Un peu plus d’un quart des employés en Europe utiliseraient les identifiants de leur réseaux sociaux pour se connecter à leurs comptes professionnels.
C’est l’un des principaux enseignements d’une enquête conduite par le cabinet Ovum pour le compte de LastPass, gestionnaire de mots de passe (*).
Au regard de l’activité de son mandataire, l’étude prêche bien sûr pour un renforcement de l’authentification des utilisateurs.
Elle délivre dans le même temps quelques données inquiétantes sur la politique de sécurisation des entreprises.
Le phénomène du shadow IT connaissant une belle santé avec l’essor du SaaS, 73% responsables informatiques interrogés avouent ne pas avoir de visibilité ni de contrôle sur les applications cloud utilisées par leurs employés.
Faute de gestionnaire de mots de passe dédié (24 % des entreprises en possèdent), 40 % déclarent que cette tâche est effectuée manuellement.
La gestion des mots passe laissés aux salariés
Plus gênant encore, plus de la moitié des services IT confient cette responsabilité de aux employés. 62% d’entre eux se contentent de sensibiliser les salariés à la nécessité d’utiliser des mots de passe forts. A cet égard, la CNIL préconise d’employer douze de caractères, mêlant majuscules, minuscules, chiffres et les caractères spéciaux.
Ce déport de la responsabilité de la gestion des mots de passe sur les collaborateurs entraine un surcroît d’activité pour le support informatique. Confrontés à des problèmes quant à la mémorisation de leurs mots de passe, près d’un tiers des utilisateurs (32%) le solliciteraient à ce sujet au moins une fois par mois.
L’absence de systèmes d’authentification unique (Single Sign-On ou SSO en anglais) pour 61% des sociétés complique la donne, les salariés devant gérer une multitude de mots de passe.
Des situations à risques à moduler selon les pays. Aucun employé allemand ne partage ses mots de passe. A l’opposé, le Royaume Uni est le cancre de la classe, avec 10 % des employés qui communiquent leurs mots de passe entre collègues. Shocking !
A l’approche de l’entrée en vigueur en mai prochain du règlement européen sur la protection des données personnelles (RGPD), il est bon de rappeler qu’une authentification forte prend en compte deux facteurs. Un identifiant personnel (mot de passe, code pin, question secrète…) est associé à un jeton ou carte à puce, ou à une donnée biométrique (signature de l’iris, empreinte digitale…).
(*) En août 2017, Ovum a interrogé 355 responsables informatiques et 550 employés d’entreprises en Amérique du Nord, Europe et Asie-Pacifique, évoluant dans 13 secteurs d’activité.
Photo credit: TU Lankide on Visual Hunt / CC BY-NC-ND
Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…
Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…
Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…
Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…
Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…
D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).