Si vous pensiez protéger votre système informatique avec P@ssw0rd! ou Bonjour123#, détrompez-vous. Selon Microsoft, 99% des cyberattaques pour accéder frauduleusement aux comptes des utilisateurs exploitent la fragilité des mots de passe. Un constat alarmant pour les PME, particulièrement vulnérables face aux cybercriminels.
Le dernier rapport de Microsoft sur la cybersécurité est sans appel: «Les configurations d’authentification par mot de passe uniquement, même combinées à des stratégies d’expiration et de complexité archaïques, sont à l’origine de plus de 99% des compromissions d’identité». Le mot de passe traditionnel représente donc encore le maillon faible de la chaîne de sécurité numérique des entreprises. En particulier au sein des PME, des proies de choix pour les cybercriminels. Malgré tout, il est possible de renforcer la protection des accès à votre système IT.
Facteurs de risque et fausses bonnes pratiques
La problématique du mot de passe est un avant tout une question humaine. En effet, il est parfois difficile de faire monter tous les collaborateurs sur le bateau de la cybersécurité. Par négligence ou difficultés techniques, certains restent à quai et compromettent la sécurité de l’ensemble de l’édifice informatique. Parmi les «pires» comportements? Utiliser un mot de passe peu robuste ou commun à plusieurs services, ne pas changer le password par défaut, etc. Mais la cybersécurité n’est pas qu’une question individuelle: certaines entreprises adoptent encore des procédures d’authentification fausses ou insuffisantes. Par exemple? Le changement régulier et obligatoire des mots de passe, longtemps considéré comme la panacée, s’avère aujourd’hui contre-productif. Lassés de changer, les utilisateurs tendent à baisser la garde via des variations prévisibles, des versions plus faciles à mémoriser, etc. Alors, comment blinder vos accès?
3 pratiques essentielles pour renforcer votre sécurité
Dans son rapport de défense numérique 2024, Microsoft propose également des solutions pour sécuriser les accès à votre entreprise.
1. Opter pour l’authentification multifacteur (MFA)
C’est la base. Ce système de sécurité exige au moins deux méthodes distinctes de vérification pour prouver votre identité lors d’une connexion. Après avoir saisi votre mot de passe (premier facteur), vous devez, par exemple, confirmer votre identité via un code temporaire envoyé à votre téléphone ou généré par une application d’authentification (deuxième facteur). Une méthode efficace, en mesure de bloquer la grande majorité des cyberattaques automatisées. Pour les PME, des solutions comme Microsoft Authenticator ou Google Authenticator offrent un niveau de protection significatif pour un coût minimal.
2. Adopter des règles strictes
Par exemple, obligervos utilisateurs à exécuter des sessions d’utilisateur standard (et pas d’administrateur); refuser les accès au départ d’appareils ou d’environnements non approuvés; ou encore privilégier les applications qui prennent en charge l’évaluation continue des accès. Last but not least, la formation de vos collaborateurs reste un must pour éviter les failles de sécurité.
3. Miser sur le futur de l’authentification: les passkeys
Et si l’avenir s’écrivait sans mot de passe? Microsoft, Google et Apple ont adopté la norme FIDO2 pour développer les «passkeys» (clés d’accès), une alternative sécurisée, mais aussi plus fluide et intégrée que la MFA, via des infos biométriques et des dispositifs physiques. Des clés d’accès qui résistent même aux attaques de phishing. Des plateformes comme Microsoft Entra ID ou Google Workspace permettent désormais d’intégrer ces solutions modernes d’authentification sans investissement majeur en infrastructure.
