L’ère des mots de passe est-elle vraiment révolue ?
Pour survivre et réussir dans l’environnement concurrentiel actuel, les entreprises doivent impérativement se tourner vers les nouvelles technologies.
Mais en dépit de leurs efforts afin d’innover et se transformer ; de trouver des solutions pour optimiser leurs interactions avec leurs clients ; et de protéger leurs employés et les données contre des menaces de plus en plus complexes, la confiance vis-à-vis de ces technologies s’effrite avec l’émergence de nouveaux défis. Les entreprises sont désormais contraintes d’évoluer toujours plus rapidement pour faire face aux problématiques de sécurité, de confidentialité et de gestion des consentements. Celles-ci affectent négativement la perception des utilisateurs de la plupart des technologies sur lesquelles nous nous appuyons aujourd’hui.
La sécurité des identités en ligne a jusqu’ici reposé sur une méthode clé : les mots de passe. Depuis plusieurs décennies, les mots de passe représentent la passerelle vers nos identités numériques et nos activités en ligne. Or nous assistons depuis bien trop longtemps à l’échec de cette méthode. Okta a donc commandité une étude pour montrer à quel point ces codes secrets affectent notre sécurité et notre qualité de vie au quotidien.
Imaginez un monde où la sécurité ne dépendrait pas de lettres et de chiffres pouvant être facilement manipulés. Un monde où l’accès aux ressources nécessaires pour vivre et travailler serait si unique que personne n’aurait les mêmes identifiants, ces derniers étant intimement liés à nos identités personnelles.
L’année 2019 marque un tournant en matière de sécurité. Les entreprises commencent en effet à se détourner des mots de passe, au profit des identités. Ces dernières jouent un rôle essentiel en permettant aux organisations d’avancer avec confiance.
Méthodologie de l’enquête
Pour le compte d’Okta, Opinium a interrogé 4 013 employés au Royaume-Uni, en France et aux Pays-Bas. Les réponses ont été collectées en mai 2019. Les références à ces travaux de recherche sont mises en évidence par l’utilisation d’expressions telles que « l’enquête d’Okta » ou « les répondants ».
LA SÉCURITÉ SANS MOTS DE PASSE : UNE RÉALITÉ
Confiance et identité
La confiance est le nouveau périmètre de la sécurité. Plus que jamais, les organisations doivent prouver à leurs employés et à leurs clients qu’ils peuvent se fier à elles. Ce paramètre prend une importance de plus en plus importante depuis une dizaine d’années, notamment suite à la multiplication des fuites de données et des cyberattaques, ainsi qu’aux problématiques de confidentialité de nos données personnelles liées au suivi permanent de nos identités numériques et à la monétisation de nos préférences.
L’identité est donc au cœur de la notion de confiance. Les individus y étant désormais plus attentifs, les entreprises doivent à leur tour prêter davantage d’attention à leurs approches en la matière.
Depuis plusieurs décennies, notre identité et notre sécurité sont étroitement liées, et nous utilisons des mots de passe pour les protéger. Mais cette stratégie s’est révélée inefficace pour les entreprises.
Le défi pour l’entreprise
Les mots de passe sont à l’origine de nombreux problèmes pour les entreprises. Selon le rapport Data Breach Investigations publié par Verizon en 2018, 81 % des failles dues à des piratages étaient liées à des mots de passe faibles, dérobés ou réutilisés3. Et les conséquences peuvent être catastrophiques : en moyenne, le coût d’un document volé est de 148 dollars,4et le coût total d’une fuite de données de 3,86 millions de dollars. Pire : à la suite d’un piratage, les organisations ont 32 % de chances d’être à nouveau victimes d’une fuite de données dans les deux années suivantes. Sans oublier les dégâts souvent irréparables pour leurs réputations.
Bien que le risque d’incident soit la principale préoccupation des entreprises vis-à-vis des mots de passe, nos travaux de recherche montrent que d’autres éléments ont un impact au quotidien sur les processus métiers.
Les mots de passe nuisantà la productivité, le risque pour les entreprises est alors de ne pas parvenir à rester compétitives, et de décevoir des clients s’attendant à des services d’exception.
Le défi pour les employés
L’enquête d’Okta révèle qu’en moyenne, les personnes interrogées doivent se souvenir de 10 mots de passe au quotidien, et en oublient trois par mois. C’est bien connu : le principal risque de sécurité pour les employeurs sont leurs employés eux-mêmes : près de la moitié (49 %) des organisations de tous les secteurs doivent faire face à de graves incidents de sécurité provoqués par des erreurs commises par leurs employés.
Malheureusement, les choses ne semblent pas près d’évoluer. Selon l’enquête d’Okta, les mots de passe contenant des informations sensibles ne sont pas régulièrement modifiés : seulement trois fois par an pour les identifiants professionnels. D’autres, à l’instar des mots de passe des comptes bancaires, des téléphones, des e-mails personnels et des médias sociaux ne sont mis à jour en moyenne qu’une fois par an.
Alors pourquoi les organisations continuent- elles de s’appuyer sur une méthode qui s’est révélée jusqu’ici inadaptée?
La dépendance vis-à-vis des mots de passe a conduit les organisations et les éditeurs de logiciels à adopter une position plus stricte quant aux mots de passe autorisés. Nous avons tous été confrontés à un écran évaluant la complexité d’un mot de passe, et incitant à mélanger des chiffres, des lettres majuscules et minuscules, ou encore des caractères spéciaux. Cependant, cela ne suffit plus à renforcer la sécurité, et dans de nombreux cas, ces mesures n’ont même pas été mises en place.
Les mots de passe : les cibles idéales des cybercriminels
Selon l’agence nationale de la cybersécurité du RoyaumeUni, 23,3 millions de comptes de messagerie piratés utilisaient « 123456 » comme mot de passe, tandis que des millions d’autres utilisaient le terme « mot de passe », le nom de leur équipe de football ou celui de leur groupe de musique préféré.
Peu importent les efforts investis par une entreprise pour sensibiliser son personnel à la nécessité de mots de passe forts, les utilisateurs continueront de choisir des identifiants faciles à mémoriser, essentiellement parce qu’ils doivent en retenir beaucoup.
Pendant de nombreuses années, les mots de passe ont été perçus comme une mesure de sécurité adéquate, avec un coût limité par rapport aux alternatives. Leur fin a d’ailleurs été annoncée par erreur à de nombreuses reprises par les spécialistes de l’industrie. La différence aujourd’hui est qu’il existe à la fois un besoin croissant de sécurité afin de renverser l’ordre établi, et surtout, de technologies et solutions finalement capables de mettre fin à leur règne.
LE PROBLÈME CACHÉ DES MOTS DE PASSE
Mots de passe et bien-être sur le lieu de travail
Ces dernières années, des efforts ont été investis afin de comprendre et de répondre aux problématiques de troubles psychologiques. Cependant, la question de l’équilibre psychologique au travail, elle, commence tout juste à être évoquée. Une enquête publiée récemment9 révèle qu’un jeune sur six souffrira d’anxiété à un stade de sa vie, et l’année dernière, un sondage de l’Association psychiatrique américaine (APA) a révélé que près de 40 % des citoyens étaient plus anxieux qu’en 2017. L’anxiété est un problème croissant sur le lieu de travail, et ce pour diverses raisons ; en revanche, celui de la sécurité a jusqu’ici été occulté.
La pression mentale exercée par des mots de passe
Si beaucoup craignent d’oublier leurs mots de passe, cette éventualité ne constitue pas un risque de sécurité en soi. La majorité des fuites de données dues à des piratages sont liées à des mots de passe réutilisés, dérobés ou faibles ; il est donc plus risqué d’utiliser des mots de passe faibles et des moyens mnémotechniques trop simples que de les oublier et de les réinitialiser:
L’ALTERNATIVE AUX MOTS DE PASSE?
L’innovation et l’intégration
L’innovation technologique de ces dix dernières années a offert aux entreprises de nombreuses nouvelles opportunités pour adopter différentes approches en matière de sécurité. Désormais, les organisations peuvent associer des méthodes telles que la biométrie à des solutions à la fois traditionnelles et sécurisées, et supprimer dans le même temps leurs pratiques inadéquates. Après plusieurs années de fausses prédictions, la vision d’un avenir sans mot de passe pourrait enfin se concrétiser.
Vision du futur : la biométrie
L’authentification biométrique tirant parti des empreintes digitales, de la reconnaissance oculaire, faciale et vocale, a été essentiellement introduite pour offrir une meilleure protection contre les accès illégitimes aux comptes ou aux systèmes. Contrairement aux noms d’utilisateurs, mots de passe et autres codes PIN, les données sont uniques pour chaque employé.
L’utilisation de l’authentification biométrique se généralise pour les appareils personnels comme professionnels, et les entreprises déploient actuellement des stratégies de sécurité basées sur ces technologies.
Mettre l’accent sur la sensibilisation
Il y a donc du travail à accomplir pour aplanir les malentendus concernant le fonctionnement de la biométrie et instaurer un climat de confiance autour de ces technologies.
Par exemple, beaucoup d’employés pensent à tort que l’utilisation des fonctions Touch ID ou Face ID de leurs iPhone ou iPad, ou de Windows Hello For Business permettrait à leur entreprise d’accéder librement à leurs données biométriques. En réalité, ces informations sont hautement sécurisées et ne sont pas accessibles à des tiers, ni même au système d’exploitation de l’appareil. Ces données sont profondément ancrées dans les modules de sécurité des terminaux (Secure Enclave, Trusted Platform Module, etc.), ce qui signifie que même Apple ou Microsoft ne peuvent pas y accéder – et encore moins un employeur.
C’est donc aux organisations et aux ingénieurs développant ces technologies qu’il revient de montrer comment ces informations peuvent être sécurisées, et de promouvoir les avantages et la simplicité de mise en œuvre de ces outils afin de répondre aux inquiétudes émises.
CRÉER UN AVENIR SANS MOT DE PASSE DÈS AUJOURD’HUI
À l’heure où les organisations et leurs employés accordent de plus en plus d’importance à leurs identités et à la notion de confiance, nous devons nous assurer que nos informations sont protégées.
D’ores et déjà, les employeurs, développeurs, fabricants et autres responsables de la sécurité s’efforcent de renforcer la confiance que les utilisateurs ont en eux.
L’enquête d’Okta montre que les mots de passe sont actuellement la principale méthode utilisée pour protéger les applications, appareils, systèmes et comptes. Pourtant, cette solution est inadaptée, car ces codes secrets peuvent : être piratés, encourager les utilisateurs à adopter des comportements risqués, et être source de stress, d’anxiété, en plus de réduire la productivité des salariés. L’heure est venue de revoir notre utilisation des mots de passe.
Nous avons pu voir à quel point l’association de solutions SSO modernes et de facteurs d’authentification forte capables de déjouer les attaques de phishing offre une approche plus sûre et plus logique de la sécurité d’une entreprise. Cette même approche est nécessaire pour rendre possible un avenir sans mots de passe. Okta contribue à rendre cette vision facilement accessible pour les entreprises de toutes tailles et de tous les secteurs.
Okta combine ses capacités d’authentification unique (SSO) et d’authentification multifactorielle adaptative (MFA) avec des authentificateurs standard de l’industrie avec la biométrie, ce qui nous permettra de remplacer les mots de passe des organisations par une évaluation des risques entièrement contextuelle et des authentificateurs WebAuthn qui sont très résistants au phishing et ne peuvent être contournées ou dupliquées.
Les organisations peuvent tirer parti des appareils utilisés par leurs employés de façon extrêmement sécurisée, tout en respectant leur vie privée, et sans qu’aucune information sur leurs contacts ou leurs applications ne soit divulguée.
À propos d’Okta
Okta est le leader indépendant des services d’identification et de gestion d’accès pour les entreprises. Okta Identity Cloudpermet aux entreprises de sécuriser et gérer leur entreprise étendu (employés, partenaires, fournisseurs, clients) et d’améliorer l’expérience de leurs clients. Avec plus de 5.500 intégrations préexistantes avec des applications et des fournisseurs de services logiciels, les clients d’Okta peuvent intégrer facilement et de manière sécurisée les technologies dont elles ont besoin pour mener à bien leurs activités. Plus de 5.000 organisations à travers le monde font confiance à Okta pour connecter les gens et tout type de technologie, comme par exemple : 20th Century Fox, JetBlue, Nordstrom, Slack, Teach for America ou Twilio.
Pour en savoir plus, rendez-vous sur : www.okta.com/fr