Les pertes moyennes pour les entreprises, tous types de défaillances d'authentification confondus, varient entre 39 et 42 millions de dollars, selon Nok Nok Labs
Une nouvelle étude réalisée par le Ponemon Institute et parrainée par Nok Nok Labs, société spécialisée dans les plates-formes d'authentification sans mot de passe, montre les coûts importants que représentent pour les entreprises les défaillances et faiblesses d'authentification.
Selon l'étude, qui a interrogé 1 007 informaticiens, responsables de la sécurité informatique et chefs d'entreprise, les pertes moyennes pour les entreprises, tous types de défaillances d'authentification confondus, vont de 39 à 42 millions de dollars.
Parmi les conséquences et les pertes économiques engendrées par les faiblesses d'authentification au niveau du système, citons les récupérations excessives de comptes, les réinitialisations de mots de passe et la vulnérabilité aux attaques automatisées telles que le "credential stuffing", où l'attaquant dispose d'une liste de noms d'utilisateur et de mots de passe valides.
"Bien que cela ne soit pas surprenant, il est révélateur de voir à quel point le coût d'un échec d'authentification au niveau du système peut être élevé pour une organisation", déclare Larry Ponemon, président et fondateur du Ponemon Institute. "Connaissant le coût potentiel important, les données de ce rapport devraient éclairer et motiver les organisations à réexaminer leurs processus de sécurité, leurs méthodes de contrôle d'accès et à conduire un alignement stratégique pour atténuer les faiblesses d'authentification des systèmes et les risques commerciaux associés."
L'enquête révèle d'importantes lacunes dans la compréhension. Seuls 32 % des répondants en matière de sécurité informatique et 44 % des responsables de la sécurité informatique affirment que leur organisation a un niveau élevé de contrôle sur ses processus d'authentification, alors que 67 % des répondants du secteur d'activité ont confiance dans les contrôles de leur organisation.
De même, 66 % des répondants du secteur d'activité déclarent que leur organisation est très ou très bien préparée à réduire le risque d'échec de l'authentification, contre seulement 40 % des répondants du secteur de la sécurité informatique.
Pour ce qui est de la confiance dans la capacité à distinguer les "vrais" utilisateurs des imposteurs criminels utilisant des informations d'identification volées, 66 % des responsables de la sécurité informatique interrogés déclarent que c'est très difficile ou difficile, contre 48 % des responsables de la sécurité informatique.
"Ces données révèlent clairement les risques et les coûts considérables encourus lorsque les organisations ne traitent pas correctement les échecs d'authentification qui découlent des processus et des flux de travail au niveau du système", déclare Phil Dunkelberger, PDG de Nok Nok. "Le fossé qui existe entre le secteur d'activité et le secteur informatique de l'organisation est alarmant. Il est clair que les échecs de l'authentification interne des utilisateurs finaux comportent de nombreux risques et coûts encourus lorsque l'environnement de sécurité est assez bien contrôlé, c'est-à-dire lorsqu'une entreprise contrôle le matériel et les plateformes d'authentification des employés. De même, les mêmes risques et même des coûts accrus doivent exister là où l'entreprise n'a que peu ou pas de contrôle sur les appareils, les plateformes ou la connectivité utilisés par ses millions de clients dans les applications d'authentification orientées client."
Source : Nok Nok Labs
Et vous ?
Trouvez-vous cette étude pertinente ?
Voir aussi :
Google va activer l'authentification à deux facteurs par défaut pour des millions d'utilisateurs d'ici la fin de l'année, pour mieux protéger l'accès à vos contacts
Mozilla lance la bêta de Persona, son système d'authentification centralisée pour le Web qui met fin aux identifiants et mots de passe
Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe
Partager