Pourquoi les mots de passe ne suffisent plus ?

Si les achats en ligne ont simplifié le quotidien de beaucoup de consommateurs, l'acquisition d'identifiants dérobés est devenue tout aussi simple.

En effet, un accès -RDP - soit une prise de contrôle à distance d’un poste Microsoft Windows – est disponible pour moins de 10 dollars sur le Dark Web. Les hackers novices et aguerris peuvent donc s'emparer des mots de passe et des noms d'utilisateur très facilement.

Avec de longues listes de mots de passe à leur disposition, les cybercriminels ont donc rarement besoin de faire preuve de créativité. Une technique simple, telle que le credential stuffing, est ainsi suffisante pour pénétrer un environnement IT d'entreprise. Et si ce n'est pas le cas, une attaque automatisée par force brute pour deviner et tester des variantes de nom d'utilisateur/mot de passe à grande échelle constitue un solide plan de secours.

Quelle que soit la robustesse des politiques de mot de passe et des efforts de sensibilisation au sein d’une organisation, cela ne sera pas suffisant pour faire face aux attaques basées sur l'identité ; et ce pour plusieurs raisons :

Les bonnes pratiques ne sont toujours pas appliquées

Selon nos recherches, un utilisateur a en moyenne accès à 30 applications et comptes dans le cadre de son travail ; et à environ 55 supplémentaires à la maison. Or, obliger les utilisateurs à s'authentifier pour chaque système et application, et donc mémoriser des mots de passe uniques et complexes, est devenu trop lourd. De nombreux employés ne changent par conséquent qu’un caractère d’un ancien mot de passe lorsqu’ils doivent en créer un nouveau, enregistrent les mots de passe dans leur navigateur ou les stockent dans des gestionnaires fournis par l'entreprise mais conçus pour les consommateurs, et s'en tiennent là.

Les humains ne sont pas les seuls à utiliser des identifiants

Les identités non humaines sont 45 fois plus nombreuses que les identités humaines, toujours d’après nos recherches. Parmi ces identités machine, 68 % ont en outre accès à des données et à des actifs sensibles de l'entreprise. À mesure que les organisations accélèrent leur passage à des environnements hybrides ou multi-cloud, les lacunes que les attaquants peuvent utiliser comme points d'entrée croient en parallèle.

Les mauvaises accréditations et configurations persistent

Qu'elles soient pressées par le temps, manquent de compétences techniques spécifiques au cloud ou subissent la pression des développeurs et des équipes d'ingénierie, les équipes IT accordent bien souvent aux identités plus de privilèges que nécessaire à des fins de productivité. Comme les autorisations excessives en matière de cloud s'accumulent à chaque nouvelle initiative informatique ou à chaque transformation numérique, l'exposition aux risques augmente et la dette de cybersécurité s'accumule.

La pression constante de productivité a également entraîné une augmentation des identifiants et des clés d'accès intégrés (ou codés en dur) dans le code. Ces informations d'identification sont rarement, voire jamais, modifiées et souvent laissées exposées. Pourtant, le résultat peut être désastreux, comme l'a montré la récente cyberattaque contre Uber : en compromettant les identifiants d'un utilisateur non privilégié, le cybercriminel a pu localiser les identifiants de l'administrateur de la solution de gestion des accès à privilèges (PAM) d'Uber dans un partage réseau mal configuré. Cette situation a mis en évidence la nécessité de disposer de solides couches de défense en profondeur autour des coffres-forts qui stockent les identités et autres systèmes de sécurité critiques.

Les équipes de sécurité informatique peuvent vite être dépassées

Une entreprise de 1 000 employés dédierait 495 000 dollars par an, selon nos études, pour résoudre les problèmes liés aux mots de passe. Et la réinitialisation des mots de passe n'est que la partie émergée de l'iceberg. Les services de sécurité informatique peinent notamment à se défendre contre les ransomwares et les attaques visant la supply chain des logiciels, car le manque de ressources qualifiées continue de peser sur le secteur.

Se débarrasser totalement des mots de passe semble en théorie être la solution miracle, mais les utilisateurs en sont loin en pratique. Et les gestionnaires de mots de passe traditionnels, comme beaucoup de solutions IAM, n'ont pas été conçus pour protéger et gérer en permanence les milliers d'identités au sein d’une entreprise ; et ils n'étaient pas non plus destinés à se déployer vers les datacenters, les environnements hybrides, multi-cloud ou SaaS. Il est donc essentiel de se tourner vers une autre approche. Il ne s'agit plus tant d'empêcher les attaquants d'entrer, que de rendre très difficile les déplacements dans le réseau sans déclenchements de signaux d'alarme. Une structure de défense en profondeur centrée sur la sécurité des identités est ainsi à même de faire passer des politiques de mots de passe à un niveau supérieur et de se rapprocher de la stratégie Zero Trust.