Résolution 2022 : et si vous renforciez la sécurité de votre mot de passe ?

En 2021, les cyberattaques qui ont fait les gros titres visaient principalement la supply chain ou les infrastructures sensibles via des ransomwares. Pourtant, un détail de taille était souvent omis dans la presse : des mots de passe compromis étaient souvent à l'origine de la violation de sécurité initiale.

En 2022, il sera primordial pour les entreprises de se concentrer davantage sur les éléments de base, comme la sécurité des mots de passe, afin d’améliorer leur protection contre les ransomwares, mais aussi contre d'autres attaques de plus en plus courantes.

Les mots de passe des employés constituent l'épine dorsale de la stratégie de cybersécurité de toute entreprise. Les attaques par ingénierie sociale et par intelligence artificielle se multiplient et il est plus facile que jamais pour les attaquants d'obtenir des listes de mots de passe divulgués. S'il n'y a qu'une seule mesure à prendre en 2022 pour améliorer la sécurité de vos mots de passe, c'est celle-là.

Éviter de figurer sur la liste des mots de passe compromis

Il est indispensable de mettre en place une liste exhaustive des mots de passe compromis afin que leur utilisation soit bloquée par votre écosystème. Il est choquant de constater à quel point les mots de passe figurant sur les listes de mots de passe compromis sont courants.

Par exemple, des recherches menées par Specops Software à l'occasion de la Journée de la sortie du jeu vidéo “La Guerre des Étoiles” (le 4 mai 2021) ont analysé plus de 800 millions de mots de passe compromis sur une liste de 2 milliards. Résultat : les 20 mots de passe les plus compromis avaient pour thème… La Guerre des Étoiles. Le célèbre Maître Jedi "Yoda" occupe la première place, apparaissant près de 37 000 fois sur les listes de mots de passe compromis. Vient ensuite, "starwars" à la deuxième place, apparaissant plus de 22 000 fois, suivi de près par l'adorable "ewok", avec plus de 17 000 occurrences.

Pour éviter cela, une liste solide doit être constamment mise à jour à l'aide de données d'attaques réelles afin de fournir une protection contre les mots de passe utilisés dans les attaques actuelles.

Il est tout aussi important de définir des politiques de mot de passe pour les employés, de garantir les meilleures pratiques conformes aux recommandations de l’Anssi et à d'autres normes, comme le choix de phrases de passe plus longues, et d'utiliser des outils d'authentification multifactorielle.

Les nouvelles exigences de travail hybride

La variante Omicron Covid-19 étant rapidement devenue la souche dominante dans plusieurs pays, nul ne sait exactement ce qui nous attend en 2022. Une chose est sûre : l’ère des modèles de travail à distance et hybrides ne semble pas révolue de si tôt. Pour les entreprises qui prolongeront ces modes de travail, plusieurs mesures doivent être prises en 2022 afin d’améliorer leur position de sécurité globale. Voici quelques recommandations :

● Cryptez tous les appareils utilisés en dehors du bureau afin de sécuriser vos données confidentielles et celles de l’entreprise dans le cas où elles tomberaient entre de mauvaises mains lors d’une attaque.
● Mettez en place une authentification multifactorielle pour tous les services réseau et cloud. De nombreuses entreprises ont identifié le risque pour les administrateurs et autres comptes privilégiés mais n'ont pas encore déployé l'AMF à l'ensemble de leur organisation. L'année 2022 est le moment de franchir le pas. La plupart des services de cloud computing proposent aujourd'hui la fonction MFA, qui est facile à configurer en fonction des besoins de votre entreprise.
● Vérifier toujours l’identité des personnes qui appellent le service d'assistance informatique. Un acteur malveillant se faisant passer pour un employé peut contacter le bureau de service informatique et recevoir de l'aide pour effectuer une réinitialisation de mot de passe, ce qui ouvre la porte à la l’intrusion du réseau de l'entreprise avec des logiciels malveillants ou des ransomwares.

2022 est le moment idéal pour que les entreprises renforcent réellement leur position en termes de cybersécurité. Malgré l'incertitude persistante sur ce à quoi le monde ressemblera et sur les modes de travail, la sécurité des mots de passe est toujours essentielle et doit rester une priorité à l'aube de la nouvelle année.