Des mots de passe plus intelligents que les pirates ne peuvent pas toucher

Chaque jour, des millions de mots de passe sont volés, divulgués ou craqués. Rien qu’au cours de l’année écoulée, plus de 19 milliards de mots de passe ont été découverts lors de violations de données, un chiffre si important qu’il est difficile de s’y retrouver. Et pourtant, la plupart de ces mots de passe étaient encore des mots comme 123456 ou password1.

C’est la preuve que même si la plupart d’entre nous savent qu’il est important d’avoir des mots de passe forts, de nombreuses personnes choisissent encore de ne pas suivre les meilleures pratiques. Ce fossé entre la connaissance et l’action est exactement ce que les attaquants exploitent.

Les mots de passe peuvent sembler banals, mais ils constituent une défense de première ligne. Si vous les utilisez mal, les conséquences peuvent s’enchaîner rapidement. Si vous les utilisez à bon escient, vous placez la barre très haut pour les attaquants.

Comment les mots de passe faibles ouvrent la porte aux violations de données

Lorsque les pirates s’emparent d’informations d’identification, ils ne les conservent pas, ils les utilisent. Le « vieux mot de passe » que vous avez utilisé pour un site d’achat pourrait encore déverrouiller votre courrier électronique professionnel aujourd’hui. Chaque brèche devient un tremplin, alimentant les attaques par  » credential stuffing  » et donnant aux cybercriminels de nouveaux moyens d’entrer.

De plus, les mots de passe faibles ne font pas le poids face aux outils modernes. Un mot de passe de huit caractères minuscules peut être déchiffré en trois semaines environ à l’aide des GPU d’aujourd’hui, tandis qu’un mélange plus complexe de huit caractères peut durer sept ans. Mais s’il se trouve déjà dans une base de données ayant fait l’objet d’une fuite, il peut être déchiffré presque instantanément.

En résumé, les mots de passe courts, prévisibles et réutilisés n’ont aucune chance.

Même sur un lieu de travail doté d’un système MFA, la faiblesse des informations d’identification reste l’un des principaux vecteurs d’attaque. De nombreuses brèches commencent encore par le bourrage d’informations d’identification, le phishing ou les attaques par force brute. En fait, les données du secteur montrent que plus de 80 % des brèches confirmées impliquent des mots de passe faibles ou volés.

Le risque ne se limite pas non plus à l’entreprise. Un courrier électronique professionnel compromis peut exposer des données personnelles, des informations sur les salaires et même permettre aux attaquants de cibler des amis ou des collègues. La faiblesse des mots de passe met en danger les individus, mais aussi les entreprises.

Les mauvaises habitudes en matière de mots de passe mettent le lieu de travail en danger

Les comptes d’entreprise sont des cibles de choix pour les attaquants car ils ouvrent souvent la porte à des systèmes plus vastes. Un mot de passe faible sur une application tierce ou un login partagé peut donner à un pirate tout ce dont il a besoin pour se déplacer latéralement sur le réseau. À partir de là, la paie, les données des clients ou les systèmes financiers sont tous en danger.

Les comptes partagés ou de service sont particulièrement dangereux. Ces identifiants sont souvent réutilisés par les équipes et oubliés jusqu’à ce qu’un problème survienne. Ils doivent respecter les normes les plus strictes possibles, avec des identifiants forts et uniques stockés en toute sécurité et faisant l’objet d’une rotation régulière.

En fin de compte, le personnel constitue un moyen de défense essentiel. Lorsque les employés considèrent l’hygiène des mots de passe non pas comme une nuisance, mais comme faisant partie de leurs responsabilités, la résilience s’améliore. Ce changement culturel ne se produit que si l’entreprise le rend facile et cohérent.

C’est là que la gestion des risques humains (GRH) entre en jeu. La GRH reconnaît que la technologie n’est pas le maillon faible, mais que ce sont les personnes qui le sont. En comprenant où le personnel est le plus vulnérable, en offrant des possibilités d’apprentissage claires et attrayantes et en mesurant les changements de comportement au fil du temps, les organisations peuvent réduire les risques créés par les décisions humaines quotidiennes. Les mots de passe ne sont qu’un élément de ce tableau d’ensemble : c’est en aidant les gens à faire des choix plus intelligents, de manière cohérente, que vous créerez une résilience durable.

Ce qui est bon

Heureusement, il n’est pas nécessaire que les mots de passe soient compliqués. Dans la plupart des cas, la longueur compte plus que la substitution astucieuse de caractères. Une phrase comme CoffeeTable7Rainbow$ est bien plus forte et plus facile à retenir que C0fT@#9. Visez au moins 12 caractères, de préférence 16 ou plus, et construisez vos mots de passe à partir de mots ou de phrases qui ont une signification pour vous, mais pas pour les autres.

Mélanger les types de caractères est utile, mais ne tombez pas dans des schémas prévisibles comme « P@ssw0rd ! ». Pensez plutôt à combiner des mots de manière inhabituelle, en ajoutant un symbole ou un chiffre à un endroit où il n’apparaîtrait pas normalement.

La règle la plus importante est peut-être de ne jamais réutiliser le même mot de passe sur différents comptes. La réutilisation est ce qui fait qu’une brèche se transforme en plusieurs brèches. Si le fait de se souvenir de dizaines d’identifiants uniques vous semble insurmontable, c’est exactement à cela que servent les gestionnaires de mots de passe. Un bon gestionnaire génère et stocke des mots de passe complexes, les remplit automatiquement lorsque vous en avez besoin et permet un partage sécurisé pour les comptes d’équipe.

De plus en plus, les entreprises se penchent également sur les clés d’accès et l’authentification sans mot de passe, mais tant que ces solutions ne seront pas universelles, des mots de passe forts resteront essentiels.

Intégrer les bonnes pratiques

Connaître les règles est une chose, les appliquer jour après jour en est une autre. C’est là qu’interviennent les rappels et les incitations. Des affiches dans les salles de pause, des économiseurs d’écran avec de courts conseils et des listes de contrôle distribuées lors de l’intégration aident à garder les bonnes pratiques à l’esprit. Notre boîte à outils CSAM est remplie de ressources prêtes à l’emploi comme celles-ci, conçues pour faire passer le message.

Des campagnes périodiques sont également utiles. Un « nettoyage de printemps » au cours duquel le personnel passe en revue et actualise les anciens mots de passe peut faire partie de la routine annuelle. Le leadership joue également un rôle. Lorsque les dirigeants donnent l’exemple des bonnes habitudes et expliquent ouvertement pourquoi elles sont importantes, le reste de l’organisation suit.

Vous devez également encourager le personnel à être responsable. La réalisation d’audits de mots de passe, que ce soit par le biais des coffres-forts de mots de passe de l’entreprise ou d’outils de surveillance informatique, peut mettre en évidence les informations d’identification faibles ou réutilisées. Le renforcement positif peut également s’avérer très utile. En récompensant votre équipe pour une bonne hygiène des mots de passe, vous pouvez faire en sorte que le processus soit moins axé sur les règles et plus sur la fierté.

Responsabiliser votre personnel

Le fait de formuler le problème en termes personnels est très efficace. Lorsque les employés réalisent que leurs données salariales, leurs coordonnées bancaires ou leurs communications privées peuvent être exposées à cause d’un mot de passe faible, le message devient plus compréhensible. Les bonnes pratiques en matière de mots de passe ne protègent pas seulement l’entreprise, mais aussi les employés eux-mêmes, et ce changement d’état d’esprit peut rendre l’adoption beaucoup plus facile.

Notre boîte à outils CSAM

La boîte à outils CSAM comprend des ressources pratiques, prêtes à l’emploi, qui facilitent la mémorisation et l’intégration des meilleures pratiques en matière de mots de passe :

• Affiches de sensibilisation – des visuels accrocheurs qui renforcent les bonnes habitudes dans les espaces communs et permettent de garder la sécurité à l’esprit.
• Des économiseurs d’écran attrayants – des rappels opportuns qui apparaissent à l’écran pour inciter le personnel à faire des choix plus judicieux tout au long de la journée.
• Planificateur pratique de sensibilisation à la cybersécurité – un guide structuré pour vous aider à déployer des campagnes et des activités de manière cohérente tout au long de l’année.
• Infographie – une répartition claire et visuelle des choses à faire et à ne pas faire, idéale pour les briefings d’équipe ou les pages de l’intranet.
• Liste de contrôle : 5 étapes pour vous aider à sécuriser notre monde – une liste simple et réalisable que les employés peuvent suivre lorsqu’ils créent ou mettent à jour des mots de passe.

Téléchargez votre boîte à outils dès maintenant.

Travailler avec MetaCompliance

Si vous ne retenez que trois choses, faites-les : un mot de passe plus long est plus fort, ne le réutilisez jamais et utilisez toujours un gestionnaire de mots de passe.

Il est temps de les mettre en pratique. Procédez à un audit rapide de l’état des mots de passe dans votre organisation, déployez la liste de contrôle CSAM et assurez-vous que les dirigeants adoptent les mêmes bonnes habitudes. Grâce à ces mesures, votre entreprise et votre personnel seront mieux protégés par des mots de passe plus intelligents que les pirates ne peuvent tout simplement pas toucher.

Contactez notre équipe dès aujourd’hui pour en savoir plus sur nos services.