Face à l'interminable succession de piratages notoires, la sécurité des entreprises revêt désormais une importance sans précédent. Cependant, selon la toute dernière enquête Global State of Information Security Survey, les dépenses consenties sur ce plan ont diminué d'un tiers au cours des 12 derniers mois, en particulier dans les TPE et PME. Malgré la menace, les PME commettent encore l'erreur d'estimer que leurs données n'intéressent pas les hackers parce qu'elles ne sont que de petites ou moyennes structures.
Cette absence d'investissement est souvent à l'origine de stratégies de sécurité laxistes, les utilisateurs en profitant pour recourir à des pratiques manuelles, comme le fait de regrouper leurs mots de passe dans des tableurs. La culture du BYOD et du travail à distance complique encore la tâche pour les entreprises ne disposant pas des technologies adéquates pour obtenir une visibilité globale de leur sécurité. Dans de nombreux cas, les salariés deviennent alors la première ligne de défense contre les menaces externes ciblant les données professionnelles. Ainsi, selon une enquête publiée récemment par LastPass et Ovum, plus de la moitié des responsables informatiques s'attendent à ce que les employés adoptent d'eux-mêmes les bons comportements vis-à-vis de leurs mots de passe, ce qui constitue en soi un risque pour leur entreprise. Bien qu'il soit important que ces derniers soient sensibilisés et maîtrisent les meilleures pratiques en la matière, il n'en est pas moins essentiel pour les équipes informatiques d'investir suffisamment de temps et de ressources pour contrôler la sécurité de leur organisation.
Voici donc 4 mesures qui permettront aux entreprises de revoir leurs stratégies de sécurité pour 2018 :
Reprendre la main sur la gestion des mots de passe
Cela peut paraître évident comme point de départ, mais beaucoup d'entreprises peinent à faire face aux lacunes de sécurité de leur entreprise bien qu'elles en soient conscientes. Ainsi, en matière de gestion de mots de passe, beaucoup de services informatiques auront tendance à nier leur responsabilité, considérant que les employés les choisissent eux-mêmes, et que c'est donc à eux qu'il revient de les gérer et d'en assurer le contrôle. Cependant, selon le rapport d'investigation de Verizon sur les fuites de données, plus de 80 % des failles sont la conséquence de mots de passe faibles, compromis, ou réutilisés. Cette approche n'a donc rien d'infaillible. En outre, une enquête publiée récemment a révélé que plus de trois quarts des employés auraient des problèmes relatifs à l'utilisation ou à la gestion de leurs mots de passe au moins une fois par mois, bon nombre d'entre eux estimant ne pas avoir l'assistance nécessaire. Il est clairement temps pour les équipes informatiques de se rendre à l'évidence et de reprendre le contrôle de la gestion des mots de passe des utilisateurs.
Adopter une vision à 360°
Les entreprises doivent comprendre que les frontières entre le monde professionnel et personnel sont de plus en plus floues, et que ce phénomène s'étend également à la sécurité. Avec la popularité croissante du BYOD et du travail à distance, les équipes informatiques se doivent de reconnaître l'émergence de méthodes de travail modernes, et d'adapter leurs stratégies et approches en fonction de ces pratiques. Il faudra notamment étendre leur supervision au-delà des identifiants et mots de passe professionnels des employés. Il suffit de prendre l'exemple de la faille de Yahoo (3 millions de mots de passe dérobés) pour comprendre que les pirates disposent d'une multitude de points d'entrée afin d'accéder à des données professionnelles. Par exemple, si un employé vérifie ses e-mails personnels et professionnels et clique sur un lien contenant un malware, l'ensemble du réseau d'entreprise devient potentiellement vulnérable. Plus vite les équipes informatiques comprendront qu'elles ont besoin d'une vision à 360 degrés de la sécurité des utilisateurs, mieux ce sera pour la capacité de leurs systèmes de défense à résister aux agressions.
Sensibiliser les employés
La sécurité d'une entreprise passe également par le fait de sensibiliser les employés aux meilleures pratiques. Surtout, il est essentiel de leur faire comprendre l'importance d'utiliser des mots de passe complexes et uniques sur l'ensemble de leurs comptes, les risques des réseaux publics, et les ressources auxquelles ils devraient ou ne devraient pas accéder sur de tels réseaux. Les entreprises doivent donc définir des stratégies de sécurité et s'assurer de sensibiliser régulièrement aussi bien les utilisateurs existants que les nouvelles recrues. Pour cela, elles peuvent recourir à la ludification afin d'aider les employés à prendre de bonnes habitudes. Faire de la sécurité un jeu permet également de mieux comprendre la place du facteur humain. Les salariés pourraient ainsi être évalués sur le niveau de sûreté de leurs mots de passe, et celui qui obtiendrait le meilleur score recevrait un prix.
Investir dans les nouvelles technologies et s'assurer qu'elles soient à jour
Enfin, à l'approche de la nouvelle année, il n'est plus acceptable de gérer manuellement la sécurité de son entreprise. Noter les mots de passe des employés dans une feuille de calcul sur Excel, ou écrire des numéros de cartes de crédit sur des feuilles de papier ne sont pas des méthodes acceptables. Indépendamment de leur taille, les entreprises doivent investir dans des technologies leur permettant de gérer leurs données confidentielles en toute sécurité, et activer l'authentification multifacteur sur l'ensemble de leurs comptes (données biométriques, mots de passe à usage unique etc.).
Auteur : Thierry Behaghel, LastPass.
