique devra également être mise à jour pour tenir compte des progrès technologies et des changements de pratiques. Par exemple, compte tenu de la popularité croissante du BYOD, les employés devront savoir ce qu’ils sont autorisés à faire ou non.  

Phishing