L'utilisation sécurisée des mots de passe dans les entreprises

De nombreuses entreprises, en particulier celles actives dans le domaine technique et numérique, ont besoin d'une communication continue et du partage de fichiers en ligne. Par conséquent, dans un environnement de travail collaboratif, le partage de comptes est souvent nécessaire. Cela signifie que les employés doivent trouver un moyen simple de partager les accès et les mots de passe entre eux, si possible sans risquer d'exposer l'entreprise à une cyberattaque. Un message via un service de messagerie ou un e-mail à un collègue peut être le moyen le plus rapide de partager des mots de passe. Mais c'est un moyen peu sûr et risqué, qui expose l'ensemble de l'entreprise à un risque élevé de cyber-attaque.

Le moyen le plus sûr d'échanger des mots de passe

Sur le site Rapport de recensement de la cybersécurité 2022 Keeper Security a constaté que seules 13% des entreprises interrogées en Allemagne sont parfaitement équipées d'un système de contrôle d'identité, 56% donnent au moins des instructions à leurs collaborateurs et 31% laissent le contrôle d'identité, y compris la gestion des mots de passe, à leurs collaborateurs. Il semble que soit tous ne sont pas conscients du risque, soit ils l'acceptent.

Le moyen le plus sûr de stocker et de partager des mots de passe est d'utiliser un gestionnaire de mots de passe sur un appareil protégé par un mot de passe. Les gestionnaires de mots de passe offrent souvent plusieurs niveaux de cryptage, ce qui rend pratiquement impossible aux cyber-attaquants de trouver ce qu'ils cherchent de manière lisible. Avec le cryptage "zero knowledge", personne d'autre que l'utilisateur ne peut voir les données - pas même le fournisseur du gestionnaire de mots de passe, ni même un attaquant.

Certains outils de gestion des mots de passe, en particulier pour une utilisation en entreprise, proposent des fonctions de partage sécurisées. Celles-ci facilitent l'octroi d'un accès commun aux collaborateurs sans révéler les détails du nom d'utilisateur et du mot de passe. Ce qui est également souhaitable avec les gestionnaires de mots de passe, c'est une authentification à facteurs multiples (2FA/MFA) qui peut être forcée au niveau des rôles. En général, il est recommandé d'activer 2FA/MFA sur toutes les plates-formes afin d'améliorer la sécurité de l'entreprise et des équipes.

Méthodes risquées d'envoi et de stockage des mots de passe

Le partage des mots de passe est très répandu parmi les utilisateurs d'Internet au sein et en dehors du lieu de travail. Une enquête de The Zebra, NBC News et le Pew Research Center a révélé que 79 % des utilisateurs admettaient partager des mots de passe avec quelqu'un en dehors de leur domicile.

Les entreprises qui n'utilisent pas de gestionnaire de mots de passe peuvent utiliser des méthodes peu sûres pour stocker et partager les mots de passe. Cela peut entraîner des pertes financières et un risque accru de cyberattaque. Dans le Cybersecurity Census Report 2022, l'impact d'une cyberattaque en Allemagne seulement se situait entre 10.000 et 49.999 euros.

Six méthodes à éviter dans la gestion des mots de passe

Les utilisateurs qui n'ont pas recours aux fonctions d'un bon gestionnaire de mots de passe utilisent de nombreuses méthodes différentes pour s'échanger les données d'accès secrètes. Dans ces conditions, il n'est pas possible de garantir dans une entreprise que seules les personnes autorisées ont accès aux mots de passe et il n'y a guère de garantie que les données d'accès secrètes ne tombent pas entre les mains de tiers non autorisés. Voici six des méthodes les plus populaires et les plus risquées :

• Documents en ligne : Apple Notes, Google Documents, Microsoft Word Documents et autres programmes de prise de notes en ligne sont certes un moyen simple de noter des informations, mais ces outils n'ont pas été conçus pour stocker et partager des données de connexion privées. Dans le Keeper Rapport 2021 sur les mauvaises pratiques en matière de mots de passe au travail 49 % des personnes interrogées ont confirmé qu'elles stockaient leurs mots de passe professionnels dans un document dématérialisé. 51% stockent les mots de passe dans un document sur leur ordinateur et 55% stockent les mots de passe liés au travail sur leur téléphone portable. Bien que certains documents puissent être protégés par mot de passe, de nombreuses plates-formes de logiciels documentaires ne proposent pas de cryptage, de vérification en deux étapes ou d'autres mesures de sécurité supplémentaires. Un utilisateur non autorisé qui parvient à mettre la main sur un appareil ou à le pirater peut facilement copier le document et se l'envoyer à lui-même, ce qui lui donne accès à toutes les informations contenues dans le fichier.
• E-mails : Les e-mails sont l'une des formes de communication les plus populaires au travail. Ils sont généralement envoyés en texte clair et sans cryptage. Si une boîte de réception d'e-mails est compromise, des personnes non autorisées ont un accès complet aux mots de passe envoyés par e-mail. En outre, les mots de passe envoyés par e-mail passent souvent par plusieurs systèmes et serveurs et une copie se trouve dans le dossier "Envoyé". Et même si les courriels ont été supprimés, il se peut que les courriels soient stockés dans d'autres dossiers du compte, par exemple dans le dossier "Supprimé". Les e-mails qui ne sont pas stockés chez le fournisseur, mais localement sur le disque dur de l'appareil, sont soumis à un risque supplémentaire en raison d'un vol potentiel de l'ordinateur portable, de la tablette ou du téléphone mobile.
• Messages texte/SMS : Comme pour les services de messagerie électronique, il n'y a pas de sécurité pour les messages texte. Le message texte peut être lu par quiconque peut l'intercepter. Ici aussi, si un appareil mobile n'est pas protégé par un mot de passe et tombe entre de mauvaises mains, l'utilisateur non autorisé aura accès à toutes les conversations et à tous les messages privés. Il en va de même en cas de compromission de l'appareil.
• Messager en ligne : WhatsApp, Slack et Microsoft Teams sont des outils populaires pour la communication entre collaborateurs pour une mise à jour rapide des projets ou pour des discussions informelles. Bien que nombre de ces services en nuage soient cryptés, les applications restent généralement ouvertes sur les appareils ou fonctionnent en arrière-plan. Si l'appareil est utilisé dans un environnement public et qu'il est partiellement laissé sans surveillance, n'importe qui peut accéder aux mots de passe en quelques secondes. Par exemple, en juin 2021, un groupe de cybercriminels a utilisé Slack pour convaincre un employé de les aider à cambrioler EA Games. Le groupe a réussi à acquérir des cookies volés qui leur ont permis d'accéder à un canal EA Slack. Ils ont ensuite envoyé un message aux membres du support informatique, affirmant qu'ils avaient perdu leur téléphone lors d'une fête.
• Documents physiques : Le fait de noter les mots de passe dans un carnet ou sur un bout de papier peut certes empêcher les cybercriminels d'accéder aux données de connexion. Toutefois, les données d'accès peuvent facilement être volées dans le monde hors ligne par une personne non autorisée. Noter les données d'accès et les partager au bureau est en outre dangereux si le document physique est perdu.
• Transmission verbale : Même si un entretien personnel avec un collègue élimine le danger classique du papier et de la connexion en ligne, il comporte des risques, car les données de connexion peuvent être prononcées à haute voix et donc être entendues. En outre, les mots de passe ne sont généralement pas très sûrs avec cette méthode, car les caractères spéciaux qui ne peuvent parfois pas être trouvés sur le clavier peuvent ne pas être inclus dans le mot de passe. Un autre risque, bien que minime, est que la conversation soit enregistrée.

Plus d'informations : KeeperSecurity.com

Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/der-sichere-umgang-mit-passwoertern-in-unternehmen/