La sécurité des mots de passe, en tête des recommandations de sécurité informatique

Dans le monde de la cybersécurité, les listes de bonnes pratiques pleuvent. La plus importante de toutes et qui s'applique à absolument tout le monde concerne les mots de passe.

Dans le monde de la cybersécurité, les recommandations et les listes de bonnes pratiques pleuvent. Ces recommandations peuvent intervenir dans le contexte de l’émergence de nouvelles menaces, de la médiatisation de cas de compromission ou pour décrire en détail différents vecteurs d’attaque. Si cela peut s’avérer très utile pour sensibiliser les utilisateurs, professionnels ou non de l’informatique, ces discours sont souvent trop spécifiques : certes ils reprennent de grandes lignes universelles mais leurs préconisations peuvent rarement être appliquées par tous, partout et tout le temps. Il y a pourtant une recommandation de sécurité informatique qui est bel et bien la plus importante de toutes et qui s’applique à absolument tout le monde, professionnels de l’informatique ou non. Un indice ? Elle concerne les mots de passe.

Les principales menaces pour la sécurité informatique 

Les menaces pour la sécurité informatique prennent plusieurs formes. Voici les 5 principales auxquelles sont confrontées les équipes de sécurité informatique :

  1. Les ransomwares : au cours de l’année passée, le nombre des compromissions provoquées par ransomware a augmenté de 41 %, induisant un coût majoré (le coût moyen d’une attaque de ransomware en 2022 était de 4,54 millions de dollars) et le délai pour identifier et contenir la menace était de 49 jours de plus que la moyenne.
  2. Les attaques de phishing : c’était la seconde cause la plus fréquente de compromission de données en 2022, avec un coût moyen de 4,91 millions de dollars.
  3. Les menaces d’initiés : avec un coût moyen de 4,18 millions de dollars en 2022.
  4. Les attaques cloud : 45 % des compromissions se sont produites dans le cloud en 2022, avec un coût moyen de 4,14 millions de dollars.
  5. La compromission d’identifiants : les identifiants volés ou compromis sont la cause la plus commune à l’origine d’une compromission de données en 2022, avec un délai de détection qui est aussi le plus long, à 327 jours. Ce vecteur d’attaque induit des pertes supérieures de 150 000 dollars au coût moyen d’une compromission de données.

Toutes les solutions de sécurité informatique sont-elles pertinentes ?

Chaque jour, nous recevons des recommandations de sécurité informatique qui portent aussi bien sur les compétences de sécurité et la sensibilisation à la cybersécurité que sur la gestion des correctifs. Cependant ces informations ne s’adressent pas nécessairement à tous les salariés d’une entreprise, pas plus qu’à tous ceux qui vont utiliser leurs propres appareils chez eux. Quant aux formations à la cybersécurité, elles sont généralement pensées pour un type d’entreprise et pas nécessairement applicables à d’autres secteurs verticaux. Cependant, il existe une recommandation de sécurité applicable à tous.

Un point commun à tous

Qui que l’on soit, chez soi ou en entreprise, sur site ou à distance, employé ou fournisseur, s’il y a bien une chose que nous avons tous en commun, c’est le mot de passe. Nous utilisons des mots de passe pour le travail, pour accéder à des ressources sur Internet, pour consulter les réseaux sociaux, pour nos applications. Il s’agit aussi de codes secrets et PIN pour les services bancaires, les appareils mobiles ou encore pour le système d’alarme du bureau ou de la maison. Les mots de passe sont partout et nous en avons constamment besoin, même sur les systèmes récents qui se prétendent pourtant « passwordless », or cette technologie repose bien entendu sur un mot de passe ou un code secret en coulisses. Il y a donc bien un mécanisme sous-jacent qui identifie les droits d’accès, lesquels sont bien conservés quelque part. 

Les mots de passe datent des Romains. À cette époque, les militaires se passaient des morceaux de bois où étaient gravés des mots de passe qui transitaient par le soldat de garde. Aujourd’hui, les mots de passe sont essentiellement mémorisés, y compris chaque fois que nous voulons en changer. Il n’est donc pas rare que l’on en vienne à en oublier, à réutiliser les mêmes, à les partager quand on ne les écrit pas sur des notes ou dans des fichiers, sans oublier la pire pratique de toutes : communiquer son mot de passe par e-mail ou SMS.

C’est un fait, les mots de passe sont partout. Il nous faut donc un principe simple pour encadrer cette pratique millénaire. Chacun doit, en premier lieu, s’assurer d’utiliser systématiquement un mot de passe unique et ne jamais le partager avec quiconque, homme comme machine. 

La recommandation numéro 1 : appliquer systématiquement ces 3 bonnes meilleures pratiques 

  • Utiliser un gestionnaire de mot de passe capable de générer des mots de passe uniques, de les gérer et de les faire tourner.
  • Ne pas se contenter d’un seul mécanisme d’authentification
  • Auditer les anciens comptes pour désactiver ou clôturer ceux devenus inactifs car les comptes inactifs ou devenus orphelins peuvent être des portes d’accès pour des agresseurs désireux d’infiltrer l’entreprise et de progresser latéralement.

La sécurité insuffisante des méthodes permettant de créer, partager et réutiliser des mots de passe est en cause dans les compromissions de données qui font régulièrement la une des médias, et qui servent d’épouvantail pour prévenir des risques importants encourus faute d’une stratégie efficace de gestion des mots de passe. Avec des ramifications partout, dans nos vies personnelles et professionnelles. Heureusement, la technologie existe aujourd’hui pour nous y aider avec des utilitaires, appelés gestionnaires de mots de passe ou des solutions d’entreprise pour la gestion des accès privilégiés.