Plus de trois quarts des entreprises en France, au Royaume-Uni et en Allemagne sous-évaluent l'authentification à deux facteurs

Selon une étude Yubico

Une mauvaise hygiène en matière de mots de passe est également constatée, puisque 54 % des employés réutilisent leurs mots de passe sur plusieurs comptes professionnels, tandis que 41 % des chefs d’entreprise prennent toujours note de leurs mots de passe pour s’en rappeler

Yubico, spécialiste des clés de sécurité pour l’authentification matérielle, annonce les résultats d’une étude approfondie sur les comportements actuels et l’adaptabilité à la cybersécurité d’entreprise à domicile, la formation des employés et la prise en charge à l’ère du travail hybride au niveau mondial. Dans le cadre de cette étude, 3 006 employés, chefs d’entreprise et cadres supérieurs de grandes entreprises (comptant plus de 250 employés) au Royaume-Uni, en France et en Allemagne ont été interrogés à propos du travail à distance et de l’utilisation d’appareils professionnels.

Les conclusions du rapport fournissent de précieuses informations concernant l’utilisation d’appareils professionnels à des fins personnelles, le partage et la mémorisation des mots de passe professionnels, l’adoption de l’authentification à deux facteurs (2FA) et d’autres mesures de sécurité, ainsi que la façon dont les entreprises y font face. Les données révèlent que, depuis le début de la pandémie, les employés adoptent de mauvaises pratiques en matière de cybersécurité sur les appareils fournis par leur employeur, les chefs d’entreprise et les cadres supérieurs étant les pires élèves. Dans le même temps, les entreprises négligent les meilleures pratiques en matière de cybersécurité qui doivent être appliquées aux environnements extérieurs au bureau. Moins d’un quart des personnes interrogées admettent avoir déployé une authentification 2FA depuis le début de la pandémie et, même dans ce cas, beaucoup utilisent des formes moins sûres et moins conviviales de 2FA, comme les applications d’authentification mobile et les codes d’accès uniques par SMS.

« L'étude montre que de nombreuses organisations sont encore en train de trouver leurs marques dans ces nouveaux environnements de travail, essentiellement virtuels, et si cette flexibilité peut offrir de nouvelles opportunités aux entreprises et aux employés, elles ne doivent pas ignorer les risques croissants de cybersécurité qui en découlent, explique Stina Ehrensvärd, PDG et fondatrice de Yubico. Les acteurs de la menace trouvent des moyens nouveaux et innovants de compromettre les défenses des entreprises, ce qui nécessite des solutions de sécurité modernes comme la YubiKey. Une étude réalisée par Google souligne en effet les avantages notables et le retour sur investissement de l'authentification matérielle YubiKey ainsi que sur le travail de normalisation que nous avons mené. »

Voici les principales conclusions de l’étude :

• 54 % des employés utilisent les mêmes mots de passe sur plusieurs comptes professionnels. 22 % des répondants prennent toujours note de leurs mots de passe, dont 41 % des chefs d’entreprises et 32 % des cadres supérieurs.
• 42 % des personnes interrogées admettent utiliser quotidiennement des appareils professionnels à des fins personnelles lorsqu’elles travaillent à domicile. Parmi celles-ci, 29 % utilisent des appareils professionnels pour effectuer des opérations bancaires et des achats, et 7 % reconnaissent accéder à des services de streaming illégaux.
• Les employés de haut rang figurent parmi les plus mauvais élèves, puisque 44 % des chefs d’entreprise et 39 % des cadres supérieurs admettent exécuter des tâches personnelles sur des appareils professionnels tous les jours depuis qu’ils travaillent à domicile, et près d’un quart (23 %) des chefs d’entreprise et 15 % des cadres supérieurs les utilisent pour du streaming ou du visionnage de télévision illégal.
• Un an après le début de la pandémie et la mise en place de politiques de travail à domicile, 37 % des employés, tous secteurs confondus, n’ont pas encore reçu de formation à la cybersécurité dans le cadre du télétravail, ce qui laisse les entreprises largement exposées à des risques en constante évolution.
• 43 % des employés estiment que la cybersécurité ne relève pas de la responsabilité du personnel, près des deux tiers (60%) jugeant qu’elle doit être gérée par les équipes IT. Cependant, les données suggèrent que les services IT ne répondent pas aux attentes des employés. À peine 37 % d’entre eux ont le sentiment d’être plus soutenus par l’IT que lorsqu’ils travaillaient sur site avec l’équipe de cybersécurité de leur entreprise à leurs côtés.
• Dans le même temps, faute d’une culture de sécurité descendante axée sur la prise en charge, les employés se sentent plus anxieux ou stressés lorsqu’ils sont confrontés à des problèmes informatiques ou de sécurité. Ils sont 51 % à essayer de résoudre eux-mêmes leurs problèmes informatiques au lieu de contacter le service IT, et 40 % de ceux qui ont cliqué sur un lien suspect n’en informeraient pas immédiatement ce dernier.
• Bien que la technologie 2FA constitue la meilleure ligne de défense contre les prises de contrôle de comptes, seuls 22 % des répondants indiquent que leur entreprise l’a instaurée depuis le début de la pandémie.
• Même parmi les organisations qui ont mis en place l’authentification à deux facteurs, seul un peu plus d’un quart (27 %) utilise des clés de sécurité matérielles conformes à la norme FIDO, qui offrent la forme la plus avancée de protection contre le phishing, tandis que les autres s’appuient sur des solutions plus vulnérables et obsolètes, telles que les applications d’authentification mobile (54 %) et les codes d’accès uniques par SMS (47 %).
  
  

Principaux chiffres par pays

Au Royaume-Uni :

[LIST]
[*]Les chefs d’entreprise britanniques sont plus stricts que leurs homologues allemands et français en ce qui concerne l’utilisation d’appareils professionnels à des fins personnelles. En revanche, les employés installés au Royaume-Uni sont plus laxistes : ils sont 20 % de plus à admettre utiliser des appareils professionnels à des fins personnelles lorsqu’ils travaillent à domicile.

[*]Dans le même temps, les personnes interrogées au Royaume-Uni se sentent moins soutenues par le service IT que celles situées en Europe – mais elles sont également les plus confiantes dans leur propre capacité à repérer les attaques par phishing, 80 % des employés indiquant être en mesure d’identifier une tentative d’intrusion.

[*]Les principales habitudes des employés pour 2021 :

- 73 % des chefs d’entreprise et 71 % des cadres supérieurs autorisent des tiers à utiliser des appareils professionnels.
- 42 % des répondants se sentent plus exposés aux cybermenaces lorsqu’ils travaillent à domicile, 39 % d’entre eux estiment ne pas être soutenus par le service IT.
- 62 % des personnes interrogées n’ont pas suivi de formation à la cybersécurité dans le cadre du travail à distance.
- S’ils ont cliqué sur un lien suspect...