Sécuriser les mots de passe n’est plus une option pour les entreprises.

Sécuriser les mots de passe n’est plus une option pour les entreprises.

L’année 2020 a été marquée par l’accélération forcée de la transformation numérique, de nombreuses organisations adoptant de nouvelles méthodes de travail, de collaboration et de communication du fait de la pandémie. Si cette évolution a pu stimuler l’innovation au sein des entreprises, elle a également engendré des défis pour les professionnels de la sécurité et de l’IT. Chaque nouvelle application ou outil d’entreprise devient en effet un nouveau silo d’identité, assorti d’exigences uniques en matière de gestion des mots de passe, comme leur complexité ou la fréquence à laquelle ils doivent être renouvelés.

Mais de nombreux employés continuent de créer des mots de passe trop faibles et, selon nos recherches, 92 % des télétravailleurs français réutilisent ces identifiants. De plus, les mots de passe constituent encore souvent la seule méthode de vérification de l’identité utilisée en entreprise. C’est pourquoi les professionnels de I’IT considèrent les mots de passe comme le maillon faible des défenses de leur organisation.

Voici quatre bonnes pratiques à déployer pour réduire les risques liés aux mots de passe :

1. Imposer l’utilisation d’un mot de passe fort – Ils contiennent plusieurs caractères différents et, par conséquent, demandent plus d’efforts et de temps à un attaquant pour les déchiffrer. Les mots de passe devraient ainsi comporter au moins 10 caractères et inclure une combinaison, tels que des virgules, des pourcentages et des parenthèses, ainsi que des lettres majuscules et minuscules et des chiffres.

2. Exiger l’utilisation d’un mot de passe unique pour chaque service et chaque compte – Si les employés réutilisent des mots de passe sur plusieurs sites ou comptes, même si l’identifiant est suffisamment complexe et long, il suffira qu’un de leurs comptes soit compromis pour que tous leurs autres comptes deviennent vulnérables.

3. Déployer l’authentification à plusieurs facteurs – Cela signifie que plusieurs types d’authentification – et pas seulement un mot de passe – sont nécessaires pour déverrouiller le compte. La première partie du processus d’authentification requiert quelque chose que l’utilisateur connaît déjà, comme un mot de passe. L’autre partie du processus d’authentification implique en outre un élément que l’utilisateur ne connaît pas déjà, comme un code envoyé à son téléphone mobile par un logiciel d’authentification ou créé par une application dédiée sur le téléphone.

Ce code devient l’autre moitié de l’authentification de la connexion d’un utilisateur. Par conséquent, même si les attaquants parviennent à obtenir le mot de passe, ils ne pourront pas accéder au compte sans l’autre partie de l’authentification.

4. Gérer le risque associé aux comptes d’administrateur local sur les postes de travail - Les mots de passe faibles et les utilisateurs finaux disposant de droits d’administrateur local sur leurs postes de travail représentent un risque de sécurité important pour les organisations. De nombreuses attaques prennent naissance sur des terminaux auxquels les attaquants accèdent initialement, au moyen d’une attaque de phishing ou lorsqu’un employé télécharge et exécute par inadvertance une application malveillante. Dans de nombreux cas, l’objectif d’un attaquant est de compromettre les identifiants à privilèges qui sont enregistrés sur les postes de travail.

Les identifiants à privilèges – comme les droits d’administrateur – peuvent permettre aux attaquants de se déplacer latéralement, jusqu’à ce qu’ils obtiennent des accès aux systèmes contenant des informations personnelles identifiables sensibles ou de la propriété intellectuelle. Afin de réduire ce risque, les organisations devraient renouveler régulièrement les identifiants de l’administrateur local (y compris le compte local intégré au système d’exploitation), car il s’agit d’une mesure de sécurité importante. Au fil du temps, les organisations devraient envisager de supprimer complètement les droits d’administrateur local des postes de travail des utilisateurs finaux, pour réduire davantage le risque d’attaques à partir du point d’accès.

Retrouvez-nous sur Linkedin   

Retrouvez-nous sur Twitter      

Posted in Informatique.