La formation à la sécurité inefficace ? Voici comment corriger les habitudes à risque en matière de mots de passe

Cependant, la formation a ses limites, surtout lorsqu’il s’agit de modifier le comportement des utilisateurs par rapport aux mots de passe. Les gens continuent d’adopter de mauvaises habitudes en matière de mots de passe, comme la réutilisation de mots de passe sur plusieurs sites et applications par exemple.

Bien qu’ils aient été informés des bonnes pratiques, les utilisateurs finaux privilégient la commodité et l’efficacité plutôt que la sécurité. Ils ne cherchent pas intentionnellement à faire courir des risques à leur organisation, ils veulent simplement pouvoir travailler rapidement sans avoir à se souvenir de plusieurs mots de passe complexes. Concernant les failles de la cybersécurité, l’attitude qui prévaut est celle du « ce ne sera pas moi ». Si la formation peut bien contribuer à créer une culture de sensibilisation à la cybersécurité, on ne peut pas compter sur elle pour modifier systématiquement les comportements.

Nous passerons en revue les limites de la formation et suggérerons cinq façons de la renforcer à l’aide de la technologie afin d’assurer la sécurité des mots de passe.

Les lacunes de la formation

Selon une étude de LastPass, 79 % des personnes ayant reçu une formation en cybersécurité l’ont trouvée utile. Cependant, seulement 31 % de ces personnes déclarent avoir cessé de réutiliser leurs mots de passe. Cela montre que si la formation peut apporter des connaissances précieuses, elle ne se traduit pas toujours par des changements de comportement immédiats. Soit la formation ne fonctionne pas, soit les utilisateurs finaux ne tiennent pas compte de ce qu’ils ont appris privilégiant rapidité et commodité.

Ce comportement est souvent motivé par la volonté de minimiser les difficultés liées à la mémorisation de plusieurs mots de passe complexes. Cela se comprend aisément. Avec l’explosion de l’adoption du SaaS, une organisation moyenne utilise plus de 130 applications SaaS et un employé moyen doit gérer une centaine de mots de passe. Même avec les meilleures intentions du monde, les employés peuvent oublier ou négliger de suivre les directives de sécurité relatives aux mots de passe. Les contraintes de temps, les oublis et l’absence de conseils personnalisés sont autant de facteurs qui peuvent nuire à l’efficacité des programmes de formation.

Si la formation est utile pour sensibiliser et informer sur la sécurité des mots de passe, elle a ses limites lorsqu’il s’agit de modifier réellement les comportements à risque des utilisateurs, comme la réutilisation des mots de passe.

Pourquoi la réutilisation des mots de passe est-elle si problématique ?

Une étude de Bitwarden révèle que 84 % des internautes admettent réutiliser leurs mots de passe. Cela devrait sonner l’alarme pour toutes les équipes informatiques. Lorsque des personnes réutilisent leurs mots de passe professionnels sur des sites web et des applications personnels, une faille extérieure à votre organisation pourrait permettre à des pirates d’infiltrer facilement votre lieu de travail. Cela compromet les efforts de votre organisation pour protéger données et systèmes sensibles, car vous pouvez être compromis par un lien extérieur frauduleux.

Imaginons que des pirates mettent la main sur une base de données de mots de passe provenant d’un site web externe ou d’une application SaaS à la sécurité insuffisante. Les mots de passe auront beau avoir été hachés, les attaquants auront le temps d’essayer de les déchiffrer, puis de découvrir qui sont leurs propriétaires et où ils travaillent. Si les victimes réutilisent leurs mots de passe professionnels, cela pourrait permettre aux attaquants d’entrer facilement dans leur organisation.

La réutilisation des mots de passe est un problème particulièrement difficile à résoudre à travers la formation pour les organisations, car elles tentent d’influencer un comportement extérieur au travail. Ce problème nécessite l’aide de la technologie.

Six façons de soutenir la formation avec la technologie adéquate

En combinant les efforts de formation et la technologie, les organisations peuvent créer une défense plus solide contre les comportements à risque en matière de mots de passe. Voici six manières d’augmenter vos efforts de formation de façon efficace.

1. Effectuez un audit des mots de passe : l’audit de votre Active Directory peut vous donner un aperçu instantané des vulnérabilités liées aux mots de passe qui doivent être corrigées. Cela permet aux équipes informatiques de remédier de manière proactive à toute vulnérabilité et d’inviter les utilisateurs à modifier leur mot de passe si nécessaire. Intéressé par l’audit ? Téléchargez un outil gratuit en lecture seule et analysez votre Active Directory dès aujourd’hui.

2. Bloquer les mots de passe faibles : la mise en place d’une politique de mots de passe efficace peut bloquer les mots de passe courants, les suites de clavier et même personnaliser des dictionnaires spécifiques à votre secteur d’activité. En empêchant le recours aux mots de passe faibles, les organisations peuvent réduire de manière significative le risque d’attaques par force brute et d’accès non autorisé.

3. Rechercher les mots de passe compromis : même des mots de passe forts peuvent être compromis, il est donc important de scanner votre environnement en continu à la recherche de mots de passe compromis et d’empêcher la création de mots de passe faibles. En avertissant rapidement les utilisateurs et en les invitant à modifier leurs mots de passe, les organisations peuvent atténuer le risque que des attaquants utilisent des mots de passe compromis pour obtenir un accès non autorisé.

4. Gestionnaires de mots de passe: les gestionnaires de mots de passe sont des outils qui stockent et génèrent en toute sécurité des mots de passe uniques pour différents comptes. En encourageant les employés à recourir à des gestionnaires de mots de passe, les organisations évitent ainsi aux individus d’avoir à se souvenir de plusieurs mots de passe complexes. Cependant, gardez à l’esprit que les utilisateurs finaux devront se souvenir d’un mot de passe principal qui pourrait toujours être menacé s’il est réutilisé.

5. Appliquer l’authentification multifacteur (MFA): l’authentification multifacteur ajoute un niveau de sécurité supplémentaire en demandant aux utilisateurs de fournir, en plus de leur mot de passe, une vérification additionnelle, telle qu’une empreinte digitale ou un mot de passe à usage unique. Avec la MFA, les organisations peuvent réduire l’impact des mots de passe compromis, car les attaquants ont besoin de plus qu’un mot de passe pour obtenir un accès non autorisé. Cependant, la MFA n’est pas infaillible et avoir des mots de passe sécurisés reste vital.

Renforcer la formation avec une sécurité des mots de passe solide

Specops Password Policy avec Breached Password Protection bloque la création de mots de passe faibles et scanne en permanence vos mots de passe Active Directory en les comparant à une base de données de mots de passe compromis connus. Il s’agit d’un filet de sécurité précieux qui permet d’éviter les comportements à risque en matière de mots de passe ainsi que la compromission des mots de passe Active Directory de vos utilisateurs finaux.

L’expérience de vos utilisateurs finaux est également prise en compte grâce à des notifications personnalisables et à un retour d’information dynamique lors du processus de changement de mot de passe, qui les guide vers la création de mots de passe forts et facilement mémorisables. En améliorant l’expérience utilisateur, les organisations renforcent leurs efforts de sensibilisation à la sécurité et encouragent les utilisateurs à adopter de meilleures pratiques en matière de mots de passe, réduisant ainsi la probabilité de voir ces derniers réutilisés.