Les entreprises continuent de privilégier les mots de passe, malgré des capacités de protection en baisse, constate Thales

  • Près d’un tiers (29%) des organisations en Europe et au Moyen-Orient considèrent l’association « nom d’utilisateur + mot de passe » comme l’un des outils les plus efficaces de gestion des accès, malgré ses faiblesses intrinsèques

  • Plus de la moitié (57%) des entreprises pensent que les infrastructures non protégées, comme les nouveaux appareils IoT, représentent des cibles de choix pour les cyberattaques, devant les applications cloud (55%) et les portails internet (43%)

  • Plus des deux tiers (67%) des responsables IT expriment leur difficulté à trouver un équilibre entre commodité et sécurité

D’après une nouvelle étude de Thales, deux ans après que l’inventeur du mot de passe statique complexe ait reconnu que l’association « nom d’utilisateur + mot de passe » ne fonctionne pas, près d’un tiers (29%) des organisations en Europe et au Moyen-Orient continuent à la considérer comme l’un des moyens les plus efficaces de protéger l’accès à leur infrastructure  IT. En effet, 67% des répondants déclarent que leur organisation prévoit  de continuer  l’utilisation des noms d’utilisateur et des mots de passe à l’avenir. Cette confiance obstinément placée dans des systèmes de sécurité obsolètes perdure, bien que des responsables IT déclarent qu’ils convainquent de plus en plus facilement (48%) leurs conseils d’administration de la nécessité de se préoccuper de la sécurité par rapport à l’an dernier (29%).

Une nouvelle enquête de Thales auprès de 400 décideurs du secteur des technologies informatiques  en Europe et au Moyen-Orient révèle que la majorité (57%) des professionnels de l’informatique montre que les infrastructures non protégées sont l’une des principales cibles des cyberattaques. Par conséquent, toutes les organisations qui utilisent de telles infrastructures en raison de la pression qui les pousse à adopter des technologies de transformation numérique sont susceptibles d’être exposées à un risque élevé.

Du dilemme entre sécurité et commodité

 Depuis le début de la crise mondiale du Covid-19, de nombreuses entreprises sont contraintes de pratiquer le télétravail. Dès lors, les services informatiques se battent pour offrir aux employés sécurité et confort. En fait, plus des deux tiers (67%) des responsables informatiques européens indiquent que leurs équipes de sécurité se sentent sous pression pour fournir aux utilisateurs un accès aisé à des applications et services cloud, mais toujours en privilégiant la sécurité, ce qui montre qu’ils ont du mal à trouver un équilibre entre transformation numérique et priorités de sécurité. Pour parvenir à un tel équilibre, de solides solutions d’authentification et de gestion des accès peuvent faciliter une adoption sécurisée du cloud. Plus des trois quarts (76%) ont également déclaré que l’authentification des employés doit pouvoir permettre un accès sécurisé à une large gamme de services, y compris à des réseaux privés virtuels et des applications cloud.

Timides avancées

Alors que certaines organisations s’appuient toujours sur des méthodes d’authentification traditionnelles, comme les noms d’utilisateur et les mots de passe, la prise de conscience croissante des menaces incite à l’action : au cours des 12 derniers mois, la quasi-totalité (94%) des organisations ont modifié leur politique de sécurité de la gestion des accès. Une attention accrue a été portée à la formation du personnel en matière de sécurité et de gestion des accès (47%) et à l’augmentation des dépenses en gestion des accès (43%), la gestion des accès devenant une priorité du conseil d'administration (37%). Cette évolution devrait également porter ses fruits en termes de conformité, la quasi-totalité (98%) des répondants européens déclarant qu’ils contrôlent qui a accès aux données de leur entreprise, ce qui les aidera à  remplir les exigences de réglementation des données, comme celles du RGPD.

«À l’heure où de plus en plus d’entreprises adoptent des services basés sur le cloud pour leur GRC, leur courrier électronique, la collaboration entre employés et l’infrastructure informatique dans le contexte de leurs stratégies de transformation numérique, s’acharner à étendre au monde extérieur des solutions anciennes conçues pour protéger les ressources internes devient très problématiques. Souvent, dans leur effort désespéré pour s’adapter aux nouvelles habitudes de travail d’utilisateurs qui se connectent de n’importe où, ce qui est de plus en plus pertinent désormais et deviendra la norme à l'avenir, les entreprises ont tendance à revenir aux anciennes connexions basées sur un mot de passe pour les services cloud. En agissant ainsi, elles augmentent délibérément leur exposition au credential stuffing et au phishing»,

 déclare François Lasnier, vice-président des solutions de gestion des accès chez Thales.

Deux pas en avant, un pas en arrière

À l’avenir, certains responsables IT devraient user plus judicieusement de leur influence sur leurs conseils d’administration pour favoriser les investissements dans des méthodes plus sécurisées telles que l’authentification biométrique (75%) et la SSO intelligente (81%) dont l’adoption devrait augmenter au cours de l'année prochaine. Cependant, un tiers des répondants (67%) prévoient toujours de poursuivre  l’utilisation des noms d’utilisateurs et des mots de passe, un pourcentage similaire à ceux qui ont l’intention d’utiliser davantage les méthodes d’authentification sans mot de passe (70%).

«Pendant longtemps, la plus grande bataille que les responsables informatiques ont dû mener a consisté à accroître la sensibilisation des conseils d’administration aux menaces sécuritaires et à les inciter à prendre celles-ci au sérieux, poursuit François Lasnier. Maintenant qu’ils y sont parvenus, ils devraient s’efforcer de les convaincre de l’importance de la gestion des accès dans la mise en œuvre d’une politique de sécurité zero trust. Une fois cela acquis, les professionnels de la gestion des risques seront en mesure d’instaurer une approche "Protéger partout – Ne faire confiance à personne" au fur et à mesure de leur adoption du cloud.»

1Le «2020 Access Management Index» est une enquête réalisée auprès de 400 cadres de 7 pays d’Europe et du Moyen-Orient ayant des responsabilités en matière  IT et de sécurité des données ou une influence dans ces domaines. L’enquête, le rapport et l’analyse ont été réalisés par Vanson Bourne à la demande de Thales.