Combler les lacunes en matière de gestion des mots de passe pour le personnel dans l’entreprise

Par Khizar Sultan, vice-président, Solutions d’identité, CyberArk

Le problème omniprésent des mots de passe pour le personnel

Pour les équipes informatiques et de sécurité, le chaos lié aux mots de passe est constant

Pendant ce temps, les utilisateurs de la main-d’œuvre en ont assez. On s’attend à ce qu’ils se souviennent de dizaines de mots de passe uniques et forts lorsqu’ils naviguent dans divers outils et ressources pour faire leur travail, et c’est tout simplement irréaliste. Il n’est pas étonnant que près de la moitié des travailleurs (49%) Admettent réutiliser les mêmes identifiants de connexion pour plusieurs applications liées au travail, et 36 % utilisent les mêmes identifiants à la maison et au travail. Bien que cela soit compréhensible, cela crée un risque énorme.

Certains ont pris les choses en main, en sélectionnant eux-mêmes un gestionnaire de mots de passe grand public qui exacerbe les problèmes de Shadow IT. En effet, 65 % des employés admettent contourner les politiques de cybersécurité pour se faciliter la vie. Vous seriez surpris de voir combien de personnes notent encore des mots de passe sur des post-it et dans des cahiers qui se perdent facilement (et facilement trouvé par d’autres) ou simplement les enregistrer sous forme de notes dans leur téléphone. Même ceux qui ont de bonnes intentions peuvent créer des risques par inadvertance, par exemple en stockant les informations d’identification sur des fichiers locaux non cryptés comme des feuilles de calcul ou dans des gestionnaires de mots de passe basés sur un navigateur non sécurisés comme Chrome ou Firefox.

Malheureusement, l’IA a porté les méthodes de vol de mots de passe comme le phishing à de nouveaux niveaux, ce qui facilite plus que jamais l’infiltration des appareils des utilisateurs avec des logiciels malveillants, la recherche et l’extraction des mots de passe stockés et leur envoi directement à l’attaquant. Cela peut entraîner un accès non autorisé à des comptes et des données sensibles, ce qui pose des risques de sécurité importants.

La réponse, bien sûr, est d’éliminer complètement les mots de passe. C’est certainement la direction que prend le monde, mais dans l’ici et maintenant, les mots de passe sont une réalité et leur protection est une responsabilité partagée. De nombreuses études montrent que l’éducation à la cybersécurité est essentielle pour améliorer le comportement des employés et les habitudes en matière de mots de passe. Ce qui est encore plus important, c’est de fournir une solution qui permet aux travailleurs de gérer et de partager facilement et en toute sécurité leurs identifiants de travail.

Plus de la moitié des utilisateurs de la main-d’œuvre des organisations ont accès à des données d’entreprise sensibles fréquemment consultées par le biais des applications que les employés utilisent dans le cadre de leur travail.

La nature changeante de l’identité : le privilège est partout

Pendant longtemps, l’approche standard de la sécurité des accès du personnel s’est concentrée sur des contrôles de base tels que l’authentification par authentification unique (SSO). Mais c’est ignorer la réalité du travailleur moderne et la nature changeante de l’identité : le salarié moyen peut être un utilisateur à faible risque puis, l’instant d’après, en fonction de sa tâche, un compte hautement privilégié. Plus de la moitié des utilisateurs de la main-d’œuvre des organisations ont accès à des données d’entreprise sensibles fréquemment consultées via des applications d’entreprise.

En fait, presque tous les employés disposent d’une sorte d’accès sensible ou privilégié. Malheureusement, cela signifie que les données et les ressources sensibles de votre entreprise peuvent n’être qu’à un mot de passe faible de tomber entre de mauvaises mains.

De plus, le SSO ne peut protéger que certaines applications métiers. De nombreux outils, tels que ceux utilisés pour la collaboration, la banque et l’expédition, ne prennent pas en charge la fédération et ne sont accessibles qu’avec des noms d’utilisateur et des mots de passe individuels. Il est donc difficile pour les équipes informatiques et de sécurité de suivre efficacement l’activité d’accès, de contrôler la complexité des mots de passe et de révoquer l’accès aux applications dont les utilisateurs n’ont plus besoin.

Tous les gestionnaires de mots de passe ne sont pas créés égaux

Pour combler ces failles de sécurité, de nombreuses organisations se tournent vers des versions professionnelles d’outils de gestion de mots de passe personnels. Pourtant, la plupart des offres populaires s’arrêtent au point de gestion des mots de passe, incapables de fournir les capacités de sécurité au niveau de l’entreprise dont les équipes informatiques et de sécurité ont besoin pour protéger leurs organisations contre les menaces basées sur l’identité, telles que :

• Visibilité et contrôle de l’activité de l’utilisateur final. Incapables de montrer comment les applications sont accessibles et les mots de passe partagés, ces outils peuvent en fait exacerber les risques causés par les approches de gestion des mots de passe des employés. Par exemple, dans de nombreux cas, les utilisateurs peuvent toujours choisir d’enregistrer leurs mots de passe dans leur navigateur, une porte d’entrée clé pour les attaquants ciblant les terminaux.
• Intégrations sophistiquées. Pour être plus efficaces, les outils de gestion des mots de passe du personnel doivent s’intégrer à de nombreux systèmes IAM ainsi qu’au navigateur de l’entreprise. Pourtant, de nombreux gestionnaires de mots de passe sur le marché aujourd’hui manquent de capacités d’intégration sophistiquées, ce qui rend impossible de fournir des protections étendues à des points critiques tels que la connexion, l’authentification continue après la connexion et tout au long des sessions du navigateur.
• Expérience éprouvée en matière de sécurité. Au cours des dernières années, plusieurs gestionnaires de mots de passe personnels populaires ont été victimes de violations de données, à la fois directes et indirectes, qui ont compromis les données personnelles des utilisateurs et mis en danger des informations sensibles. Ces incidents soulignent la nécessité de disposer d’un outil capable de (ou dépasser) Exigences en matière de protection des données, soutenues par un fournisseur expérimenté ayant fait ses preuves en matière de sécurité.

Dans la partie 2 de cette série, nous allons explorer quatre bonnes pratiques pour combler les lacunes en matière de sécurité des mots de passe d’entreprise. En adoptant ces quatre étapes stratégiques, les organisations peuvent créer une expérience conviviale que leur personnel adorera (et de vous en tenir à), tout en assurant la sécurité, le contrôle et la visibilité dont ils ont besoin.