Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Steve Schult, LastPass : 3 règles pour renforcer la sécurité de votre entreprise

janvier 2018 par Steve Schult, directeur sénior, gestion des produits, LastPass

Cette année a été marquée par un grand nombre d’incidents majeurs de sécurité, du piratage d’Uber (qui a affecté 57 millions de personnes dans le monde entier) à l’affaire des ministres britanniques partageant leurs mots de passe et l’accès à leurs ordinateurs avec n’importe quel collaborateur travaillant dans leur bureau. Bien que la sécurité des entreprises n’ait jamais été un paramètre aussi important qu’aujourd’hui, nombre d’entre elles continuent de laisser leurs données à la merci d’individus malintentionnés.

Une enquête publique portant sur les failles de cybersécurité a révélé que la plupart des sociétés britanniques étaient vulnérables, quelle que soit leur taille. Les dirigeants choisissant de se cacher dans la masse en croyant ne pas représenter une cible convoitée des pirates sont dans l’erreur et courent un risque réel.

Beaucoup d’entreprises s’appuient encore sur des processus manuels et sur la bonne volonté de leurs employés pour assurer leur premier niveau de sécurité. Ainsi, bien que les failles soient très souvent la conséquence de mots de passe faibles, compromis ou réutilisés, une enquête récemment publiée a montré que plus de la moitié des responsables informatiques interrogés faisaient encore confiance à leurs salariés pour appliquer les meilleures pratiques en la matière. La même enquête a également révélé que plus de 75 % des employés rencontraient des problèmes pour utiliser leurs mots de passe au moins une fois par mois. Pire, nombre d’entre eux ne bénéficient pas de l’aide dont ils ont besoin pour régler ces problèmes. Les mots de passe étant souvent le principal point d’accès aux comptes professionnels, il est donc évident qu’une grande quantité d’entreprises s’exposent à des menaces importantes et ne forment pas leur personnel comme il se doit.

En résumé, afin d’assurer leur sécurité, les organisations doivent trouver le bon équilibre entre commodité et bouleversement des processus. En effet, lorsqu’une solution n’est pas pratique, les employés ont davantage tendance à essayer de contourner le processus, ce qui peut avoir de lourdes conséquences. De même, les équipes informatiques peuvent être réticentes à l’idée d’adopter des technologies ajoutant un processus supplémentaire jugé superflu par de nombreux collaborateurs.

La bonne nouvelle, c’est qu’il existe un certain nombre de solutions permettant aux entreprises et services informatiques de reprendre le contrôle de leur sécurité. En voici 3 :

Adopter une vue à 360 degrés

En cas de faille de sécurité, on a souvent tendance à considérer que les employés sont seuls responsables. Pourtant, bien que l’Homme soit une composante importante de tout système de sécurité, adopter une vision à 360 degrés nécessite de reconnaître également le rôle des technologies.

Les équipes informatiques doivent prendre conscience de la nature changeante des méthodes de travail modernes. En effet, la frontière entre professionnel et personnel est de plus en plus floue, ce qui a un impact sur la sécurité. Il est donc important de mettre en œuvre les stratégies et outils nécessaires pour s’adapter à ce type de comportements. Par exemple, si un employé consulte ses e-mails personnels au travail et clique sur un lien contenant un malware, l’ensemble du réseau d’entreprise devient potentiellement vulnérable. Il suffit de prendre l’exemple du piratage de Yahoo pour comprendre à quel point la menace est réelle : les 3 milliards de mots de passe dérobés ont ouvert de nombreuses portes aux pirates, leur permettant ainsi d’accéder à des données professionnelles. Plus vite les entreprises parviendront à développer une vision globale de leur sécurité, plus leurs systèmes de défense seront à même de résister.

Investir dans les technologies adaptées à son entreprise

Les technologies ont progressé à un rythme fulgurant ces dernières années. Pourtant, en matière de sécurité, beaucoup d’entreprises n’ont toujours pas mis en place les outils leur permettant de se tenir à l’abri de façon simple et pratique. Conserver des numéros de cartes de crédit professionnelles et des mots de passe dans un document Excel auquel n’importe quel employé peut accéder augmentera à coup sûr le niveau de risque de l’organisation. Les équipes informatiques doivent évaluer les pratiques et outils en place, et comprendre comment elles peuvent renforcer leurs systèmes de défense.

Les besoins varieront en fonction des organisations -nul besoin d’une sécurité de niveau gouvernemental pour une simple affaire familiale. Cependant, certaines bases valent pour tous. Par exemple, l’utilisation d’un gestionnaire tel que LastPass, qui permet de créer et de stocker des mots de passe forts pour chaque identifiant. Les employés peuvent également partager ces éléments en toute sécurité sans compromettre des données confidentielles, ce qui peut être utile au sein d’un même département, ou pour les individus ayant besoin d’accéder à une variété d’outils professionnels. En outre, il est nécessaire de mettre en œuvre une solution d’authentification multifactorielle pour l’ensemble des comptes, et des précautions doivent également être prises au cas où un salarié ayant accès à des données sensibles venait à quitter l’entreprise.

Enfin, il est recommandé d’évaluer régulièrement les technologies en place afin de s’assurer qu’elles soient à jour et encore adaptées.

Sensibiliser encore et toujours

Le contrôle de la sécurité d’une entreprise ne s’effectue pas que sur le plan technologique. Les équipes informatiques doivent prendre le temps de sensibiliser les employés aux meilleures pratiques, et s’assurer de les leur rappeler régulièrement. Toutes les bases doivent être couvertes, y compris l’importance d’utiliser des mots de passe complexes et uniques, ainsi que les risques liés au BYOD et au fait d’accéder à des comptes professionnels sur des réseaux publics. Idéalement, mieux vaut établir une stratégie claire et concise. En effet, plus les conseils et recommandations en matière de sécurité sont longs et techniques, plus les employés peinent à les comprendre et les suivre. Faire de tout cela un jeu ou une compétition est une excellente méthode pour stimuler leur engagement, par exemple en récompensant ceux qui utilisent des mots de passe forts.

Mieux ils comprendront la nécessité de rester en sécurité, plus ils auront tendance à adopter de nouvelles pratiques et technologies afin de protéger autant que possible leurs comptes et données professionnels.


Voir les articles précédents

    

Voir les articles suivants