Résoudre un problème vieux de mille ans à l’aide d’une recommandation de sécurité universelle

Dans le monde de la cybersécurité, nous sommes exposés à une avalanche de recommandations pour améliorer la sécurité informatique. Si les recommandations proposées peuvent être très pertinentes, elles traitent généralement d’un seul sujet à la fois.

Alors quelle pourrait être la recommandation de sécurité n°1, universelle et imbattable, que tout le monde pourrait adopter, partout et à tout moment ? Je vais vous donner un indice : elle est liée aux mots de passe.

Afin de préparer le terrain, examinons les recommandations infosec que nous rencontrons quotidiennement. Des compétences et de la cyber-sensibilisation en sécurité à la gestion des correctifs, toutes ciblent des problèmes allant du phishing à la gestion des vulnérabilités, mais ne sont pas nécessairement pertinentes pour chaque employé au sein d’une organisation, ni nécessairement pour chaque personne sur leur appareil personnel à la maison. En outre, les recommandations relatives à la formation en cybersécurité sont généralement adaptées à un type d’organisation spécifique et ne sont pas nécessairement applicables dans différents secteurs en raison d’un certain nombre de variables.

   

Un point commun : l’usage de mots de passe

 

Peu importe l’employé et son lieu de travail, les mots de passe sont la seule chose que tout le monde utilise. Nous utilisons des mots de passe pour le travail, pour les ressources sur Internet, pour les médias sociaux, pour nos applications. Nous les utilisons sous forme de codes d’authentification et de codes confidentiels pour les services bancaires, les appareils mobiles et les systèmes d’alarme pour le bureau et la maison. Les mots de passe sont omniprésents et nous les utilisons constamment, même sur des systèmes plus récents qui prétendent ironiquement être "sans mot de passe". Dans ces cas, un mécanisme identifie toujours vos droits d'accès et les stocke "d'une manière ou d'une autre".

Les mots de passe remontent au moins à l'ère de l'armée romaine. Ils étaient autrefois gravés dans le bois et déplacés par les soldats via la garde active en service. En substance, les mots de passe étaient une ressource partagée car plusieurs personnes en avaient connaissance à un moment donné.

Aujourd'hui, la création et le stockage le plus courant de tout mot de passe se font dans notre cerveau. Ce dernier est plein de mots de passe et souvent, nous les oublions, les réutilisons, devons les partager et sommes obligés de les documenter dans des post-it, des feuilles de calcul, et même de les communiquer par courrier électronique ou par SMS.

Ces méthodes non sécurisées de création, de partage et de réutilisation de mots de passe sont responsables des types de violations de données qui font régulièrement la une des journaux, faisant office de mise en garde sur ce qui risque fort de se produire lorsque de bonnes stratégies de gestion des mots de passe ne sont pas respectées. Les ramifications traversent à la fois nos vies professionnelle et personnelle.

Bonnes pratiques  

Les mots de passe sont omniprésents et nous devons trouver une solution pour résoudre ce problème vieux de 1000 ans. Par conséquent, la recommandation de sécurité la plus importante pour tout le monde est la suivante : 

• Assurez-vous que chaque mot de passe que vous utilisez est unique et qu'il ne soit partagé avec aucune autre ressource (y compris des personnes) à un autre moment.

Je reconnais qu'il est improbable que la plupart des utilisateurs se souviennent d'une liste de mots de passe déjà considérable et de plus en plus longue (120 en moyenne pour les utilisateurs professionnels), mais il existe des outils, des solutions et des techniques de gestion des mots de passe afin de réduire considérablement les menaces liées à leur compromission.

Les systèmes d'exploitation, les navigateurs et les applications modernes peuvent aider à créer des mots de passe uniques pour chaque ressource et à les stocker en toute sécurité pour pouvoir les récupérer, au lieu qu'un humain ne soit obligé de s'en souvenir. Les mots de passe sont essentiellement stockés derrière un mot de passe « maître » unique que seul l'individu connaît. Bien que ce soit une bonne solution pour les utilisateurs particuliers et les petites entreprises (dans une mesure limitée), il n’est pas adapté à la plupart des entreprises qui ont besoin de partager des comptes (en raison de limitations technologiques) et de générer automatiquement des mots de passe uniques, par exemple pour suivre les changements d’employés ou pour répondre aux directives de conformité réglementaire.

Une autre bonne pratique de sécurité à prendre en compte : un mot de passe seul ne devrait jamais être le seul mécanisme d'authentification pour les données critiques, les systèmes sensibles et, éventuellement, les opérations quotidiennes sur ces ressources. L'authentification multi-facteurs ou l'authentification à deux facteurs doit être superposée pour garantir qu'un mot de passe unique par compte est effectivement utilisé par la bonne identité lorsque l'authentification est requise. L'un des principaux avantages de cette recommandation de sécurité universelle est qu'elle garantit que si votre mot de passe est volé, divulgué ou utilisé de manière inappropriée, il ne pourra être utilisé que sur la ressource correspondante attribuée. Si les mots de passe sont uniques, les options et les mouvements des attaquants sont considérablement limités, bien qu'ils puissent essayer de tirer parti de techniques avancées pour dérober d'autres informations d'identification au système qu'ils ont compromis, par exemple en grattant des mots de passe dans la mémoire. Dans ce cas, la génération de mots de passe uniques et la rotation fréquente des mots de passe permettront d'atténuer l'attaque.