Mot de passe : la porte blindée pour la protection des données

Security Awareness
26 avril 2023
Password: la porta blindata a protezione dei dati

Apprenons à créer des mots de passe forts

La technologie, en plus de rendre le monde moins mystérieux et plus petit, nous a sans aucun doute rendu la vie plus facile et moins fatigante. Mais, comme le disent les sages, rien n’est gratuit et, selon un étrange mécanisme de compensation, là où il y a un avantage, il y a toujours une perte ou un risque.

Ainsi, s’il est vrai qu’il suffit désormais d’un clic pour effectuer pratiquement n’importe quelle action ou pour accéder à beaucoup de connaissances, il est également vrai que chaque clic que nous faisons laisse une trace qui peut permettre à quelqu’un d’autre de nous identifier, de nous suivre, de connaître beaucoup de choses sur nous et, surtout, de s’immiscer dans nos vies. Bref, à l’ère d’Internet, vivre incognito est devenu un luxe que peu de gens peuvent s’offrir.

Les données numérisées sur nos appareils, personnels ou professionnels, représentent une extension numérique de notre personne ou de l’entreprise pour laquelle nous travaillons et deviennent notre empreinte numérique. Une véritable identité qui doit être sauvegardée et protégée pour éviter que quelqu’un ne nous la vole et ne l’utilise pour accomplir des actions que nous n’aurions jamais faites. Parmi celles-ci, il y a certainement celle qui consiste à se déplacer dans les réseaux d’entreprise sans être découverts. C’est une activité très pratiquée par les pirates informatiques qui parviennent à se faire passer pour un employé après avoir eu accès à ses informations d’identification. C’est pourquoi la sécurité des identités est devenue l’une des priorités des CISO.

Mais l’ usurpation d’identité peut avoir de nombreuses autres conséquences graves, notamment : la création de faux profils, la violation de la vie privée, la manipulation et la modification des données. Pour les entreprises, en plus des conséquences susmentionnées, vous pouvez ajouter l’usurpation de données à des fins de rançon, ou de profit, ou à des fins de concurrence déloyale. En résumé, les attaques par hameçonnage visent le vol ou l’exploitation des identités numériques et peuvent entraîner de graves pertes pour les utilisateurs, les fournisseurs et même empêcher les clients d’utiliser les services en ligne. Et tout cela se produit toujours à cause d’une erreur humaine, d’une distraction ou d’une sous-estimation des risques.

Depuis la dernière édition de 2022 du rapport d’enquêtes sur les violations de données (la quinzième), il est apparu que la plupart des violations de données ont eu lieu à cause de personnes physiques qui ont involontairement et imprudemment « collaboré » à l’attaque. Elles ont virtuellement laissé la porte ouverte.

En fait, parmi les erreurs humaines qui permettent aux pirates informatiques d’usurper les identités ou d’y porter atteinte, il y a sans aucun doute celle de ne pas prendre assez de précautions avec les mots de passe et des identifiants de connexion, et de mal les utiliser.

C’est vrai, nous sommes submergés de mots de passe et d’informations d’identification. En effet, selon les données, une personne moyenne en a environ 70. Se les remémorer s’avère être très compliqué.

C’est pourquoi, souvent, nous cédons à la facilité de toujours utiliser les mêmes mots de passe ou de choisir des mots de passe faciles à retenir et donc faibles. Une erreur très répandue, mais qui ne devrait jamais être commise.

Certaines statistiques déconcertantes montrent à quel point la situation en matière de sécurité des mots de passe s’est détériorée ces dernières années :

  • Les cybercriminels ont exploité 1,7 milliard d’identifiants de connexion (y compris les mots de passe) en 2021 (enquête Spycloud).
  • Le mot de passe non crypté le plus utilisé est « mot de passe » (enquête Spycloud).
  • 45 % des utilisateurs ne changent pas de mot de passe après une violation (Studio LastPass).
  • 60 % des utilisateurs réutilisent leurs mots de passe (Enquête Spycloud).
  • 84 % utilisent le même mot de passe pour plusieurs comptes (Enquête Bitwarden).
  • L’erreur humaine, qui comprend le partage de mots de passe et l’utilisation de mots de passe faibles, est à l’origine de 95 % des cyberattaques, selon l’enquête « IBM Threat Intelligence ».

Ces chiffres montrent bien à quel point il est important, pour lutter contre la cybercriminalité et protéger nos données, d’utiliser des mots de passe forts et sûrs, ce qui équivaut à se doter d’une porte blindée solide pour protéger notre maison, en veillant à bien la refermer à chaque fois.

Voici quelques-unes des erreurs les plus courantes dans l’utilisation des mots de passe, ainsi que les conseils pour de plus les faire.


Ne partagez pas vos mots de passe
Une enquête menée par Yubico et Ponemon a révélé que 49 % des responsables de la cybersécurité et 51 % des employés partagent des mots de passe avec leurs collègues pour accéder aux comptes de l’entreprise. Une chose à ne jamais faire.

N’utilisez pas le même mot de passe pour plusieurs comptes.
60 % des employés admettent réutiliser les mots de passe pour plusieurs comptes. Vous pouvez contourner la difficulté de se souvenir de tous vos mots de passe par le biais d’un gestionnaire de mots de passe.

Ne laissez pas un mot de passe écrit sur votre bureau
Souvent, par commodité, on écrit un mot de passe sur une feuille qu’on laisse traîner sur son bureau, ce qui pourrait encourager toute personne de passage à le copier. Si, en outre, l’employé utilise le même mot de passe pour plusieurs comptes, il est exposé à plusieurs violations.

Ne fournissez jamais de mots de passe, même s’ils sont demandés
Les escrocs incitent souvent les employés, par le biais de l’ingénierie sociale, à fournir des informations personnelles, y compris des mots de passe.
Attention à ne pas tomber dans le piège.

Choisissez des mots de passe difficiles à deviner
Le mot de passe le plus répandu est 123456. Un choix qui facilite le travail d’un cybercriminel. Il convient, dans une entreprise, d’encourager l’utilisation de mots de passe plus complexes.

Changez les mots de passe en cas de doute
Les politiques de sécurité doivent garantir que les employés changent les mots de passe s’ils estiment avoir été victimes d’une attaque par hameçonnage.

Rendez les questions de récupération de mot de passe plus difficiles
La récupération de mot de passe est souvent une cible pour les cybercriminels ; les méthodes utilisées pour récupérer les mots de passe exigent que les utilisateurs saisissent des détails tels que le nom de jeune fille de la mère, des informations facilement accessibles aux escrocs. Il faut donc se doter d’un système de récupération de mot de passe robuste.

Ne perdez pas vos mots de passe en raison de connexions non sécurisées
Un mot de passe peut être volé si une personne utilise une connexion Internet non sécurisée, comme le sont souvent les réseaux publics. Dans ces cas, il est préférable d’utiliser un site qui offre plus de garanties de sécurité, par exemple, HTTPS ou un VPN.

N’utilisez pas de mots communs dans un mot de passe
L’utilisation de mots communs dans la création d’un mot de passe est exploitée par les pirates informatiques, qui utilisent des programmes malveillants pour tenter de se connecter à un compte en utilisant des mots de passe et des mots communs.

Même si ces précautions semblent banales à première vue, elles sont en fait très complexes et nécessitent une formation et une préparation spécifiques pour être assimilées et systématisées. Surtout dans une entreprise ou une organisation, où les enjeux sont très élevés, tout comme la possibilité de commettre des erreurs, on ne peut plus se passer d’une formation spécifique sur ces aspects. En partant du fait établi qu’à l’origine de l’attaque, il y a toujours l’erreur humaine, c’est principalement sur cela qu’il faut intervenir de manière préventive. La véritable barrière de protection est en effet représentée par des employés correctement formés et continuellement mis à jour. Une porte blindée pour protéger l’entreprise qui donnera aux pirates informatiques du fil à retordre.

Abonnez-vous à la newsletter

Articles connexes

Arnaque par SMS : un éternel recommencement

Arnaque par SMS : un éternel recommencement

Le dernier cas de smishing ravive une peur qui ne doit jamais s’éteindre Plus que des armes, des visages cachés, des fuites rocambolesques et des actions dangereuses. Aujourd’hui, pour vider un compte courant, il suffit d’envoyer un SMS. La dernière victime en date a...

lire plus