Pocket

Qui n'a jamais écrit ses mots de passe sur des Post-it ?

« La naïveté, dit-on, est directement proportionnelle au degré de connaissance ». L’adage n’est probablement pas toujours exact. Il reste que si l’on observe le comportement de maints utilisateurs de l’informatique, on lui trouve un fond de vérité. Que celui qui n’a jamais écrit son mot de passe sur un post-it, pour coller ensuite ce dernier sur le socle de son ordinateur lève la main ! Et même si l’on prend soin de le préserver des indiscrets, la sécurité qu’il représente devient insuffisante devant les progrès de la cybercriminalité.

Dès 1995, le CERT américain (Computer Emergency Response Team) établissait à 80% le nombre des incidents de sécurité incombant aux mots de passe. Les systèmes de protection basés sur ces seuls « sésames » ont amplement montré leur inefficacité face à l’ingéniosité des pirates.

Les entreprises sont d’autant plus vulnérables à leurs attaques qu’elles ont accès à un nombre croissant d’informations. Le risque d’infection par un « cheval de Troie » est considérable et des quantités de données passent entre des mains aussi peu désintéressées que possible, sans que les victimes s’en aperçoivent. Outre les numéros de comptes bancaires ou de cartes de crédit, les pirates dérobent des mots de passe, des adresses mail, des habilitations de connexion, toutes sortes d’informations.

Les PME-PMI, proies tentantes

Ces vols constituent un danger majeur pour toutes les entreprises, y compris les PME-PMI. La petitesse de la structure, en effet, n’est pas une garantie, les cybercriminels ne réservant pas leurs délicates attentions aux seules grandes sociétés. Pas naïfs du tout, ils savent que, contrairement à celles-ci, PME et PMI ne consacrent généralement que de modestes budgets à la sécurité des informations. Leurs dirigeants sont plutôt inquiets devant le prix supposé d’une protection efficace, et se contentent de donner à leurs collaborateurs des consignes de prudence élémentaires. Ce faisant, ils négligent les bénéfices qu’une vraie défense peut apporter à terme, aussi bien dans le domaine financier que dans celui de la concurrence. Les coûts sont anecdotiques, quand on les rapproche de ceux d’une grave fuite de données, notamment des données de propriété intellectuelle par exemple.

Il est peut-être temps de trouver une alternative sûre aux mots de passe pour votre entreprise...

Il est vrai que les solutions qui leur étaient jusqu’ici proposées  étaient trop chères, complexes à gérer et exigeaient du personnel informatique pour les administrer. Il n’en va plus de même avec l’apparition sur le marché de systèmes d’authentification forte dédiés aux PME. Peu coûteuses à déployer, ces nouvelles solutions sont faciles à assimiler, ne nécessitent pas de formation des utilisateurs, et combinent sécurité et fonctionnalités avancées pour les adapter au développement de l’activité. Elles mettent en œuvre un moteur de risque « intelligent et auto-apprenant », qui régule l’accès à l’information selon le niveau de risque qu’il calcule en temps réel. Ainsi lorsqu’il détecte un contexte à risque (comportement anormal, données de connexion inhabituelles, etc..), il demande à l’utilisateur, avant d’autoriser l’accès aux ressources Web de l’entreprise, qu’il fournisse une preuve supplémentaire d’identité (la réponse à une question personnelle, un mot de passe à usage unique reçu par SMS,  etc..).  En revanche si le contexte de connexion est conforme aux habitudes et jugé sans risque par le moteur, l’accès est autorisé sans interagir avec l’utilisateur.

Le reste, notamment les menaces internet pouvant arriver pendant la session de travail d’un utilisateur qu’il soit au bureau ou se connecte à distance, est affaire d’éducation et d’application. Même pour les moins naïfs…

Pocket