Ce 3ème Rapport mondial sur la sécurité des mots de passe mené par LastPass montre que certaines pratiques comme la réutilisation généralisée des mots de passe reste très répandue, et ce malgré de forts investissements par les entreprises dans des outils de sécurité comme l’authentification multifactorielle..
LastPass, solution de LogMeIn, un des leaders dans la gestion des mots de passe, publie aujourd’hui son 3ème rapport annuel sur la sécurité des mots de passe intitulé « Rapport mondial 2019 sur la sécurité des mots de passe », et qui révèle les grandes tendances sur les comportements des employés en matière de gestion des mots de passe.
Parmi les principales conclusions de ce rapport, il apparaît que même si bien des entreprises investissent et prennent des mesures en matière de sécurité comme l’authentification multifactorielle (AMF), les employés gardent des mauvaises habitudes concernant les mots de passe qui ne cessent d’affaiblir la sécurité globale en entreprise. Lorsque l’on sait que les mots de passe volés et réutilisés sont liés à 80% aux différentes failles de sécurité, les entreprises doivent prendre davantage de mesures pour améliorer la sécurité des mots de passe et des accès afin de réduire les risques.
« Pouvoir garantir la sécurité des accès aux salariés n’a jamais été aussi primordial et pourtant, nous voyons bien que les entreprises ignorent complètement l’importance qu’il y a autour de la sécurité des mots de passe, ou alors ils s’y prennent de façon très superficielle », déclare Gerald Beuchelt, Chief Information Security Officer chez LogMeIn. « Ce rapport met l’exergue sur l’importance d’utiliser les outils de gestion des identités et des accès mis à la disposition des responsables de la sécurité informatique. De plus, ce rapport met également l’accent sur la formation des employés pour qu’ils améliorent leurs habitudes quant à la gestion de leurs mots de passe ».
La lutte pour la gestion des mots de passe est une réalité, surtout pour les employés des petites entreprises
Le partage et la réutilisation des mots de passe restent une pratique courante dans la plupart des entreprises, avec des employés qui réutilisent en moyenne un mot de passe 13 fois. Ce rapport montre que les employés des entreprises de moins de 1 000 employés réutilisent entre 10 à 14 mots de passe, alors que les employés de grandes entreprises réutilisent au maximum 4 fois un mot de passe. Un trop grand nombre de mots de passe utilisés génère aussi de mauvaises habitudes si aucune solution n’intervient en soutien. Le rapport 2019 révèle aussi que les employés des grandes entreprises oscillent entre une moyenne de 25 mots de passe à gérer, alors que les employés de plus petites structures doivent en gérer 85. Étant donné que les grandes entreprises ont plus de moyens et de connaissances notamment sur les réglementations, elles devraient être plus enclines à adopter des solutions d’authentification unique (SSO) permettant aux employés d’accéder à plus d’applications sans gérer davantage de mots de passe. Cependant, moins de 50% des entreprises utilisent une solution d’authentification unique (SSO) alors que cela pourrait aider les employés dans la gestion des mots de passe.
L’utilisation de l’authentification multifactorielle progresse, mais les petites entreprises prennent du retard face à cette pratique
Plus de la moitié des entreprises dans le monde (57%) ont désormais des employés qui utilisent l’authentification multifactorielle (AMF), soit 12% de plus que lors du rapport 2018. Sachant que l’authentification multifactorielle est de plus en plus utilisée et qu’elle est un vrai support pour un grand nombre de cas, nous constatons que son utilisation progresse. Sans surprise, les employés d’entreprises plus grandes utilisent l’authentification multifactorielle plus que les autres (87%), alors que les salariés des entreprises entre 500 et 1000 employés ne l’utilisent qu’à 44%. Les employés des petites entreprises ne sont que 27% à utiliser ces outils. Étant donné les différentes priorités qui se bousculent auprès des équipes informatiques, il est compréhensible que l’AMF ne soit pas une priorité absolue. Cependant, au vu des solutions abordables et simples à utiliser, chaque entreprise devrait être en mesure de trouver une solution de l’AMF répondant à ses besoins.
Les différences par industries : les agences médias et de publicité croulent sous les mots de passes
Certaines industries comme les agences médias et de publicité ont une quantité gigantesque de mots de passe à gérer (97), alors que les employés travaillant pour les gouvernements en gèrent moins (54). Ce n’est pas surprenant si les employés des secteurs médias et publicité sont ceux qui réutilisent le plus les mots de passe (en moyenne 22), alors que d’autres secteurs comme les organisations à but non lucratif voire les détaillants en réutilisent seulement 9. Il n’existe pas de limite concernant les mots de passe à réutiliser pour garantir une sécurité optimale, mais certains secteurs ont plus de pain sur la planche que d’autres. Concernant l’AMF, les industries dont les données les plus sensibles sont celles des clients (comme les assurances et les services juridiques) sont celles où les employés sont les moins susceptibles à utiliser l’AMF (20% d’utilisation pour chacune d’entre elles, comparativement à 37% dans les industries technologiques et les logiciels).
Adoption du gestionnaire de mots de passe grâce à l’utilisation du mobile
Pour la première fois, le rapport sur la sécurité des mots de passe analyse la façon dont les employés utilisent leurs gestionnaires de mots de passe sur les mobiles à travers l’application LastPass. A l’échelle mondiale, 23% des employés accèdent à leur trousseau de mots de passe via leur smartphone, et ce chiffre devrait vraisemblablement croitre avec l’augmentation des plateformes mobiles. Après le lancement de l’iOS 12, par exemple, les employés utilisaient LastPass via leur mobile 50% de plus qu’avant son lancement. De plus, la rétention des utilisateurs est en moyenne environ 30% plus élevée lorsque le mobile est intégré à l’expérience d’utilisation d’un employé. Il est évident que lorsque cela est pratique pour les employés d’accéder et d’utiliser les gestionnaires de mots de passe via leurs smartphones ou autre appareil de leur choix, ils sont plus susceptibles de s’en servir.
Le renforcement des réglementations internationales incitent les régions EMEA et APAC à agir
Alors que les menaces informatiques sont en augmentation à travers le monde et que les préoccupations liées à la protection des renseignements personnels se font de plus en plus grandes, les gouvernements et les industries adoptent de plus en plus de règlements, directives et de lignes directrices afin d’aider à protéger l’économie numérique. La RGPD peut contribuer à faire croitre l’adoption de l’AMF dans des pays comme le Danemark (46%), les Pays-Bas (41%), la Suisse (38%) et l’Allemagne (32%). Par ailleurs, notifier les utilisateurs quant aux violations de données pourrait contribuer à faire passer l’utilisation multifactorielle en Australie de 6% à 29% sur une période de 12 mois.
Les données anonymisées et agrégées de LastPass proviennent de plus de 47 000 entreprises qui utilisent LastPass comme gestionnaire de mots de passe pour leur entreprise. Comme les années précédentes, ce rapport inclue des entreprises de tous les secteurs et de toutes les tailles dans presque toutes les industries. L’ensemble de données a également augmenté depuis le rapport effectué en 2018, car de plus en plus d’entreprises adoptent la solution LastPass comme gestionnaire de mots de passe pour leur entreprise. Bien que les données ne reflètent que les utilisateurs de LastPass, nous avons élargi nos conclusions pour l’ensemble de la communauté informatique de l’entreprise.