Tandis que les populations sont confrontées à de nouvelles règles de confinement, il semble qu’un quart des internautes adoptent des comportements qui sabotent leur propre sécurité en ligne. Cette constatation est le fruit de recherches menées par SailPoint, une société qui offre des solutions de gestion des identités.
L’enquête, à laquelle ont participé des utilisateurs des États-Unis, du Royaume-Uni, de France, d’Allemagne, d’Australie et de Nouvelle-Zélande, démontre à quel point la cybersécurité est abordée de manière laxiste. Les mots de passe représentent l’un des plus grands défis que doivent relever les entreprises et les organisations qui continuent de s’appuyer sur cette méthode pour leur sécurité.
Sur l’ensemble de ces six pays, en moyenne 22 % des utilisateurs n’ont pas changé de mot de passe depuis plus d’un mois. Si l’on remonte plus loin dans le temps, aux États-Unis, seuls 14 % des utilisateurs n’ont pas changé de mot de passe depuis six mois. Pour les cinq autres pays, la moyenne était de plus de 43% au cours des six derniers mois.
Cela peut paraître choquant, mais il y a pire. 18% des ordinateurs aux États-Unis ne sont pas protégés par un mot de passe contre 3% dans les autres pays.
D’après Juliette Rizkallah, CMO de SailPoint: « Au début de la pandémie, les entreprises ont dû mettre en place un dispositif pour permettre le télétravail presque du jour au lendemain. Dans cette ruée, de nombreuses entreprises se sont concentrées sur l’octroi de l’accès, passant outre la sécurisation de cet accès. Il en a résulté une explosion d’accès non sécurisés dans tous les secteurs. »
« Vous ne pouvez pas travailler aujourd’hui sans informatique, et vous ne pouvez pas utiliser l’informatique sans protection des identités. Les entreprises reconnaissent l’importance fondamentale de la gestion et de la sécurité des identités pour leurs activités, car la formule du télétravail va certainement perdurer. Celles qui ont mis en place des solutions de protection des identités ont été préparées pour réussir, tandis que celles qui n’ont pas de programme solide de sécurité des identités se sont retrouvées dans une situation inattendue de gestion des risques, avec un manque de temps. »
Les employeurs peuvent-ils faire plus ?
La réponse est toujours oui. La solution la plus évidente consiste à s’éloigner de la méthode du mot de passe pour se tourner vers des méthodes d’authentification plus sécurisées. Pour de nombreuses entreprises, ceci représente cependant un objectif à long terme ; cela suppose qu’elles aient à la fois la connaissance, les compétences et la technologie pour le faire. En attendant, à quelles mesures les sociétés peuvent-elles recourir ?
Auditer régulièrement les mots de passe.
Il est important d’effectuer des audits de mots de passe pour détecter les problèmes. Pourtant, le recours aux audits varie considérablement d’un pays à l’autre. Aux États-Unis et en Australie, les audits de mots de passe sont effectués respectivement par 49% et 45% des entreprises. Ailleurs, leur utilisation diminue avec seulement 12% des entreprises qui procèdent à des audits de mots de passe en France et en Allemagne.
Recourir à des campagnes de formation à la cybersécurité
Renouveler régulièrement la vigilance et les compétences de ses salariés en matière de cybersécurité est considérée par de nombreuses entités comme une tâche ingrate. Le problème, c’est que la plupart de ces programmes de formation ne sont pas bien pensés. Nous pourrions être tentés de croire que c’est beaucoup mieux que rien ?
Or, il n’en est rien. Pour qu’une mesure ait un impact réel, elle doit être efficace. Le simple fait d’envoyer à votre personnel des courriels de sensibilisation aux risques ne constitue pas une formation. Leur donner une fois par an un webinaire d’une demi-journée sur les risques du phishing n’est pas vraiment très utile.
Même lorsque les entreprises dispensent des formations, celles-ci ne sont pas assez régulières. Dans cette enquête, 30% des entreprises aux États-Unis et en Australie organisent régulièrement des formations pour leurs salariés. Le rapport ne précise pas le type exact de formation ni la signification de « régulière ». Le Royaume-Uni les suit de près, avec 28%. Cependant, la Nouvelle-Zélande (24%), l’Allemagne (22%) et la France (15%) peuvent certainement faire beaucoup plus.
Faire appel à un accès sécurisé aux fichiers et aux dossiers.
L’utilisation de services en ligne, d’ordinateurs partagés et de solutions de collaboration nécessite de repenser la méthode de stockage des données afin qu’elles soient mieux sécurisées. À ce titre, l’Australie (25 %) est le pays le mieux classé. Les États-Unis (13 %) sont loin derrière. Cependant, tous pays confondus, le fait que ce pourcentage soit si bas mérite que l’on s’en préoccupe davantage. Le vol de données a sensiblement augmenté durant la pandémie. Le fait de ne pas fournir aux salariés des solutions de sécurisation des fichiers et dossiers augmente considérablement le risque de piratage.
Comment les employés compromettent-ils la cybersécurité de l’entreprise ?
Pas de surprise ici, et le problème est lié aussi bien à l’application d’une pratique « Bring Your Own Device » (apportez votre propre device) qu’à des comportements inadaptés. Les employés utilisent de plus en plus l’ordinateur pour des activités qui ne sont pas liées au travail, même lorsque l’employeur fournit cet appareil. Les terminaux sont le plus souvent utilisés pour des activités à la fois professionnelles et personnelles.
- consultation des courriels personnels (64%)
- achats en ligne (60%)
- consultation des actualités (46%)
- consultation des réseaux sociaux (38%)
Pour ceux qui ont un accès limité aux terminaux au sein de leur foyer, les appareils, les identifiants et les mots de passe sont partagés avec les membres de la famille. Beaucoup de salariés ont des enfants et ceux-ci doivent faire leurs devoirs à la maison en raison de la fermeture des écoles. Et comme il n’y a pas suffisamment d’ordinateurs pour tout le monde, les terminaux passent forcément de mains en mains.
- 54% des Britanniques utilisent l’ordinateur portable de leur employeur pour travailler
- 25% ont déjà utilisé leur propre ordinateur
- 11% ont emprunté des terminaux à des membres de la famille ou à leur partenaire pour leur travail
Les employés enregistrent souvent leurs données d’identification sur l’ordinateur et surtout dans le navigateur lorsqu’ils utilisent des applications web. Cela signifie que n’importe quel membre de la famille a potentiellement accès aux applications et aux données professionnelles. Il s’agit d’un risque particulièrement sensible que les entreprises devraient s’efforcer de gérer.
À ce risque s’ajoute l’augmentation du phishing et des escroqueries par courrier électronique. Les dispositifs partagés signifient que même si un employé respecte les règles de prudence, d’autres membres de la famille peuvent facilement compromettre le dispositif.
Peut-on s’inspirer des bulles familiales pour créer des cyber bulles?
SailPoint pense qu’il est temps d’établir des cyber cloisonnements à l’instar des bulles familiales durant la pandémie. Une telle mesure implique un niveau de contrôle rigoureux sur les personnes qui accèdent à un terminal et sur l’utilisation qu’elles en font. Il est toutefois plus facile de réclamer un tel dispositif que d’en obtenir la mise en œuvre. Les terminaux partagés sont une nécessité au sein de nombreuses familles, qu’il s’agisse d’ordinateurs ou de tablettes. Établir un cyber cloisonnement à ce niveau signifie un niveau d’éducation différent. Cela suppose également que les employeurs prennent en compte des implications plus larges en matière de sécurité pour leur entreprise.
Par exemple, suffit-il de fournir à l’utilisateur final l’accès à un logiciel de protection ? Les terminaux utilisés pour le travail doivent-ils être équipés de machines virtuelles sécurisées ? Les employés utilisent-ils des VPN lorsqu’ils se connectent ? Quel est le degré de sécurité du routeur à large bande et du WiFi que l’employé utilise à la maison ? Dans ce dernier cas, les employés sont constamment avertis du risque que représente le WiFi public. Cependant, le WiFi à domicile est lui aussi tout autant exposé à des risques significatifs.
Selon SailPoint :
- 41% d’entre nous utilisent le WiFi public non sécurisé pour le travail.
- 44% utilisent des connexions non sécurisées lorsqu’ils surfent sur le web pour des raisons personnelles.
Ajoutons enfin que les personnes de la génération Z (les 18-24 ans) sont beaucoup plus insouciantes quant à leur sécurité numérique. 39 % admettent partager leurs mots de passe et compromettre leur cyber bulle d’une autre manière ou l’autre.