Discussion :

[Sandra Coret]

46 % des responsables informatiques écrivent leurs mots de passe d'entreprise sur des documents partagés, ce qui les expose à de graves risques de compromission de la sécurité, d'après Hitachi ID

Des événements récents ont montré que l'utilisation d'un simple mot de passe n'est pas toujours parfaitement sûre, car elle peut permettre à des acteurs malveillants d'accéder à votre compte par force brute. Il est recommandé aux utilisateurs d'éviter de partager leurs mots de passe et il leur est également conseillé d'utiliser des générateurs de mots de passe aléatoires, mais malgré cela, les responsables informatiques ne semblent pas suivre leurs propres instructions.

Hitachi ID, un fournisseur de logiciels de gestion d'identité, a récemment mené une enquête auprès d'une centaine de cadres supérieurs afin de déterminer le niveau de cybersécurité qu'ils respectaient. Cela étant dit, il est important de noter que 46 % des responsables informatiques écrivent leurs mots de passe d'entreprise sur des documents partagés, ce qui les expose à de graves risques de compromission de la sécurité si cela se sait.

63 % de ces responsables informatiques ont déclaré qu'ils acquièrent et dispensent une formation à l'hygiène des mots de passe chaque année, mais malgré cela, ils ne semblent pas connaître les aspects fondamentaux des bonnes pratiques de cybersécurité. Si 30 % des responsables informatiques déclarent utiliser les gestionnaires de mots de passe qui leur sont proposés par leur entreprise, ils sont toutefois loin d'être aussi nombreux à commettre l'une des erreurs les plus graves en matière d'hygiène des mots de passe.

Il semble également y avoir un problème pour assurer la cybersécurité en contrôlant les employés qui quittent l'entreprise. Seul un tiers des employés, 33 % pour être exact, ont déclaré qu'ils pouvaient transférer des mots de passe et des informations de connexion en toute confiance. Cela peut entraîner une situation très désordonnée en matière de cybersécurité dans les entreprises, et explique pourquoi les grandes entreprises subissent si fréquemment des cyberattaques.

Tant que ces responsables informatiques ne suivront pas les bonnes pratiques, il sera difficile de convaincre les gens ordinaires et les employés de faire de même.

Source : Hitachi ID

Et vous ?

Trouvez-vous cette étude pertinente ?
Qu'en est-il au sein de votre organisation ?

Voir aussi :

70 % des mots de passe ayant fait l'objet d'une violation sont toujours utilisés, et 64 % des consommateurs répètent leurs mots de passe sur plusieurs comptes, selon SpyCloud

Plus de trois quarts des entreprises en France, au Royaume-Uni et en Allemagne sous-évaluent l'authentification à deux facteurs, selon une étude Yubico

Pourquoi les outils d'analyse de mot de passe sont inefficaces face aux comportements humains ? Par Patrick Tilley, Product Security Engineer, chez Pathwire

Les Français face aux lacunes informatiques : 30% des Français estiment qu'ils n'ont pas suffisamment de connaissances en matière de protection en ligne, selon une étude d'Avast

[Mingolito]

Ce rapport est très pertinent, c'est quand même bien plus sur d'écrire ses mots de passe sur un post it

[Steinvikel]

Je ne suis pas convaincu de l'efficacité supérieur du post-il (si ce n'était pas de l'ironie).

3 cas de figures :
- les garder dans sa tête et nul part ailleur
- les noter dans un support papier que l'on garde dans un endroit "protégé" ou contrôlé a minima
- les stocker de manière numérique, si possible dans un gestionnaire conçu à cet effet : A) en local, B) en cloud
- les noter en clair, sur un fichier brut ou zipé

Ces 4 méthodes revêtent chacune des avantages et inconvénients, l'idéal étant d'adopter la méthode apportant le plus de sécurité, mais répondant à un minimum de praticité.
c'est valable pour les mots de passe, mais également les clefs de chiffrement, fichier de stéganographie ou autre type de camouflage de données, des numéro de carte bancaire, d'identifiants sensibles, de certaines info personnelles, etc.

Dans l'une des boite ou j'intervient, on est plusieurs à avoir remarqué qu'un employé RH note les mots de passes du service RH et de certains fournisseur sans considération du support. Dans certains cas d'urgence en son absence j'ai trouvé les mots de passe pour établir les DPAE, dossier prévoyance, déclarer les impôts... dans l'agenda papier (A5), en plus d'une flopé d'autres services et de fournisseurs.
Certes l'employé n'enregistrait plus les mots de passes sur son navigateur (qui n'a pas de code d'ouverture utilisateur), mais il poursuit ces notes sur des post-it que l'on retrouve sur les classeurs d'archives, des post-it, des agenda, des feuilles de brouillons... s'en est consternant, car le patron dit "laisse couler, on ne change pas de vielles habitudes, ça retraite est dans quelques années..."
résultat, personne n'emploie de gestionnaire de mot de passe, puisque la moitié des salariés de la TPE utilise les notes du doyen ! xD

[lamaison]

Un ami, responsable chez Loreal me disait qu'il devait changer de mot de passe chaque mois (avec évidemment toutes les contraintes maj/car special etc.). Qu'il ne pouvait pas utiliser le même mot de passe pour les différentes applications de sa boite. Et que, au renouvellement du mot de passe le système refuse que celui ci ressemble de trop près à l'ancien.
Autant dire que c'est devenu absolument ingérable et que, du coup, tout le monde les écrit sur un calepin.
Dans ma boite c'est en place depuis un an malgré mes mises en garde à la direction de l'informatique.
Et je vois les gens noter leur mot de passe.
On ne peut pas leur reprocher puisque c'est devenu ingérable.
Petites tentatives d'explications : Les responsables n'ont aucune idée de l'expérience utilisateur, ils pensent œuvrer pour la sécurité et je crois aussi qu'il y a quelque chose d'inconscient lié au pouvoir de contrôle que je ne saurai expliquer.
Par exemple, pas loin de chez moi, après avoir couvert la route de dos d'ânes ils ont eu la bonne idée de mettre un feu tricolore ...devant un rond point.
J'ai aussi découvert qu'autour d'un lac ils avaient installé des barrières de deux mètres de haut avec des portes ouvertes uniquement à certaines heures.
La sécurité c'est important. Et au nom de la sécurité on va vous enfermer. Je n'aime pas comment notre quotidien évolue.

[Steinvikel]

Le problème est le même que lors d'une migration linux :
Les utilisateurs ne sont pas compétents, ils le deviennent si on les accompagne, et parfois avec un minimum nécessaire de formation pour acquérir les repères et les notions.

Dans nos 2 posts précédant, les employés ne savent pas utiliser de gestionnaire de mot de passe, ou alors en utilise un inadapté pour le terminal visé.
Dans la TPE que j'ai cité plus haut, je les "invite" à utiliser Bitwarden depuis le début de la pandémie ...sur 20 personnes, 1 seul y migre timidement depuis 6 mois, pour tous les autres c'est un boycott pur et simple en désignant l'outil comme obscur et complexe ...j'ai pourtant configuré l'extension pour chaque navigateur, sur chaque session, sur chaque machine (fixe, portable, mobile...)
L'expérience utilisateur à laquelle ils sont exposé est la suivante :
1) à l'ouverture du navigateur, je clique sur l'extension Bitwarden et m'y connecte pour avoir un accès rapide à mes mots de passe
2) je vais sur un des sites habituels (de boulot)
3) l'identifiant et le mot de passe sont suggérés
4) je rentre un code PIN (invariable) pour autoriser l'autocomplétion
5) je valide avec [entrée] ou en cliquant sur "se connecter" avec la souris
...
se répète ensuite l'étape 3) à 5) au fur et à mesure de ma navigation
--> solution rendant accessible les mots de passe sur PC fixe / PC portable / tablette / téléphone au travers d'un seul compte (trousseau de clés)

Sans ce gestionnaire de mots de passe, les 2 étapes de suggestion et autocomplétion par PIN se font comme suit :
3) l'identifiant et le mot de passe sont sur une note (papier, calepin, post-it, étiquette, fichier texte, WhatsApp à moi-même...), que j'ouvre devant tout le monde
4) je cherche où il est
5) je recopie à la main, caractère par caractère
6) je recommence si une faute de frappe est survenue (et donc je garde le mot de passe sous la main au cas où ...en clair)
7) je valide avec [entrée] ou en cliquant sur "se connecter" avec la souris


L'usage est rudimentaire, très peu de notions à apprendre, très peu d’icônes avec lesquelles se familiariser, il y a un simple refus au changement.
...et se refus se comprends( en partie seulement) s'il n'y a un minimum d'accompagnement pour une présentation de l'outil ou une formation à son usage.