Les mauvaises habitudes en matière de mots de passe sur le lieu de travail rendent les organisations vulnérables aux cyberattaques
Keeper a interrogé plus de 1 000 employés de différents secteurs d'activité sur leur comportement en matière de mots de passe et les résultats ont de quoi inquiéter.
Quelques faits marquants
Noter des mots de passe sur des post-its
Enregistrer des mots de passe en clair dans des documents non protégés
Partager des mots de passe par SMS et par e-mail
Lisez le rapport complet ci-dessous pour en savoir plus sur ces problèmes de sécurité liés aux mots de passe et comment protéger votre organisation contre le vecteur de cyberattaque le plus répandu.
Les mauvaises habitudes en matière de mots de passe sur le lieu de travail constituaient une menace pour la cybersécurité des organisations avant même la pandémie de COVID-19. Lorsque la pandémie a contraint les organisations du monde entier à déployer et sécuriser rapidement leur personnel en télétravail, les équipes ont commencé à se connecter aux ressources de l'organisation à distance, dans des environnements échappant au contrôle de leurs employeurs, souvent depuis leurs propres appareils.
Les personnes interrogées dans le cadre du rapport du Ponemon Institute intitulé « Cybersecurity in the Remote Work Era: A Global Risk Report », commandé par Keeper Security en 2020, ont exprimé de graves inquiétudes en matière de sécurité des mots de passe dans leurs organisations :
- 60 % des répondants ont indiqué que leur organisation avait subi une cyberattaque au cours des 12 derniers mois.
- Plus de 50 % de ces attaques ont impliqué des identifiants volés.
- Le vol de ressources informatiques a entraîné des dommages chiffrés à 5 millions de dollars ou plus pour 25 % des entreprises.
La pandémie a poussé les entreprises à déployer rapidement de nombreuses nouvelles technologies pour permettre aux employés en télétravail de rester connectés, de collaborer et de travailler. De Zoom à Google Workspace en passant par Slack, les employés ont dû ouvrir de nouveaux comptes en ligne et gérer des mots de passe de plus en plus nombreux.
Keeper s'est demandé dans quelle mesure le passage des entreprises aux environnements de travail à distance avait affecté la sécurité des mots de passe. Les télétravailleurs respectent-ils de bonnes pratiques pour sécuriser leurs mots de passe ou ont-ils cédé à la « lassitude à l'égard des mots de passe », adoptant de mauvaises habitudes susceptibles de poser des risques importants de cybersécurité ? C'est la raison pour laquelle Keeper, en partenariat avec Pollfish, a mené une enquête sur les mauvaises habitudes en matière de mots de passe sur le lieu de travail.
Pendant que Ponemon interrogeait les dirigeants d'organisations, nous avons décidé de nous adresser directement aux employés pour cette enquête, et d'interroger 1 000 travailleurs à temps plein aux États-Unis sur leurs habitudes en matière de mots de passe. L'enquête, effectuée en février 2021, ne concernait que les personnes qui utilisaient des mots de passe pour se connecter à des comptes en ligne professionnels.
Vous trouverez ci-dessous les conclusions les plus importantes issues de cette enquête. Les données complètes sont également disponibles ici.
Conclusion n° 1 : les employés américains gèrent et stockent leurs identifiants de façon non sécurisée
Notre enquête a fait ressortir que les employés ne respectent pas les bonnes pratiques en matière de stockage et de gestion de leurs mots de passe professionnels, entraînant ainsi des risques de cybersécurité majeurs pour leurs employeurs.
- Plus de la moitié des répondants (57 %) reconnaissent avoir noté des mots de passe en ligne professionnels sur des post-its, et deux tiers (67 %) reconnaissent les avoir perdus. En plus de laisser des informations professionnelles sensibles à la vue des membres de leur foyer ou de leurs visiteurs, ceci affecte l'efficacité de l'organisation. Les post-its perdus sont autant de mots de passe perdus et génèrent des demandes d'assistance pour réinitialiser ces mots de passe.
- 62 % des répondants conservent des identifiants de connexion dans un carnet ou un journal, et l'écrasante majorité d'entre eux (82 %) déclare laisser ces carnets à proximité des appareils sur lesquels ils travaillent, où ils sont accessibles à toute personne vivant sous leur toit ou leur rendant visite.
L'utilisation d'un stylo et de papier pour suivre des mots de passe est devenue encore plus problématique à l'ère du télétravail. La plupart des travailleurs (66 %) déclarent qu'ils sont plus susceptibles de noter des mots de passe professionnels lorsqu'ils travaillent chez eux que lorsqu'ils sont au bureau.
Même lorsqu'ils utilisent des technologies de gestion et de stockage de mots de passe, les employés américains adoptent de mauvaises pratiques en matière de sécurité des mots de passe.
- Près de la moitié des répondants (49 %) enregistre des mots de passe professionnels dans un document sur le cloud.
- Un peu plus de la moitié (51 %) déclare sauvegarder actuellement ces mots de passe dans un document enregistré sur leur ordinateur.
- 55 % enregistrent des mots de passe professionnels sur leur téléphone.
Le fait de stocker des mots de passe dans des fichiers non chiffrés est extrêmement risqué. Il suffit à un cybercriminel de s'introduire sur l'espace de stockage sur le cloud, l'ordinateur ou l'appareil mobile pour avoir accès à tous les mots de passe de l'employé.
Conclusion n° 2 : les employés créent des mots de passe faibles et faciles à deviner
Un mot de passe aléatoire et complexe est composé d'une combinaison aléatoire de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Toutefois, de nombreux répondants ont reconnu utiliser des mots de passe contenant des informations personnelles que les cybercriminels peuvent trouver sans difficulté sur les réseaux sociaux.
- Plus d'un tiers (37 %) des répondants utilisent le nom de leur employeur dans un mot de passe professionnel.
- Plus d'un tiers (34 %) utilisent le nom ou la date d'anniversaire de leur partenaire.
- Près d'un tiers (31 %) utilisent le nom ou la date de naissance de leur enfant.
Le fait de réutiliser des mots de passe entre des comptes personnels et professionnels pose désormais un risque de cybersécurité énorme pour les sociétés, 44 % des répondants ayant reconnu réutiliser des mots de passe entre des comptes personnels et professionnels et 53 % détenir des comptes personnels protégés par mot de passe sur leurs appareils professionnels.
Conclusion n° 3 : les employés partagent leurs mots de passe professionnels avec des tiers non autorisés
De nombreux employés américains ne font pas attention aux personnes avec lesquelles ils partagent leurs mots de passe professionnels. Les organisations risquent donc d'être victimes d'une violation si ces mots de passe tombent entre les mains d'une personne négligente ou mal intentionnée.
- Au cours de l'année qui vient de s'écouler, 14 % des répondants ont partagé leurs mots de passe professionnels avec leur partenaire ou conjoint.
- 11 % des répondants ont partagé des mots de passe professionnels avec un membre de leur famille.
Même en l'absence de violation de données, un employeur peut être considéré en infraction et se voir imposer de très lourdes pénalités s'il est découvert que des tiers non autorisés ont accédé à des données protégées par la réglementation.
Conclusion n° 4 : les employeurs américains ne remplissent pas leurs obligations pour garantir que les mots de passe sont partagés de façon sécurisée et/ou uniquement avec des parties autorisées.
Notre enquête a révélé que le partage de mots de passe sur le lieu de travail était courant.
- Près de la moitié des répondants (46 %) rapporte que leur société partage des mots de passe pour des comptes utilisés par plusieurs personnes.
- Plus d'un tiers (34 %) ont partagé des mots de passe professionnels avec des collègues de la même équipe.
- Près d'un tiers (32 %) ont partagé des mots de passe professionnels avec leurs managers.
- 19 % ont partagé leurs mots de passe avec leur équipe de direction.
La meilleure chose à faire est d'attribuer à chaque utilisateur un mot de passe unique pour chaque compte professionnel ou application, ce qui est facilement mis en œuvre avec une plateforme de gestion de mots de passe d'entreprise, dite EPM. Le partage de mots de passe sur le lieu de travail est sûr si ceux-ci sont partagés de façon sécurisée et uniquement avec les parties autorisées.
Les résultats de notre enquête indiquent que de nombreux employeurs américains n'appliquent aucune stratégie de limitation des risques pour sécuriser le partage de mots de passe.
- La majorité des répondants (62 %) déclarent partager des mots de passe professionnels par SMS ou par e-mail, lesquels pourraient être interceptés par des cybercriminels pendant le transit.
- Près d'un tiers des répondants (32 %) reconnaît accéder à un compte en ligne appartenant à un précédent employeur, ce qui indique que de nombreux employeurs ne désactivent pas les comptes lorsque des employés quittent la société.
Conclusion
L'adoption et la mise en place d'une plateforme de gestion des mots de passe d'entreprise telle que Keeper Enterprise permettent de remédier aux mauvaises pratiques en matière de mots de passe révélées par cette enquête. Le chiffrement zero-knowledge des mots de passe et le cadre zero-trust de Keeper permettent une gestion avancée des mots de passe, avec partage sécurisé et autres fonctions de sécurité.
Les administrateurs informatiques et les dirigeants disposent d'une visibilité et d'un contrôle complets sur les pratiques des employés en matière de mots de passe, notamment :
- Modèle de sécurité zero-knowledge et système de cadre zero-trust exclusifs et propriétaires. Toutes les données en circulation et au repos sont chiffrées, celles-ci ne peuvent pas être vues par les employés de Keeper Security ni par aucun tiers extérieur.
- Déploiement rapide sur tous les appareils, sans frais d'équipement ou d'installation préalable.
- Embarquement personnalisé, assistance 24 heures sur 24 et 7 jours sur 7 et formation assurée par un spécialiste dédié de l'assistance.
- Prise en charge de nombreuses fonctionnalités, notamment RBAC, 2FA, audit, rapports d'événements et de plusieurs normes de conformité, dont HIPAA, DPA, FINRA et RGPD.
- Créez des dossiers partagés, des sous-dossiers et des mots de passe sécurisés pour les équipes.
- Authentification unique (SAML 2.0)
- Accès hors ligne au coffre-fort lorsque l'authentification SSO n'est pas disponible.
- Approvisionnement dynamique de coffres-forts via SCIM.
- Configurer pour la haute disponibilité (HD).
- Authentification avancée à deux ou plusieurs facteurs.
- Synchronisation avec Active Directory et LDP.
- Approvisionnement SCIM et Microsoft Entra ID (Azure AD).
- API développeur pour rotation de mots de passe et intégration en backend.
Autres ressources utiles
Analyse gratuite du dark web
Le Dark Web contient plus de 15 milliards d'identifiants volés. Découvrez si les mots de passe de votre organisation ont été volés dans le cadre d'une violation de données en analysant votre adresse e-mail gratuitement.
Recevez les résultats instantanément.
Keeper Business - Protégez vos employés et leur famille
Grâce à sa plateforme de gestion des mots de passe d'entreprise (EPM), Keeper contribue à protéger votre entreprise contre les mauvaises pratiques des employés en matière de mots de passe.
Appliquez des exigences minimales en matière de complexité des mots de passe et découvrez qui utilise des mots de passe faibles ou réutilisés grâce à la console d'administration.
De plus, chaque utilisateur professionnel bénéficie d'un compte familial gratuit pour protéger ses identifiants personnels.
7 pratiques que vos employés doivent adopter pour assurer la sécurité des données de l'entreprise
Si les mots de passe constituent l'un des principaux obstacles à la sécurité des entreprises, nous savons qu'il y a d'autres pratiques à la portée des employés pour y remédier.
Découvrez notre infographie présentant 7 éléments que vous devriez intégrer à votre programme de formation pour améliorer votre cybersécurité.