Une enquête publiée récemment par BitSight révèle que ces 15 derniers mois, au moins 1 société sur 20 figurant dans la liste Fortune 1000 a annoncé avoir été victime d'une fuite de données. Il est souvent compliqué de sensibiliser les équipes métiers à l'importance de la sécurité. En effet, pour se simplifier la vie, ces professionnels ont souvent tendance à réutiliser leurs mots de passe personnels.
Pourtant, toutes les entreprises, petites ou grandes, devraient faire de la sécurité des messageries une priorité. Les petites entreprises sont tout aussi vulnérables au piratage que les grandes, et peuvent avoir beaucoup de mal à se remettre des préjudices subis autant sur le plan financier que vis-à-vis de leur image. Les employeurs qui ont du mal à impliquer leur personnel dans les processus de sécurité doivent de se concentrer sur un message clé : les comptes de messagerie sont des éléments vitaux, sur le plan professionnel comme personnel. Ceux-ci constituent en effet une passerelle pour accéder à l'ensemble des ressources en ligne, et il est donc essentiel d'utiliser un mot de passe sécurisé. Dans le cas contraire, les pirates parvenant à accéder à des comptes de messagerie protégés par des mots de passe faibles ou déjà utilisés pourraient découvrir l'ensemble des autres comptes en ligne des utilisateurs et les réinitialiser à leurs dépens. Même Mark Zuckerberg n'est pas à l'abri de cette pratique : lui aussi a vu ses comptes Twitter et Pinterest piratés à l'issue de la fuite de mots de passe subie par LinkedIn.
La bonne nouvelle est qu'il est possible de mettre en œuvre une stratégie de sécurité à la fois simple et globale. Voici les piliers d'une politique de protection sans faille des messageries.
1. Changer de mots de passe tous les trois mois
Les mots de passe uniques et complexes ont beau former une première ligne de défense, ils n'en ont pas moins une durée de vie limitée. Les changer tous les trois mois est une mesure simple à prendre pour assurer la protection des comptes, surtout lorsque l'on sait que les failles sont généralement divulguées plusieurs mois ou années après la fuite ou la vente des identifiants. Les piratages subis par Yahoo (1,5 milliard de comptes concernés) n'ont ainsi été révélés au grand public que vers la fin de 2016, alors que les attaques avaient eu lieu en 2013 et en 2014.
Dans le pire des cas, changer régulièrement de mots de passe permettra au moins de limiter le nombre de cybercriminels ayant accès au compte piraté. Cependant, réaliser cette opération sur un grand nombre de comptes peut être à la fois chronophage et compliqué. En effet, les combinaisons de chiffres et de lettres choisies doivent être à la fois complexes et uniques pour chaque compte. La solution la plus rapide et simple pour y parvenir de façon sécurisée est d'utiliser un outil intégrant un générateur global afin de modifier l'ensemble des mots de passe en un clic.
2. Utiliser l'authentification à deux facteurs
Avec les mots de passe forts, l'authentification à deux facteurs est l'une des méthodes les plus simples et les plus efficaces pour protéger un compte de messagerie. L'utilisateur doit saisir un mot de passe, ainsi qu'une autre information afin d'accéder à son compte. Il peut s'agir d'un code à usage unique envoyé par SMS ou via une application sur un téléphone portable. Il peut également s'agir d'une empreinte digitale. Indépendamment des facteurs choisis, cette approche empêche les pirates de se connecter à votre messagerie même s'ils connaissent votre mot de passe. En outre, les utilisateurs sont également protégés des logiciels permettant de « cracker » leurs identifiants et des dommages collatéraux des tentatives de phishing réussies. Cette méthode permet ainsi de renforcer la protection des données des employés et clients. De plus en plus d'organisations sont séduites par les avantages de l'authentification 2FA et la mettent en œuvre de façon centralisée, dans le cadre de politiques de sécurité plus globales.
3. Responsabiliser les employés
Selon la même enquête, BitSight révèle que ces 15 derniers mois, au moins 1 société sur 20 figurant dans la liste Fortune 1000 a annoncé avoir été victime d'une fuite de données. Et pourtant, dans l'ensemble, leurs performances sur le plan de la sécurité ont récemment régressé : 52 entreprises ont fait des efforts pour renforcer leurs mécanismes de protection, tandis que 103 ont fait le chemin inverse entre octobre 2016 et janvier 2017.
Il est donc clair que même les plus grandes et les plus rentables d'entre elles peuvent être à la peine sur le plan de la sécurité. Les employés sont donc en première ligne pour protéger leurs propres comptes de messagerie, et doivent prendre les mesures nécessaires dès que possible. Malheureusement, en l'état, ce paramètre reste le talon d'Achille des entreprises.
Une étude réalisée récemment s'intéressant aux mots de passe sur le plan psychologique a révélé que plus d'un tiers (39 %) des individus créaient des identifiants plus sécurisés pour leurs comptes personnels que pour leurs comptes professionnels. En outre, nous avons également découvert que bien que 75 % des répondants affirment connaître les meilleures pratiques en la matière, 61 % d'entre eux admettent utiliser malgré tout un mot de passe identique (ou similaire) sur plusieurs comptes. Toute stratégie de sécurité complète devra donc impérativement permettre aux organisations de s'assurer que leurs employés disposent des connaissances nécessaires pour jouer leur rôle dans la protection contre les cyberattaques.
4. Former les salariés aux bonnes pratiques de sécurité
Cependant, s'ils se doivent d'être en première ligne, il est important que les employés sachent clairement comment suivre les recommandations ci-dessus et protéger leurs comptes de messagerie. Les entreprises doivent donc définir une politique de sécurité couvrant l'ensemble des informations pertinentes, et les former sur ces points importants. Cette politique de sécurité devra également être mise à jour en fonction des progrès technologies et des changements de pratiques. Par exemple, compte tenu de la popularité croissante du BYOD, les employés devront savoir ce qu'ils sont autorisés à faire ou non.