Voici pourquoi les PME devraient être particulièrement attentives à leurs mots de passe.
Selon le rapport d'enquête concernant les violations de données édité en 2017 par Verizon, 81% de ces dernières sont causées par des mots de passe peu sécurisés ou ayant été dérobés. Étant donné que plus de 5 milliards de mots de passe ont été divulgués en ligne, ceux ayant une protection minimum sont forcément d'une efficacité relative.
Et si vous pensiez que votre entreprise était de moindre intérêt aux yeux des cybercriminels, vous feriez bien de changer d'avis. Les PME représentent le terrain de chasse privilégié des malfaiteurs car elles disposent de contenus bien plus précieux que ceux de simples consommateurs, tout en étant plus vulnérables que les grosses entreprises qui, elles, diposent de budgets de sécurité plus importants.
Lire la suite
Ce problème est d'autant plus conséquent dès lors que des sociétés intègrent divers appareils dits intelligents au sein de leur infrastructure informatique. Alors que l'IdO (Internet des Objets) est supposé aider les entreprises à fluidifier et faciliter le bon déroulement de leurs missions au quotidien, ces dispositifs sont aussi bien souvent vulnérables. Ils fonctionnent en règle générale à l'aide de paramétrages prédéfinis (tels que nom d'utilisateur et mot de passe) qui peuvent exposer à des risques entraînant des conséquences désastreuses.
De plus, la nouvelle réglementation européenne (RGPD) exige que toutes les organisations, quelle que soit leur taille, s'assurent de la sécurité de leurs données en implémentant des ""mesures techniques et organisationnelles appropriées"". Ainsi, si une menace apparaît et que les mots de passe ne sont pas jugés suffisamment sécurisés, une amende importante risque d'être appliquée.
Dans le monde entier, les lois et règlements sur la protection de la vie privée ont été renforcés. En Australie, c'est le NDB (National Data Breach) qui a récemment été adopté par le biais de la loi australienne sur la protection de la vie privée (Australian Privacy Act) tandis que différents états américains ont désormais des exigences strictes en matière de signalement des violations de données. Cela permet de renforcer les normes applicables à toute personne détenant des données sur des résidents de ces juridictions.
Comment les pirates dérobent-ils les mots de passe ?
1. L'une des techniques les plus simples dans la vie "réelle" consiste à regarder par-dessus l'épaule de sa victime : le malfaiteur observe simplement sa proie taper son mot de passe.
2. Les pirates usent également de la faiblesse humaine en ayant recours aux techniques d'ingénierie sociale : il peut s'agir d'un formulaire ressemblant à un document officiel ou d'un email (attaque dite de hameçonnage) qui apparaît de prime abord comme étant émis par quelqu'un de confiance afin de persuader l'utilisateur (parfois même aguerri) de communiquer ses mots de passe.
3. Les cybercriminels ayant déjà trouvé une brèche pour s'introduire dans le système d'une entreprise peuvent quant à eux utiliser des malwares afin de rechercher des documents contenant des mots de passes ou codes d'accès qu'ils envoient ensuite sur leurs serveurs de contrôle (C&C). Les black hats (hackers mal intentionnés) peuvent également extraire des fichiers contenant des mots de passe cryptés puis les décompresser hors connexion.
4. Certaines techniques d'attaques parmi les plus expérimentées permettent l'interception du trafic réseau via des appareils utilisés à distance par des employés ou dans un lieu public.
5. Enfin, les attaques par force brute (bruteforce) constituent l’un des moyens les plus répandus pour casser un mot de passe. Les scripts automatisés essaient des millions de combinaisons de mots de passe sur une courte période jusqu'à ce que le bon soit trouvé. C'est pourquoi il est essentiel de les rallonger toujours un peu plus chaque année. Plus un mot de passe est complexe, plus les cybercriminels ont besoin de temps pour le deviner.
Comment construire une bonne politique de mots de passe ?
Pour vous assurer que votre entreprise a une politique efficace en matière de mots de passe, vous pouvez suivre les procédures suivantes :
- Les employés doivent être entraînés à construire des mots de passe robustes.
- Le département informatique doit implémenter des règles lors de la définition et de l'entrée en vigueur de la politique de mots de passe de l'entreprise.
- Il est conseillé à toutes les sociétés de se doter de moyens de protection supplémentaires afin d'augmenter la sécurité des mots de passe dans l'ensemble de l'organisation.
Quelles sont les autres manières de protéger les mots de passe de votre entreprise ?
Afin de toujours mieux protéger les mots de passe des employés de votre entreprise, vous pouvez avoir recours à l'authentification à deux facteurs, une fonctionnalité fortement recommandée. Cela permet de vérifier l'identité du détenteur de compte avec un mot de passe unique - que l'utilisateur reçoit - en plus de son login et de son mot de passe - que l'utilisateur connaît -, et qui permet de protéger l'accès aux systèmes de la société même dans les cas où les informations d'identification sont divulguées ou volées.
Les SMS et les appareils mobiles étant fréquemment soumis à des attaques de logiciels malveillants, les solutions d'authentification à deux facteurs les plus récentes n'utilisent plus de vérification par message texte mais optent plutôt pour des notifications push, car plus sécurisées et faciles d'utilisation. Pour renforcer davantage la sécurité du processus d'identification, les entreprise peuvent également ajouter la biométrie - une donnée intrinsèquement liée à l'utilisateur - en mettant en place une authentification multifacteur.
La solution multifacteur d'ESET pour protéger les mots de passe
L'authentification mobile vous aide à sécuriser vos données en toute simplicité, tout en répondant aux exigences de conformité requises. Ce logiciel utilise des notifications push faciles à utiliser aussi bien sous Android qu'iOS et offre une gestion facile ainsi qu'un déploiement rapide en 10 minutes. Faites le test par vous-même !