L’effet domino : un guide détaillé sur la protection des identités en ligne pour les entreprises
Malgré les récentes déclarations sensationnalistes de celui à l’origine d’une « bible » sur la sécurité des mots de passe, confessant que ces conseils étaient « mauvais », les mots de passe ne sont pas près de disparaître. Ils restent le moyen le plus efficace et le plus convivial pour un individu ou une organisation de protéger un compte ou service.
Des termes et des lettres chargés de sens sont bien plus faciles à mémoriser que des chiffres. Voilà pourquoi les gens oublient fréquemment leur code PIN, par exemple. Et même si les outils biométriques ont un rôle à jouer, ils continuent d’être dépendants d’appareils et de terminaux, alors que les mots de passe sont indépendants de tout appareil.
La meilleure approche en matière de sécurité est multicouche, en profitant pleinement de l’éventail des outils et bonnes pratiques disponibles. Et jusqu’à ce que les mots de passe disparaissent complètement de l’ensemble des applications et systèmes, il est crucial de les gérer de manière appropriée.
Attention à l’« effet domino »
Il est peu probable que vous n’ayez pas entendu parler de certaines des failles de sécurité les plus récentes. HBO, Bupa ou Amazon, pour n’en citer que quelques-unes. Qu’en est-il des piratages informatiques plus anciens ? Nous sommes certainement sortis de la zone dangereuse suite à ces incidents antérieurs. Faux. Dropbox avait subi un piratage informatique il y a plus de cinq ans et près de 70 millions de comptes avaient été impactés. Il ne s’agit pas d’un nombre négligeable. Mais il est encore plus intéressant (et nous mettons en garde les entreprises à ce sujet depuis quelque temps) d’apprendre que ce piratage était apparemment lié à un autre piratage également très médiatisé.
Le mot de passe de l’employé de Dropbox, exploité pour le piratage, avait été initialement divulgué lors du célèbre piratage de LinkedIn en 2016. Cet exemple illustre un intéressant « effet de chaîne » ou « domino » que les violations de données peuvent avoir sur plusieurs organisations. Il s’agit simplement de la partie émergée de l’iceberg. Qui sait combien de temps s’écoulera avant que nous n’entendions parler du prochain piratage en chaîne ? Malheureusement, cette situation a été acceptée comme le statu quo : trois organisations sur cinq s’attendent à être piratées en 2017, et 29 % pensent qu’elles ne sauront même pas l’avoir été lorsque le piratage aura lieu.
Les gens ne gèrent toujours pas correctement leurs règles de sécurité des mots de passe, que ce soit à cause de leur incapacité à le faire due à des pressions professionnelles, ou du manque de temps ou d’accès à des formations sur la cybersécurité. Une mauvaise gestion des mots de passe est considérée comme un domaine à haut risque par pas moins de 25 % des organisations.
Nous avons donc créé un guide détaillé pour les entreprises afin de les guider dans la mise en place de mesures préventives pour interrompre l’« effet domino ».
- Dites OUI à des mises à jour régulières
Lorsque vous recevez la notification de mise à jour de l’un de vos logiciels, « Rappelez-le-moi demain » n’est pas une option à sélectionner jour après jour. Chacun d’entre nous a probablement déjà ignoré des mises à jour. Nous menons tous une vie trépidante, avec une abondance d’e-mails et de notifications réclamant notre attention au quotidien. Nous sommes trop occupés pour attendre que notre téléphone ou notre ordinateur ne redémarre, et si nous attendions qu’il soit de nouveau prêt à fonctionner, nous pourrions être obligés de redonner une fois encore nos identifiants de connexion. Mais les mises à jour de logiciels ne sont pas systématiquement conçues pour vous offrir la dernière mise à jour, mais plutôt pour régler des problèmes que vous ne voyez pas et qui rendent vos informations vulnérables. Une faille dans le logiciel que vous utilisez est une faille dans la sécurité.
- Profitez de systèmes d’authentification multifacteur
L’authentification multifacteur (MFA) est un système de sécurité nécessitant au moins deux méthodes d’authentification afin de vérifier l’identité de l’utilisateur pour une connexion ou toute autre transaction. Elle permet de trouver le juste équilibre entre sécurité et commodité pour les utilisateurs en associant un élément en votre possession (comme un téléphone mobile) à un élément que vous connaissez (comme le nom de votre premier animal de compagnie ou professeur des écoles). Des sites tels que Google ou PayPal offrent ces services. Au final, elle permet d’augmenter le niveau de certitude que la personne adéquate obtient un accès et devient une méthode de contrôle de sécurité de plus en plus courante. Il existe également l’option supplémentaire de vérification des modifications apportées aux informations utilisateur à haut risque par téléphone, SMS ou e-mail.
- Actualisez vos mots de passe (et renforcez-les)
Tout le monde dispose de plusieurs comptes, des adresses électroniques aux comptes bancaires en passant par les réseaux sociaux. Il n’est pas interdit de penser que la plupart des gens finissent par utiliser le même mot de passe pour plusieurs sites. Notre étude montre que pas moins de 65 % des gens le font. Ce chiffre est alarmant pour des raisons évidentes, notamment compte tenu de la façon dont de nombreux pirates informatiques ont porté leur attention sur l’exploitation active du vecteur humain. Donc, outre le fait de vous assurer que vos mots de passe sont sûrs, vous devez également les mettre à jour régulièrement. Certains sites recommandent, voire exigent que vous modifiiez votre mot de passe en cas de détection d’une menace de sécurité ou de survenue d’un piratage informatique. D’autres s’appuient exclusivement sur votre initiative. Mettez en œuvre vos propres règles de gouvernance et actualisez vos mots de passe aussi souvent que possible afin de vous assurer de ne pas avoir d’ennuis avec l’effet domino.
- Portez toujours votre casque de sécurité
Les individus représentent la principale menace de sécurité d’une organisation. L’ingénierie sociale et l’erreur humaine ont été à l’origine de nombreux piratages informatiques majeurs. Ayez toujours conscience de l’endroit où vous vous trouvez sur Internet et méfiez-vous particulièrement de tout élément ou toute personne vous demandant de « vous connecter » ou de fournir tout « secret » ou toute information personnelle. Prêtez attention aux sites Internet en HTTPS dans la barre d’adresse de votre navigateur. Si vous ne voyez pas un petit cadenas à côté de l’URL, sachez que le site n’est pas sécurisé.
- Gérez les accès et les identités
La protection des identités est vitale : pour la sécurité de vos données personnelles, des données d’entreprise sensibles et des données sensibles ailleurs dans l’organisation susceptibles de n’avoir même aucun lien avec vous. Comprenez qui a accès à quoi, ce qui est fait de cet accès, puis gérez cet accès tout au long du cycle de vie de chaque utilisateur. Cette démarche vous mettra sur la voie d’une gestion des identités et des accès plus judicieuse, plus fiable et plus proactive, ainsi que d’une meilleure approche globale en matière de sécurité informatique au sein de votre organisation.