5 façons dont les petites entreprises peuvent réorganiser la gestion des mots de passe

En tant que professionnel de l'informatique, superviser l'intégrité des mots de passe, le contrôle d'accès et la gestion des identités peut être difficile, que vous travailliez dans une petite ou une grande entreprise. Les employés représentent toujours un risque pour la sécurité pour une raison ou une autre, qu'ils utilisent des mots de passe faibles, cliquent sur des liens douteux ou accèdent à des applications extérieures pour des données professionnelles, parce que c'est plus facile. Pour preuve, ne cherchez pas plus loin que la liste annuelle des mots de passe les plus critiques de SplashData pour savoir combien d'identifiants de connexion divulgués se révèlent être "mot de passe" et "123456".

Lors du récent sommet de la National Cyber ​​Security Alliance (NCSA) à New York, PCMag a rencontré Matt Kaplan, directeur général de LastPass, une entreprise proposant des solutions de gestion de mot de passe et de sécurité pour les consommateurs, les petites entreprises et les entreprises.

LastPass a récemment publié un rapport, en collaboration avec l’agence d’études de marché Ovum, sur "La réduction de l’espace de sécurité lié aux mots de passe". Le rapport a interrogé 355 responsables informatiques et 550 employés de l'entreprise. Parmi les conclusions, 61% des responsables informatiques comptent exclusivement sur la formation des employés pour imposer des mots de passe forts. Le rapport a également révélé que quatre entreprises sur dix utilisent encore des processus entièrement manuels pour gérer les mots de passe des utilisateurs pour les applications en nuage. M. Kaplan a déclaré que le principal problème des entreprises réside dans l'adoption d'une approche de sécurité inefficace sur le mode de travail des employés.

«Les employés font ce qu’ils ont toujours fait, c’est-à-dire répondre à leurs propres besoins en matière de productivité et de commodité pour faire leur travail plus efficacement. Ils ne sont ni mal intentionnés ni malveillants; ils essaient simplement de travailler efficacement», a déclaré Kaplan.

"Alors, ce que les employés finissent par trouver, c'est trouver le chemin de la moindre résistance. Ils utilisent le Wi-Fi public quand ils ne le devraient pas. Ils utilisent Dropbox, Google Drive et d'autres solutions de synchronisation et de partage de fichiers non sanctionnées par l'entreprise, parce que c'est plus facile.. Ils apportent d’autres applications dans l’entreprise, ce qui les rend plus productifs. Dans l’ensemble, ce qui manque aux responsables informatiques, c’est l’accent mis sur le facteur humain."

M. Kaplan a déclaré que les entreprises devaient aborder la gestion des mots de passe de mauvaise qualité sur plusieurs fronts. Il incombe aux TI d’ajuster leurs attentes et leur stratégie. LastPass pense que vous pouvez changer les habitudes de vos employés en les renseignant non seulement sur l’hygiène des mots de passe, mais également en leur fournissant des technologies telles que les gestionnaires de mots de passe (et même des facteurs de motivation tels que la ludification) pour redéfinir la manière dont les entreprises et les employés considèrent les mots de passe.

1 Oui, c'est ton problème

Une des raisons pour lesquelles les professionnels de l'informatique ne peuvent souvent pas imposer des normes de mot de passe plus strictes dans une entreprise est due à la perception que cela est totalement hors de leur contrôle. Kaplan a déclaré que l'excuse n'était pas assez bonne en 2017.

"Ce que nous avons découvert au cours de nos recherches, c'est que près de 80% des responsables informatiques n'ont pas le contrôle total sur les mots de passe de leur entreprise", a déclaré Kaplan. "La majorité d'entre eux reconnaissent que le manque de contrôle est un risque grave. Pourquoi? Alors, beaucoup pensent que vous ne pouvez pas contrôler ce que vous ne gérez pas. Les mots de passe des employés dépendent des employés et ne donnent aucune visibilité."



2 Adopter une vision holistique

Les applications et les comptes professionnels sont loin d'être les seuls points de terminaison de sécurité vulnérables à gérer pour éviter toute compromission sur le réseau de votre entreprise. Les responsables informatiques d'une petite entreprise doivent aller au-delà de la connexion au travail d'un employé et réfléchir à la situation dans son ensemble lorsqu'ils fournissent des outils et une formation pour améliorer les pratiques d'hygiène et de sécurité des mots de passe.

"Les pirates utilisent l'ingénierie sociale pour accéder à des comptes d'entreprise. L'important est donc que les entreprises adoptent une vision globale des employés et examinent à la fois l'utilisation d'un mot de passe personnel et l'utilisation professionnelle. Vous devez vous adresser aux deux côtés", a déclaré Kaplan. "Pendant trop longtemps, les responsables informatiques ont dit:" Nous n'adressons que les mots de passe liés aux activités de l'entreprise. " Regardez la récente faille Yahoo qui a récemment permis de découvrir que trois milliards de mots de passe ont été volés. Ce sont des points d'entrée clairs pour les attaquants dans une entreprise."



3 Education et authentification

Selon le rapport d'enquête sur les violations de données 2017 de Verizon, plus de 80% des violations sont causées par des mots de passe faibles, compromis ou réutilisés. Kaplan a déclaré que si votre entreprise fournit aux employés les outils et la formation nécessaires pour créer et gérer en toute sécurité des mots de passe partout dans le monde, vous pouvez fermer une grande partie de la surface de menace d'une entreprise.

"Les services informatiques doivent faire certaines choses", a déclaré M. Kaplan. "L’une consiste à expliquer aux employés comment utiliser des mots de passe forts, longs et uniques sur chaque site Web. Utilisez un gestionnaire de mots de passe, car vous ne pouvez pas vous souvenir de tous ces mots de passe uniques sur chaque site. Utilisez une authentification multi-facteurs pour vous vous êtes et surveillez l’utilisation du mot de passe."



4 Gamify It

LastPass permet aux entreprises de voir les scores de mot de passe de différents employés. Kaplan a déclaré que la gamification pourrait être un moyen pour les entreprises de prendre en compte le facteur humain. La gamification est un moyen de donner aux utilisateurs une carotte plutôt qu'un bâton.

"Peut-être que vous modifieriez vos règles de mot de passe. Ainsi, un employé avec le score de mot de passe le plus élevé pourrait obtenir des points, un prix ou autre chose", a déclaré Kaplan. "C'est vraiment une approche différente par rapport au verrouillage" nous ne pouvons pas accéder à notre réseau "qui était traditionnellement utilisé pour assurer la sécurité. Cela ne peut plus être fait car tout est ouvert. Nous devons supposer que les assaillants sont sur le réseau quelque part, tapi."



5 Prendre en compte le comportement moderne

Le rapport a également révélé que 76% des employés avaient régulièrement des problèmes d'utilisation de mot de passe. Et il a été constaté que près de 70% d’entre eux ont déclaré qu’ils utiliseraient un gestionnaire de mots de passe s’il leur était fourni. M. Kaplan a déclaré que les entreprises devaient reconnaître la manière dont leurs employés travaillent aujourd'hui et adapter les stratégies informatiques et la gestion des mots de passe au comportement des utilisateurs modernes.

"Les gens veulent travailler à partir d'appareils mobiles et de n'importe où. Ils veulent avoir la liberté de travailler à partir d'une maison de vacances ou du football de leur enfant, et l'informatique doit respecter cela. La ligne de démarcation entre travail et maison est floue, et les responsables informatiques faut en tenir compte ", a déclaré Kaplan. "L'appétit est là. Peu importe qu'il s'agisse d'une start-up de 10 personnes, d'une petite entreprise ou d'une entreprise de 10 000 personnes; nous estimons que la solution fonctionne aussi efficacement."