Pourquoi former et sensibiliser à la sécurité ne résoudra pas les mauvaises habitudes en matière de mots de passe  

Les organisations ont bien conscience que leurs utilisateurs finaux représentent un risque pour la cybersécurité. Ils commettent des erreurs, sont pris pour cible par les pirates informatiques et peuvent parfois agir de manière malveillante à l’encontre de leur employeur. La formation à la sécurité et la sensibilisation sont des tentatives pour réduire ce risque en créant une prise consciente collective autour des enjeux de cybersécurité, mais elles ont leurs limites : la formation peut demander du temps, perturber la productivité et est souvent oubliée par les utilisateurs finaux. 

Les gens ne suivent pas toujours les bons conseils, même lorsque c’est dans leur intérêt de le faire. Comme le savent les équipes de sécurité informatique, c’est particulièrement vrai lorsqu’il s’agit de mots de passe. Les organisations forment leur personnel depuis longtemps et cela n’a pas mis fin à certaines mauvaises habitudes comme la réutilisation des mots de passe par exemple. Selon Bitwarden, 68 % des internautes utilisent plus de 10 sites web nécessitant un mot de passe – et 84 % d’entre eux admettent réutiliser ces mots de passe.  

Il est certainement utile de former les utilisateurs finaux aux bonnes pratiques en matière de sécurité des mots de passe, mais les organisations doivent savoir quand intervenir et mettre en place une sécurité d’accès forte avec l’aide de la technologie. 

Pourquoi la formation ne fonctionne-t-elle pas ? 

La plupart des utilisateurs finaux ne cherchent pas sciemment à faire courir des risques à leurs employeurs. Et en 2024, beaucoup d’entre eux sont conscients des mauvaises habitudes qu’il faudrait éviter en matière de mots de passe. Alors pourquoi continuent-ils à créer des mots de passe faibles et à les réutiliser sur différents sites et applications ? Pour la majorité, ils souhaitent simplement poursuivre leur travail sans avoir à se souvenir de plusieurs mots de passe longs et complexes. La réutilisation de mots de passe faibles n’est qu’un moyen d’accomplir leur travail plus rapidement et avec un minimum de tracas. Beaucoup sont coupables d’avoir une attitude “ ce ne sera pas moi ” en matière de cybersécurité – une autre personne malchanceuse sera la victime d’une compromission. 

La formation est utile dans la mesure où elle contribue à créer une culture de la cybersécurité – elle montre que les cadres supérieurs prennent la cybersécurité au sérieux et qu’une partie de cette culture ruissellera parmi le personnel. La dure vérité, cependant, est que les utilisateurs finaux choisiront toujours délibérément la facilité et commettront des erreurs accidentelles, quelle que soit la qualité de la formation dispensée. Il est peu probable qu’un utilisateur final moyen ait la même attitude qu’un RSSI à l’égard de la sécurité des mots de passe, même s’il a été formé aux enjeux de cette question.  

Une étude de LastPass révèle que 79 % des personnes ayant reçu une formation en cybersécurité l’ont trouvée utile. Cependant, il apparaît également que les gens ne mettent pas en pratique ce qu’ils ont appris. Dans ce même groupe de personnes, seulement 31 % déclarent avoir cessé de réutiliser leurs mots de passe. Il s’agit là d’un excellent exemple de formation qui, à elle seule, ne permet pas de mettre fin à un risque de sécurité grave. 

Réutilisation des mots de passe – une habitude négligeante et risquée 

Malgré des années de formation des utilisateurs finaux, la réutilisation des mots de passe reste très répandue. Par souci de commodité, les gens choisissent souvent la voie de la facilité. De nombreuses personnes pensent – à tort – que si leur mot de passe professionnel est robuste, il est également adapté aux appareils et applications personnels. Ce comportement est motivé par la gêne liée à la réinitialisation des mots de passe et par la peur d’être bloqué, deux éléments pouvant perturber leur productivité. 

Alors que les organisations et entreprises peuvent imposer des mots de passe forts, les utilisateurs finaux sont libres de réutiliser ces derniers sur des applications et des appareils personnels dont les mesures de sécurité sont plus faibles ou sur des réseaux non sécurisés. Selon une étude réalisée par TechRepublic, 53 % des personnes utilisent le même mot de passe pour plusieurs comptes, ce qui constitue une occasion en or pour les pirates.  

Un pirate informatique qui obtient un accès non autorisé à un magasin en ligne peut avoir accès à une base de données complète de mots de passe. Même si les mots de passe sont hachés, l’attaquant pourra consacrer du temps à essayer de les déchiffrer. S’il y parvient, il pourra identifier les personnes qui se cachent derrière ces mots de passe et déterminer où elles travaillent. Si l’un de ces mots de passe est réutilisé au sein de l’organisation, il devient un moyen simple pour l’attaquant d’infiltrer le lieu de travail de l’employé. 

Cependant, il est important de ne pas rejeter la responsabilité des mauvaises habitudes relatives aux mots de passe sur les seuls utilisateurs finaux. L’adoption croissante des logiciels en tant que service (SaaS) signifie que les gens ont plus de mots de passe à retenir que jamais. Selon une étude de LastPass, un employé moyen saisit ses identifiants pour se connecter à des sites web et des applications 154 fois par mois. La même étude montre qu’une entreprise moyenne de 250 employés gère aujourd’hui environ 47 750 mots de passe, générant ainsi de nombreuses possibilités de compromission. 

L’adoption du SaaS ne devrait pas ralentir de sitôt. Alors, formation exceptée, quels recours s’offrent aux organisations pour contrer les mauvaises habitudes des utilisateurs finaux en matière de mots de passe ?  

Comment renforcer la sécurité des mots de passe 

Il est utile de former les gens pour qu’ils comprennent l’importance d’adopter des mots de passe forts. Mais lorsqu’il s’agit d’appliquer une politique de mots de passe solide, il est préférable de se faire aider par la technologie plutôt que de compter sur les utilisateurs finaux pour se souvenir des meilleures pratiques et les appliquer. 

Bloquer les mots de passe faibles 

Empêcher les gens de créer des mots de passe faibles est essentiel pour prévenir les attaques par force brute, qui reposent sur l’utilisation d’un logiciel capable de deviner rapidement des mots de passe courants. Une bonne politique ne devrait pas se contenter de bloquer les mots de passe très courts, mais toutes les itérations de mots de passe courants, les suites de clavier comm “ qwerty ” et les mots de passe découverts lors de compromissions antérieures. Les organisations devraient également créer des dictionnaires personnalisés afin de bloquer les mots spécifiques à leur entreprise et à leur secteur d’activité.  

Un scan régulier des mots de passe compromis  

Comme nous l’avons souligné, la réutilisation des mots de passe est un problème grave pouvant conduire à la compromission de mots de passe professionnels forts. La recherche de mots de passe compromis dans votre Active Directory devrait donc être une tâche régulière. Il est important que les organisations disposent d’outils pour rechercher les utilisateurs finaux qui ont recours à des mots de passe frauduleux – mais les meilleures solutions effectuent des recherches en continu et alertent les utilisateurs finaux s’ils utilisent un mot de passe frauduleux. 

Tenir compte de l’expérience de l’utilisateur 

Lorsque la cybersécurité prend en compte l’expérience de l’utilisateur final, les employés sont plus enclins à adhérer aux mesures de sécurité de leur organisation. Voici trois façons d’offrir à vos utilisateurs finaux une meilleure expérience en matière de sécurité des mots de passe :  

• Notifications personnalisables: il peut être frustrant de voir son travail interrompu par une réinitialisation forcée du mot de passe. La personnalisation des notifications permet de mieux expliquer pourquoi une réinitialisation est nécessaire.  
• Durée de vie de mots de passe basée sur la longueur : vous pouvez encourager les utilisateurs finaux à créer des mots de passe plus forts en les ” récompensant ” avec des délais de réinitialisation plus longs lorsqu’ils créent des mots de passe longs et forts. 
• Retour d’information dynamique : il peut également être frustrant de créer un nouveau mot de passe et de voir apparaître un message d’erreur générique comme “ le mot de passe ne correspond pas aux critères de votre organisation ”. Le retour d’information dynamique sur l’écran de changement du mot de passe aide les utilisateurs finaux à créer un mot de passe fort et facilement mémorisable en temps réel.  

Résolvez définitivement le problème de la réutilisation des mots de passe – essayez Specops Password Policy 

Specops Password Policy avec Breached Password Protection offre une protection automatisée et continue à votre Active Directory. Il protège vos utilisateurs finaux contre l’utilisation de plus de 4 milliards de mots de passe uniques compromis, incluant des données provenant de fuites connues ainsi que de notre propre système honeypot qui collecte les mots de passe utilisés dans de véritables attaques par pulvérisation de mots de passe.   

Notre nouvelle fonction de scan continu vérifie tous les mots de passe Active Directory par rapport à l’API Breached Password Protection pour y détecter la moindre compromission une fois par jour. L’API est mise à jour quotidiennement avec les nouveaux mots de passe compromis découverts grâce à notre système de honeypot de mots de passe, ainsi qu’avec les nouvelles fuites de mots de passe découvertes lorsqu’elles se produisent. Les administrateurs peuvent consulter les résultats de la dernière analyse continue dans les outils d’administration du domaine. 

La sécurité automatisée des mots de passe ne doit pas uniquement profiter aux équipes informatiques. Vous pouvez également offrir aux utilisateurs finaux une meilleure expérience grâce au vieillissement basé sur la durée, au retour d’information dynamique lors du changement de mot de passe et aux notifications personnalisables à l’intention des utilisateurs finaux Découvrez comment Specops Password Policy peut s’adapter à votre organisation.