Gérer les mots de passe et atténuer les risques liés aux mots de passe
Publié le: 5 Juil 2022
Dernière modification le: 24 Juil 2025
Les mots de passe sont un pilier de la sécurité depuis l’apparition du langage humain. Ce secret partagé peut être utilisé pour ouvrir des portes physiques et numériques. Mais comme tout secret, s’il est révélé à la mauvaise personne, il peut être utilisé à des fins malveillantes.
Les mots de passe offrent aux cybercriminels un moyen de franchir la barrière. Cette porte est grande ouverte si le mot de passe n’est pas sécurisé, s’il est partagé ou s’il est hameçonné. La gestion des mots de passe permet d’atténuer les risques au sein d’une organisation.
Voici un aperçu des risques liés à l’utilisation des mots de passe et des conseils sur la gestion des mots de passe.
Le problème des mots de passe
Les mots de passe sont persistants parce que les utilisateurs les comprennent ; ils sont compris par les développeurs de sites web et d’applications et offrent une sécurité de base. Les mots de passe persisteront pour ces raisons, même avec des initiatives telles que le système sans mot de passe, FIDO.
Un mot de passe sécurisé est l’identifiant de connexion le plus fondamental, mais les mots de passe sont loin d’être une mesure de sécurité solide. En raison des portes qu’il peut ouvrir, le mot de passe est devenu le point de mire des cyberattaques. Le Data Breach Investigations Report (DBIR) de 2022 a identifié le vol d’identifiants comme l’une des quatre principales méthodes utilisées pour violer des données.
Le rapport annuel 2022 sur l’exposition à l’identité (2022 Annual Identity Exposure Report) a mis en évidence des statistiques stupéfiantes concernant les mots de passe :
● 1,7 milliard d’identifiants (combinaisons d’adresse électronique et de mot de passe ou de nom d’utilisateur et de mot de passe) ont été exploités par des pirates en 2021.
● 70 % des utilisateurs utilisaient encore des mots de passe compromis un an plus tard.
● Le premier mot de passe réutilisé en clair (c’est-à-dire non crypté) était » password
● 60 % des utilisateurs réutilisent leurs mots de passe. Une enquête de Google a révélé que 52 % d’entre eux réutilisent leurs mots de passe sur plusieurs comptes.
● Seuls 20 % des utilisateurs disposent d’un gestionnaire de mots de passe.
Les coûts liés à l’exposition, au vol et à l’accès non autorisé aux mots de passe sont considérables. Le rapport 2022 de l’Institut Ponemon sur le coût des menaces d’initiés a révélé que :
● Le coût du vol de titres a augmenté de 65 %, passant de 2,79 millions de dollars en 2020 à 4,6 millions de dollars en 2021/2022.
● Contenir une menace interne prend environ 85 jours.
● Les incidents dont la maîtrise a pris plus de 90 jours ont coûté, en moyenne, 17,19 millions de dollars.
Comment les mots de passe se retrouvent entre les mains des cybercriminels
Voici quelques-unes des méthodes les plus courantes de vol ou de compromission des mots de passe :
Infection par logiciel malveillant
Les logiciels malveillants conçus pour voler des données envoient toutes les combinaisons de mot de passe, de nom d’utilisateur et d’adresse électronique saisies par un utilisateur aux cybercriminels qui contrôlent le logiciel malveillant.
Un rapport de SpyCloud a révélé qu’en 2021, le logiciel malveillant « RedLine Stealer » était largement utilisé pour voler des informations d’identification et d’autres données aux utilisateurs de Windows. Il était possible d’acheter ce logiciel malveillant sur un site web obscur pour 800 dollars ou de s’abonner à un service de logiciels malveillants pour 200 dollars par mois.
Violation de données
Les violations de données offrent aux cybercriminels un moyen d’accéder aux mots de passe et aux paires de noms d’utilisateur ou d’adresses électroniques volés, c’est-à-dire aux identifiants de connexion. Par exemple, la violation de données de Collection 1-5 en 2019 a exposé 2,2 milliards de mots de passe et d’adresses électroniques.
Les violations de données se produisent généralement à la suite d’un accès non autorisé à une base de données, d’une mauvaise configuration de la sécurité qui rend la base de données vulnérable, d’une exposition accidentelle à la suite d’une erreur de livraison d’un courrier électronique ou d’un piratage délibéré. Dans un cycle de cybercriminalité, une base de données compromise libère ensuite d’autres identifiants de connexion pour mener d’autres attaques.
Hameçonnage
L’hameçonnage est un moyen très répandu de voler les mots de passe. En fait, le DBIR 2022 indique que l’hameçonnage est l’une des quatre principales méthodes de violation de données pour accéder aux données de connexion. Le spear-phishing est un problème particulier pour les administrateurs de systèmes et les utilisateurs privilégiés ciblés pour leurs identifiants d’accès privilégiés.
Les fournisseurs tiers sont la cible des pirates dans les attaques liées aux mots de passe. Par exemple, dans le cas de l’attaque par ransomware de Colonial Pipeline en 2021, un simple mot de passe volé à un ancien employé a été lié à l’attaque qui a entraîné la fermeture temporaire de la moitié des approvisionnements en carburant des États-Unis.
Exposition accidentelle et menaces internes
Les employés aiment partager leurs mots de passe avec leurs collègues et les réutiliser. Une étude récente a révélé que près de 42 % des employés partagent leurs mots de passe avec leurs collègues. La même étude a révélé qu’un employé sur quatre avait encore accès à d’anciens comptes même après avoir quitté l’entreprise.
L’exposition accidentelle d’un mot de passe ou l’accès non autorisé contribuent de manière significative aux cyberattaques et aux violations de données, le DBIR 2022 révélant que 82 % des attaques impliquent un être humain.
Cinq conseils rapides pour gérer les mots de passe
Voici cinq conseils pour gérer les mots de passe et réduire les risques :
Définir et appliquer des politiques en matière de mots de passe
Les politiques relatives aux mots de passe constituent la première étape de la réduction des risques liés à l’utilisation des mots de passe. Les politiques relatives aux mots de passe comprennent tout ce qui est associé à la gestion et à la sécurisation des mots de passe. Par exemple, une politique devrait inclure le stockage sécurisé des mots de passe et la fréquence à laquelle un mot de passe doit être changé.
Les politiques relatives aux mots de passe doivent également indiquer clairement comment les employés doivent créer et gérer les mots de passe. Les politiques doivent être distribuées aux employés et leur gestion doit être automatisée tout au long de leur cycle de vie afin de s’assurer qu’elles sont acceptées et comprises par l’ensemble de l’entreprise.
Utilisez un gestionnaire de mots de passe
Les gestionnaires de mots de passe tels que Lastpass et les générateurs de mots de passe réduisent la fatigue liée aux mots de passe et, par conséquent, peuvent contribuer à éliminer la réutilisation et le partage des mots de passe. Si vous utilisez un gestionnaire de mots de passe, vous n’avez techniquement besoin de vous souvenir que d’une seule série d’informations d’identification – le mot de passe principal pour vous connecter à votre gestionnaire de mots de passe.
Une fois que vous êtes connecté au gestionnaire de mots de passe à l’aide de votre mot de passe principal, le gestionnaire de mots de passe s’occupe du reste : il stocke, génère, synchronise et met à jour les mots de passe. Votre mot de passe principal est utilisé pour crypter les mots de passe stockés dans votre coffre-fort de mots de passe.
Mais les gestionnaires de mots de passe sont encore sous-utilisés dans les entreprises. Il existe de nombreux gestionnaires de mots de passe, mais les services basés sur le cloud peuvent être plus faciles à déployer et à administrer. Recherchez un gestionnaire de mots de passe capable de fonctionner sur plusieurs systèmes d’exploitation et de protéger d’autres types de données, y compris les mots de passe.
Utiliser un deuxième facteur (2FA/MFA)
L’utilisation d’un second facteur, tel qu’un code d’authentification mobile, est un moyen utile d’ajouter une couche de sécurité supplémentaire à l’accès à une application. Cependant, vous ne devez pas compter sur le 2FA pour offrir un contrôle d’accès sans risque à 100 %.
Les cybercriminels cherchent déjà des moyens de contourner l’authentification à deuxième facteur. Si vous le pouvez, mettez en place l’authentification à deuxième facteur, mais renforcez cette mesure avec les deux conseils suivants pour réduire les risques liés aux mots de passe :
Former les employés à l’hygiène des mots de passe
Les politiques relatives aux mots de passe doivent refléter les normes du secteur de la cybersécurité en matière de création, d’utilisation et de gestion des mots de passe. Toutefois, pour appliquer cette politique, les employés doivent comprendre pourquoi il est essentiel de disposer de mots de passe sécurisés.
Les programmes de sensibilisation à la cybersécurité comprennent généralement des modules sur la création de mots de passe forts et la sécurisation des mots de passe.
Utilisez des simulations d’hameçonnage pour réduire les vols de mots de passe
Le phishing est l’une des principales méthodes de vol de mots de passe et d’autres informations d’identification. En formant ses employés au fonctionnement du phishing et aux signes révélateurs d’un message d’hameçonnage, une entreprise peut contribuer à prévenir le vol d’informations d’identification par hameçonnage.
Les plateformes de simulation d’hameçonnage offrent un moyen centralisé et configurable d’envoyer des messages d’hameçonnage simulés au personnel. Une plateforme de simulation d’hameçonnage avancée vous permettra également d’adapter les messages d’hameçonnage simulés en fonction des différents rôles au sein de votre entreprise.
Les organisations continueront probablement à utiliser des mots de passe pendant un certain temps encore, ce qui accroît le risque de cyberattaque. Toutefois, en appliquant les cinq conseils décrits ici, vous pouvez réduire les risques liés à l’utilisation des mots de passe par vos employés. Ces conseils contribuent à prévenir les violations de données et les infections par ransomware et aident votre entreprise à se conformer aux réglementations en matière de protection des données.
