Les mots de passe vont-ils disparaître ?

Le par  |  16 commentaire(s)
password

Une tribune de Jean-Christophe Vitu, VP Solution Engineers EMEA chez CyberArk, pour qui les mots de passe sont peu à peu remplacés.

Jean-Christophe-VituCes dernières années, les hackers ont perfectionné leurs techniques pour parvenir à s'introduire insidieusement dans les systèmes informatiques. Par conséquent, même avoir un mot de passe fort - qui mélange chiffres, lettres et symboles, et ne comprend pas de mots présents dans le dictionnaire - ne suffit plus à protéger les données sensibles d'une entreprise. Cette dernière peut alors déployer une seconde couche de sécurité qui s'appuie sur la double authentification ; il s'agit d'une deuxième vérification de l'utilisateur via un token, soit un logiciel applicatif qui fournit un code à rentrer sur le terminal ou à un petit appareil physique (sous le format d'une carte ou d'un porte-clé par exemple) qui confirme l'identité.

Cette sécurité périmétrique améliore la protection certes, mais n'empêche pas activement les cybercriminels de faire des ravages dans le réseau. Ils peuvent en effet duper les utilisateurs via des campagnes de phishing pour récupérer leurs identifiants, dans des environnements non protégés par la double authentification, et usurper ainsi leurs identités ou encore bloquer l'accès à l'appareil grâce à un ransomware. C'est pourquoi la sécurisation du réseau au-delà des points d'accès est indispensable.

En outre, le paysage des menaces actuelles oblige les entreprises à gérer étroitement leurs privilèges, c'est-à-dire les droits d'accès au réseau, afin qu'un cybercriminel ne puisse pas facilement accéder aux informations sensibles et / ou prendre le contrôle des systèmes. Dans ce contexte, un employé doit donc accéder uniquement aux données qui lui sont nécessaires pour ses missions quotidiennes.

Seulement, le dernier rapport annuel de l'ANSSI indique que de nombreuses entreprises françaises ne parviennent pas à détecter les attaques suffisamment tôt, du fait d'une surveillance insuffisante de ces privilèges et des activités sur le réseau. En effet, les vulnérabilités ne dépendent pas uniquement de l'humain ; les identifiants, les comptes et les secrets sont partout et aussi sous forme de machines. Ils peuvent donc être dans le cloud, les applications ou encore la supply chain. Par conséquent, outre l'authentification à deux facteurs, ces comptes peuvent être protégés via le retrait des droits administrateurs locaux aux points d'accès, l'élimination des identifiants codés en dur, la gestion et la protection des mots passe dans des coffres-forts numériques, ou encore la surveillance et l'enregistrement des comptes et activités les plus sensibles.

Aussi, pour repérer toute tentative d'intrusion, les organisations peuvent s'appuyer sur le machine learning, dont les capacités de traitement et d'analyse prédictive des données constituent une défense de taille face aux hackers ; cette technologie exécute rapidement des tâches qui sont très chronophages pour les équipes IT, et difficiles à réaliser en continu. Évolutif par nature, l'apprentissage automatique ajuste également en temps réel les points de comparaison, afin d'évaluer les risques, d'offrir une visibilité sur les vulnérabilités existantes et, éventuellement, de contenir les compromissions. Les algorithmes déterminent en effet en quelques secondes si une connexion ou une activité sur le réseau est douteuse et nécessite une surveillance, voire une intervention immédiate.

Les dernières innovations technologiques en cybersécurité présagent d'une lente disparition du mot de passe, au profit de techniques automatisées, plus sécurisées et adaptées aux tactiques des cybercriminels ; telles que la double authentification, la gestion des privilèges et des secrets, la surveillance des comptes et données les plus critiques ou encore le machine learning. La cybersécurité doit en effet prévenir, contenir et vaincre toute tentative de compromission ; et par conséquent évoluer de concert avec les menaces, quitte à abandonner une habitude vieille de plusieurs décennies, mais plus assez performante.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #2011318
Le mot de passe c'est la clé de la porte de votre appart.

Quand vous partez vous laissez votre appart grand ouvert ?

Mème si on peut forcer la porte il faut la mettre a clé.

Bonne fin de dimanche.
Le #2011319
"Par conséquent, même avoir un mot de passe fort - qui mélange chiffres, lettres et symboles, et ne comprend pas de mots présents dans le dictionnaire - ne suffit plus à protéger les données sensibles d'une entreprise."

Dans ce cas là, c'est qu'ils sont passés outre le système d'authentification (quel qu'il soit, double ou non). Cette remarque rend caduque le reste de l'article.
Faire croire que l'on peut actuellement casser des mots de passe forts est un vilain contournement de la vérité pour vendre d'autres solutions.
Le #2011322
Oui, ces propos sont cohérents. Maintenant, il faut aussi penser à déconnecter des employés qui consultent leur compte FB et autres du matin au soir.....

Les entreprises françaises manquent également, et de manière volontaire, d'interet pour la protection numérique de leur données. Surtout les petites et moyennes, qui préfèrent prendre le risque d'une attaque sur leur réseau que d'investir .....
Le #2011324
delbre a écrit :

"Par conséquent, même avoir un mot de passe fort - qui mélange chiffres, lettres et symboles, et ne comprend pas de mots présents dans le dictionnaire - ne suffit plus à protéger les données sensibles d'une entreprise."

Dans ce cas là, c'est qu'ils sont passés outre le système d'authentification (quel qu'il soit, double ou non). Cette remarque rend caduque le reste de l'article.
Faire croire que l'on peut actuellement casser des mots de passe forts est un vilain contournement de la vérité pour vendre d'autres solutions.


Pour une fois je suis d'accord!


Le #2011333
delbre a écrit :

"Par conséquent, même avoir un mot de passe fort - qui mélange chiffres, lettres et symboles, et ne comprend pas de mots présents dans le dictionnaire - ne suffit plus à protéger les données sensibles d'une entreprise."

Dans ce cas là, c'est qu'ils sont passés outre le système d'authentification (quel qu'il soit, double ou non). Cette remarque rend caduque le reste de l'article.
Faire croire que l'on peut actuellement casser des mots de passe forts est un vilain contournement de la vérité pour vendre d'autres solutions.


Exactement !
Ou comment démolir un système pour en vendre un autre ....
Le #2011336
skynet a écrit :

delbre a écrit :

"Par conséquent, même avoir un mot de passe fort - qui mélange chiffres, lettres et symboles, et ne comprend pas de mots présents dans le dictionnaire - ne suffit plus à protéger les données sensibles d'une entreprise."

Dans ce cas là, c'est qu'ils sont passés outre le système d'authentification (quel qu'il soit, double ou non). Cette remarque rend caduque le reste de l'article.
Faire croire que l'on peut actuellement casser des mots de passe forts est un vilain contournement de la vérité pour vendre d'autres solutions.


Exactement !
Ou comment démolir un système pour en vendre un autre ....


Money is the name of the game !
Le #2011337
En outre, le paysage des menaces actuelles oblige les entreprises à gérer étroitement leurs privilèges, c'est-à-dire les droits d'accès au réseau, afin qu'un cybercriminel ne puisse pas facilement accéder aux informations sensibles et / ou prendre le contrôle des systèmes. Dans ce contexte, un employé doit donc accéder uniquement aux données qui lui sont nécessaires pour ses missions quotidiennes

du fait d'une surveillance insuffisante de ces privilèges et des activités sur le réseau

ces comptes peuvent être protégés via le retrait des droits administrateurs locaux aux points d'accès
-----
Mouai... quand je bossai chez IBM il y a quinze ans ont fonctionnait déjà comme cela, rien d'actuel donc... juste boîte sérieuse Vs boîtes glandeuses... et la glandouille ne se règle pas avec un rajout de logiciel de sécurité (qui sera de toute manière mal géré vu les habitudes )...ou autres grigri miraculeux mais avec une sélection plus rigoureuse du personnel ou des tète dirigeante voir des deux.
Le #2011345
drahus a écrit :

En outre, le paysage des menaces actuelles oblige les entreprises à gérer étroitement leurs privilèges, c'est-à-dire les droits d'accès au réseau, afin qu'un cybercriminel ne puisse pas facilement accéder aux informations sensibles et / ou prendre le contrôle des systèmes. Dans ce contexte, un employé doit donc accéder uniquement aux données qui lui sont nécessaires pour ses missions quotidiennes

du fait d'une surveillance insuffisante de ces privilèges et des activités sur le réseau

ces comptes peuvent être protégés via le retrait des droits administrateurs locaux aux points d'accès
-----
Mouai... quand je bossai chez IBM il y a quinze ans ont fonctionnait déjà comme cela, rien d'actuel donc... juste boîte sérieuse Vs boîtes glandeuses... et la glandouille ne se règle pas avec un rajout de logiciel de sécurité (qui sera de toute manière mal géré vu les habitudes )...ou autres grigri miraculeux mais avec une sélection plus rigoureuse du personnel ou des tète dirigeante voir des deux.


Pareil chez HP il y a 10 ans.......
Le #2011362
La connerie c'est encore monsieur et madame michu convaincus dur comme fer que le nom de son chien et de son chat avec la date de naissance de ses enfants est un bon mot de passe facebook, et qu'est-ce qu'elle présente sur sa page facebook, son chat et son chien, et le nom de ses enfants, le travail est déjà mâché pour qui veut deviner son mot de passe, mais impossible de la faire changer d'avis, je n'ai rien a cacher qu'elle me dit, j'ai essayé d'aborder le vol et l'usurpation d'identité avec elle, elle croit que je raconte un film et semble penser que je suis parano.
Le #2011363
delbre a écrit :

"Par conséquent, même avoir un mot de passe fort - qui mélange chiffres, lettres et symboles, et ne comprend pas de mots présents dans le dictionnaire - ne suffit plus à protéger les données sensibles d'une entreprise."

Dans ce cas là, c'est qu'ils sont passés outre le système d'authentification (quel qu'il soit, double ou non). Cette remarque rend caduque le reste de l'article.
Faire croire que l'on peut actuellement casser des mots de passe forts est un vilain contournement de la vérité pour vendre d'autres solutions.


Entièrement d'accord. Ces changements (sous le couvert de NOTRE sécurité) n'est qu'un prétexte pour LEUR portefeuille.

Même s'il faut évoluer dans le renforcement de certaines barrières, quand je vois une bêtise comme "utilman.exe" où un simple utilisateur, un peu déluré en informatique, pourrait passer outre du mot de passe de Windows, il y a de quoi se poser des questions.

De plus, on fait un ramdam avec la protection de nos données et puis on constate que :

1. Les gens donnent leurs infos gracieusement sur les réseaux sociaux
2. Les Lobbies du numérique ont régulièrement des "fuites de données" qui se retrouvent on ne sait où.

Alors, avant de jouer les paranos et tout chambouler, il faudrait remettre ce qui existe dans les clous.
Suivre les commentaires
Poster un commentaire
Anonyme