En 2005, le chercheur en sécurité Mark Burnett a écrit un livre intitulé Perfect Passwords, dans lequel il conseillait aux gens de choisir une journée par année pour vérifier et changer leurs mots de passe. Intel a aimé l'idée d'une journée spéciale au cours de laquelle les gens se concentreraient sur la question des mots de passe (et pas seulement sur la rotation des mots de passe). C’est ainsi que, le 2 mai 2013, le géant de la technologie a lancé la première Journée mondiale du mot de passe, qui a lieu chaque premier jeudi du mois de mai.
La semaine dernière, à l'occasion de la neuvième Journée mondiale du mot de passe 2022, nous posions la question suivante : les organisations et leurs utilisateurs finaux s'améliorent-ils en matière de gestion des mots de passe ou, au contraire, est-ce que la situation empire? Il s'avère que la réponse se situe entre les deux! Commençons par les tendances et les pratiques positives.
L’authentification à deux facteurs et les gestionnaires de mots de passe ont le vent dans les voiles
Selon le sondage 2022 de Bitwarden sur les décisions relatives aux mots de passe, 88 % des décideurs TI dans le monde utilisent l'authentification à deux facteurs (2FA). Évidemment, l'authentification à deux facteurs n'est pas à toute épreuve. Pourtant, il s'agit d'un élément essentiel d'une bonne gestion des mots de passe. Le sondage a également révélé que 86 % d'entre eux utilisent des gestionnaires de mots de passe, ce qui représente une augmentation de 9 % par rapport à l'année précédente.
Si le recours croissant aux gestionnaires de mots de passe est une bonne nouvelle, il ne s'applique pas nécessairement à tous les types d'organisations. Le rapport de Devolutions sur le portrait de la cybersécurité dans les PME pour 2021-2022 a révélé que 71 % des PME utilisaient un gestionnaire de mots de passe, ce qui représente une baisse de 10 % par rapport à l'année précédente.
Qu'est-ce qui peut expliquer cette baisse? La raison la plus probable est que, malgré de nombreuses preuves du contraire, certaines PME continuent de croire qu'elles ne sont pas aussi vulnérables aux cyberattaques que les grandes organisations et les entreprises. En gros, ces PME pensent : « Nous n'avons pas encore été piratés. Donc, les méthodes que nous utilisons pour stocker et partager les mots de passe doivent être sécuritaires. » Cette perception est manifestement fausse, mais comme le dit le vieil adage : les vieilles habitudes ont la vie dure (les bonnes comme les mauvaises!).
Gestionnaires de mots de passe : dans le nuage ou sur site?
Dans un instant, on verra d'autres tendances troublantes en matière de gestion des mots de passe révélées par l'enquête. Mais d'abord, plongeons dans les gestionnaires de mots de passe et examinons un aspect essentiel qui, pour certains, est complexe et déroutant : solution infonuagique vs sur site.
Cette décision devrait porter avant tout sur les besoins spécifiques d'une organisation en matière de gestion des mots de passe, qui varient en fonction de multiples facteurs comme (mais pas seulement) :
-
Emplacement et rôles des utilisateurs
-
Exigences de disponibilité
-
Taille et complexité de l'environnement informatique
-
Valeur des données à protéger
-
Exigences de conformité et de sécurité
Dans certains cas, il est plus sage de mettre en œuvre des déploiements hybrides qui combinent des éléments des solutions en nuage et sur site. En plus, une solution unique peut être déployée plusieurs fois afin d'appliquer des politiques comme la séparation des tâches.
Quelle que soit la solution de gestion des mots de passe choisie par une entreprise (sur site, dans le nuage, gratuite ou payante), il est essentiel de définir clairement tous les besoins (actuels et anticipés) avant d'acheter une technologie.
Le stockage, la sélection et le partage des mots de passe restent un problème
On vient tout juste de mentionner que certaines tendances en matière de gestion des mots de passe sont problématiques plutôt que positives. Voici donc des détails croustillants : selon l'enquête Bitwarden mentionnée plus haut, 53 % des personnes interrogées ont déclaré stocker les mots de passe dans des feuilles de calcul et autres documents, 42 % se fient à leur mémoire et 29 % utilisent un stylo et du papier.
Et l'histoire ne s'arrête pas là : 53 % des décideurs TI partagent des mots de passe par courrier électronique, soit 14 % de plus que l'année dernière. Il ne fait aucun doute que l'expansion rapide du travail à distance est à l'origine de cette tendance. De plus, malgré les nombreuses cyberattaques très médiatisées et les vulnérabilités croissantes dues au travail à distance, 92 % des personnes interrogées admettent réutiliser les mêmes mots de passe sur plusieurs comptes, 41 % partagent des mots de passe par clavardage et 31 % dans une conversation.
Éliminer les mots de passe, tout simplement?
En théorie, les vulnérabilités associées aux mots de passe pourraient être traitées en les éliminant. Malheureusement, en pratique, ce n'est pas (du moins pour l'instant) une solution viable pour la plupart des organisations (et pour pratiquement toutes les PME) qui ne peuvent pas implanter de manière pratique ou abordable une infrastructure entièrement sans mots de passe. De plus, malgré tous leurs inconvénients, les mots de passe sont très polyvalents et peuvent être utilisés n’importe où, sur n'importe quel appareil, à tout moment.
Comme il n'est pas possible d'éliminer les mots de passe, la meilleure solution est d’adopter une approche hybride. Cette approche consiste à utiliser des comptes liés à un fournisseur d'identité pour s'authentifier auprès d'une solution de gestion des accès privilégiés (PAM). Ainsi, les utilisateurs finaux n'ont besoin que d'un seul mot de passe pour se connecter aux comptes des actifs autonomes non fédérés (par exemple, les imprimantes, les équipements réseau, les machines spécialisées, etc.), tandis que la solution PAM facilite la connexion à tous les autres comptes. Les solutions PAM plus avancées permettent également aux organisations d'ajouter un plus grand contrôle grâce à des fonctions comme l'injection sécurisée des informations d’identification et l'utilisation basée sur le temps.
Regarder vers l’avenir
Un pourcentage impressionnant de 81 % des violations liées au piratage implique des mots de passe volés ou faibles. Et le coût moyen d'une seule violation de données est monté en flèche pour atteindre 4,24 millions de dollars US par incident, soit le montant le plus élevé jamais atteint.
La gestion, le stockage et le partage des mots de passe (y compris la surveillance de leur utilisation) sont des mesures que toutes les organisations DOIVENT prendre afin de renforcer leurs défenses et minimiser leur exposition aux cyberattaques. Lors de la Journée mondiale du mot de passe, nous encouragions vivement toutes les organisations à en faire une priorité absolue. Les risques et les enjeux sont plus élevés que jamais et les bonnes pratiques de gestion des mots de passe ne sont pas seulement importantes. Elles sont essentielles.