Les résultats de ce rapport ont été recueillis au début de l'année 2020 sur un échantillonnage aléatoire de données provenant de plus de 10 000 utilisateurs de Balbix, parmi des dizaines de comptes d'entreprises représentant tous les grands secteurs d'activité. Ces données ont été recueillies en continu par des capteurs, des connecteurs et des collecteurs déployés sur le réseau d'entreprises pour découvrir, inventorier et surveiller les dispositifs, les applications et les utilisateurs sur plus de 100 vecteurs d'attaque.
Les éléments ont été ensuite introduits dans le logiciel Balbix Brain basé sur le cloud. La probabilité et l'impact des risques ont été ainsi calculés pour chaque actif et vecteur d'attaque. Fournissant une vue hiérarchisée des problèmes les plus risqués dans l'entreprise.
L'étude a révélé que plus de 99 % des utilisateurs réutilisent les mots de passe, soit entre les comptes professionnels, soit entre les comptes professionnels et personnels. La réutilisation des mots de passe est largement répandue en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes.
Le rapport de Balbix a également découvert qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes. De plus, l'utilisateur moyen a plus de 8 mots de passe partagés entre ses différents comptes, dont 7,5 mots de passe partagés entre les comptes professionnels et personnels et 0,8 mot de passe partagé entre les comptes internes et les comptes SaaS (software as service).
« Le passage rapide au télétravail à la suite de COVID-19 a simultanément déplacé l'équilibre du contrôle de l'informatique vers les employés », a déclaré Abe Smith, vétéran de la cybersécurité. « Même les utilisateurs bien intentionnés n'auront pas à l'esprit les meilleures pratiques en matière d'identité, telles que l'authentification multifactorielle et l'évitement de la réutilisation des mots de passe, lorsqu'ils adopteront de nouveaux outils. Les équipes de sécurité doivent trouver des moyens d'automatiser l'identification des risques liés aux mots de passe ».
Les violations causées par des identifiants compromis ne sont pas le fait d'une petite minorité d'utilisateurs ayant une mauvaise hygiène des mots de passe, elles sont le résultat d'un problème généralisé. Le rapport a déterminé les principaux problèmes liés aux mots de passe qui sont les plus responsables du risque global de violation pour l'entreprise. Ils sont énumérés ci-dessous :
- faiblesse et défaillance des systèmes de mots de passe sur les contrôleurs de domaine et autres composants et services d'infrastructure ;
- des identifiants en cache pour se connecter aux systèmes critiques ;
- des machines d'utilisateurs privilégiés avec une forte probabilité d'ouverture de session sur les serveurs centraux ;
- réutilisation du mot de passe entre les comptes professionnels et personnels.
Compte tenu des différents aspects de la sécurité, ce sont les organisations qui ont le moins de contrôle sur les mots de passe. Les utilisateurs souhaitent un haut niveau de commodité et les organisations doivent toujours donner la priorité à la question de la mauvaise hygiène des mots de passe pour remédier au risque associé.
« Les mots de passe compromis, faibles et réutilisés représentent toujours la majorité des violations de données liées au piratage et constituent l'un des principaux risques pour la plupart des entreprises », a déclaré Gaurav Banga, PDG et fondateur de Balbix. « Afin de transformer la posture de cybersécurité et d'accroître la résilience globale, les entreprises doivent systématiquement remédier aux faiblesses de leurs stratégies en matière de mots de passe, en adoptant des technologies éprouvées telles que l'authentification multifactorielle et les gestionnaires de mots de passe ».
source : Balbix
Et vous ?
Utilisez-vous le même mot de passe pour plusieurs comptes ? Pour quelles raisons ?
Voir aussi
L'entreprise Beyond Identity veut supprimer les mots de passe tout en éliminant les frictions de connexion, et en proposant une alternative beaucoup plus sûre aux gestionnaires de mots de passe
Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences, et pour sécuriser les enregistrements sur le cloud
Les pires mots de passe 2018 : « 123456 » trône en tête du classement pour la cinquième année consécutiveEt est suivi par « password » comme en 2017
Facebook a stocké des centaines de millions de mots de passe d'utilisateurs en clair, dans des serveurs internes accessibles à ses employés