La sécurité de nos systèmes informatiques ne doit plus dépendre de mots de passe

Aujourd’hui, sur les réseaux d’entreprise transitent de plus en plus d’informations stratégiques. Et la part toujours croissante de documents dématérialisés accentue un peu plus le côté stratégique de ces données. Dans le même temps, les actualités révèlent trop fréquemment des cas de vol d’informations sensibles, d’espionnage...

Les mots de passe suffisent-ils encore ?

Ou bien doit-on envisager d’autres solutions pour sécuriser nos informations ? Négligence des utilisateurs, techniques ultra sophistiquées utilisées par les hackers… les mots de passe constituent une bien faible protection pour les informations et les ressources des entreprises.
Mais, au-delà, on peut identifier 3 raisons majeures pour lesquelles la sécurité d’une entreprise ne devrait plus dépendre d’un simple mot de passe.

Les limites du mot de passe

La première des limites est la réutilisation des mots de passe. Il est déjà difficile de se souvenir d'un mot de passe abscons composé d'un mélange de symboles, de chiffres et de lettres ; si cet effort de mémoire doit être effectué pour chaque plate-forme web à laquelle on se connecte cela devient vite un véritable casse-tête chinois. De facto, environ 61% des utilisateurs utilisent le même mot de passe pour accéder à des plates-formes différentes (Adobe, LinkedIn, Groupon, Gmail, etc.), que ce soit pour un usage personnel ou professionnel. Alors si l’une de ces plates-formes vient à être compromise, les ressources de l’entreprise se trouvent grandement menacées.
La seconde est l’ingénierie sociale : ou la collecte et l’utilisation d’informations sur les utilisateurs visés. En effet, afin de pirater le compte d’un utilisateur, les hackers vont effectuer des recherches détaillées sur leur cible pour lancer une offensive en se servant des données qu’ils auront ainsi recueillies. L’attaque résultante pourra prendre la forme d'un e-mail de phishing, adressé à la cible et conçu de manière à lui donner l'impression que le message est légitime (« Nous avons identifié un achat sur votre compte qui nous semble suspect. Pour vous assurer que vous avez bien effectué l’opération vous-même, veuillez-vous rendre à cette adresse pour réinitialiser votre mot de passe »). Les hackers pourront également se faire passer pour leur cible auprès de services d’assistance technique en utilisant les informations qu’ils auront récoltées pour répondre aux questions de sécurité. Quelle qu’en soit la forme, les attaques d'ingénierie sociale ont très fortement augmenté et représentent un vrai danger pour les utilisateurs dépendant des mots de passe.
Enfin, la récupération des formulaires permet aux hackers de disposer du nom de l’utilisateur ainsi que de son mot de passe. Ils peuvent ainsi se connecter sur le compte de cet utilisateur et accéder directement au réseau privé de l’entreprise ou à des ressources confidentielles.

Alors, le mot de passe est-il devenu désuet ?

Le mot de passe peut toujours faire partie de la stratégie de sécurisation des données, à condition d’utiliser une identification à 2 niveaux, en couplant son utilisation avec d’autres solutions d’identification, parmi, par exemple :
 

• Le Mot de Passe Unique : un code de connexion, valide une seule fois, est généré par un jeton d'authentification ou par un SMS. A chaque session, l'utilisateur reçoit un code unique et l'utilise en plus de son nom d'utilisateur et de son mot de passe afin de s’authentifier.
  Très facile à utiliser, cette solution présente pourtant une limite : pour les sociétés dont les collaborateurs ont accès à plusieurs appareils, cette pratique peut s'avérer difficile et frustrante.
• La Biométrie : citons pour exemple les empreintes digitales ou la reconnaissance faciale.
  Ces techniques sont pratiques (aucun jeton d'authentification à transporter, par exemple); cependant, le RSSI devra prendre en compte de nombreux éléments complémentaires pour son implémentation, comme la disponibilité des capteurs, l'intimité des utilisateurs et les coûts d’installation et de maintenance.
• Les Certificats Numériques : équivalent virtuel d'une carte d'identité, le certificat va garantir que l'utilisateur est bien celui qu’il prétend être, grâce à une vérification effectuée par une autorité de certification reconnue ; il pourra ainsi accéder aux ressources qui lui sont ouvertes. Cette solution présente également un avantage intéressant : les services et les réseaux des entreprises, tels que les applications Google ou les réseaux privés virtuels, peuvent être configurés de façon à n'accepter que les certificats numériques correspondant à un certain profil, comme le nom de l'organisation ou la fonction de l'employé.
  Dans les faits, le certificat est installé sur l'ordinateur de l'utilisateur et il est activé automatiquement à chaque fois que nécessaire. L’utilisateur n’a rien à faire, son certificat s’occupe de tout. En outre, il est parfaitement possible d’installer un même certificat sur plusieurs appareils et, à l'inverse des mots de passe uniques ou de la biométrie, il ne nécessite aucun équipement supplémentaire.
  

Toutes ces solutions garantissent une sécurité et un contrôle des accès bien plus efficaces que l'utilisation seule de mots de passe.
Mais il revient à chacun d'évaluer pragmatiquement les « pour » et les « contre » de chacune d'entre elles. Ainsi, chaque entreprise pourra choisir en conscience la solution qui répond le mieux à ses attentes et à sa structure.
Cependant, gardons tout de même à l’esprit, lorsque nous réfléchissons à l’implémentation de ces solutions, les éléments suivants :

• l'éventuelle charge de travail additionnelle que devra supporter le service informatique,
• les coûts et les exigences de gestion impliqués,
• la simplicité de la révocation du système,
• les contraintes supplémentaires subies par les utilisateurs (et veiller à ce qu'elles soient aussi minimales que possible).