Yubico publie une enquête mondiale sur l’état de l’authentification dans les entreprises
Le pionnier reconnu dans l’authentification forte à base de clés de sécurité physique, notre partenaire Yubico a réalisé une enquête mondiale afin de découvrir comment les entreprises gèrent leur authentification. L’étude a été effectué avec la participation de 16 000 employés, dont 2 000 en France.
La forme d’authentification la moins sécurisée reste la plus courante
D’après le sondage d’Yubico, le moyen principal d’identification pour 59 % des participants interrogés est celui d’un nom d’utilisateur et d’un mot de passe.
Malgré les progrès considérables réalisés dans l’utilisation de l’informatique par les entreprises, la façon dont elles gèrent l’authentification n’a pas évolué assez vite. L’authentification à facteur unique est, de loin, le moyen d’authentification le plus courant, même s’il est largement prouvé que des acteurs malveillants peuvent acheter, voler ou forcer ces informations d’identification avec facilité.
Les autres types d’authentification — y compris les SMS, les gestionnaires de mots de passe et les applications mobiles — sont utilisés beaucoup moins fréquemment par les personnes interrogées dans le monde. Toutes ces méthodes sont plus sécurisées que l’authentification à facteur unique, mais chacune d’entre elles ont des failles. Les textos peuvent être interceptés en cours d’envoi, les applications peuvent être exploitées et les téléphones peuvent être perdus, cassés ou volés. Les clés d’authentification physiques, telles que les YubiKeys, deviennent la référence en matière de MFA résistant à l’hameçonnage, mais elles ont été mentionnées par seulement 20 % des personnes interrogées au niveau mondial. En France, seuls 17 % des employés utilisent des clés physiques pour authentifier leurs comptes professionnels, derrière l’Allemagne (21 %) et la Suède (18 %), mais devant le Royaume-Uni (11 %). Globalement, cette question révèle que de nombreuses entreprises sont vulnérables en raison d’une authentification à facteur unique faible. L’adoption de méthodes MFA en entreprise a encore beaucoup de chemin à parcourir.
>> LISEZ AUSSI: YubiKey : la clé de sécurité qui vous protège en ligne
Les cyberattaques sont une réalité
L’enquête révèle encore une tendance préoccupante : 78% des personnes interrogées ont été exposées à une cyberattaque dans leur vie personnelle au cours des 12 derniers mois et 60% des personnes interrogées ont été exposées à une cyberattaque au travail au cours des 12 derniers mois.
Les cyberattaques n’ont jamais été aussi nombreuses, et peu de gens sont à l’abri. Les chiffres du sondage mettent en évidence la prévalence des tactiques d’hameçonnage, tant à la maison qu’au travail. En France, 80 % des salariés disent avoir été exposés à une cyberattaque dans leur vie personnelle au cours de l’année écoulée, soit le taux le plus élevé d’Europe. Les attaques d’hameçonnage se présentaient sous la forme de messages textes, d’e-mails ou de notifications push demandant des informations privées, et dans certains cas, ces messages provenaient d’organisations apparemment « fiables ».
Avec une méthode MFA résistant à l’hameçonnage, peu importe que les pirates aient accès aux informations d’identification d’un utilisateur. Comme ils ne parviennent pas à compromettre la deuxième couche MFA, leurs tentatives d’attaques échouent. Sachant que la plupart des gens sont confrontés à des attaques d’hameçonnage fréquentes — et que de nombreuses entreprises utilisent encore l’authentification à facteur unique — le renforcement de l’authentification devient obligatoire.
Les attaques risquent d’avoir de graves conséquences
L’enquête montre que toute exposition aux cyberattaques s’accompagne de risques inquiétants et d’une forte probabilité de dommages, potentiellement dévastateurs. Moins de 30% des personnes interrogées n’ont vu aucune conséquence aux attaques (bien que ces données incluent également des employés subalternes qui peuvent ne pas avoir été informés des conséquences d’une attaque). 35% des personnes interrogées ont subi une atteinte à leur réputation et, de même, 35% ont subi une atteinte à leurs bénéfices. Tout aussi alarmant, 17% ont perdu des employés à cause de cyberattaques, et 20% ont vu leurs opérations suspendues. Tout est en jeu dans une cyberattaque.
>> LISEZ AUSSI: La France : le troisième pays le plus touché par les rançongiciels
Mesures pas toujours adéquates
Compte tenu des conséquences, on pourrait s’attendre à ce que les organisations mettent en place des mises à niveau solides, mais cela ne semble pas toujours être le cas. La réponse la plus courante (réinitialisation des noms d’utilisateur et des mots de passe) n’empêche pas les pirates de voler à nouveau les informations d’identification d’une personne et de répéter la même attaque. La formation obligatoire à la sécurité, une autre réponse courante, peut sensibiliser les gens au problème, mais ne fait rien pour l’arrêter. Seuls 17 % des employés au niveau mondial ont déclaré que leur organisation avait mis en place des clés de sécurité matérielles (par exemple, YubiKeys) en réponse à une cyberattaque.
En France, ce taux est tombé à 13 %, soit moins de la moitié du taux de mise en œuvre aux États-Unis, qui arrivent en tête des huit pays avec 28 %. Le fait qu’une méthode MFA résistant à l’hameçonnage ait été si rarement utilisée en réponse à des attaques — alors qu’il s’agit de la forme d’authentification la plus sûre — est troublant. Ce qui est encore plus inquiétant, c’est que certaines entreprises ne prennent pas de mesures supplémentaires pour renforcer la cybersécurité et améliorer l’authentification après les attaques. Les données de l’enquête révèlent une disparité remarquable entre le risque de cyberattaques et la réponse. L’amélioration de l’authentification s’attaque directement à cette disparité et comble rapidement les failles de sécurité qui ont permis l’attaque initiale.
Pour accéder à l’intégralité de l’enquête Yubico, veuillez cliquer ici.
YubiKey : effectuez votre commande
Revendeur officiel de YubiKey en Europe, HOSTEUR vous offre la possibilité de commander vos clés individuellement ou en paquet de plusieurs. Pour le faire, veuillez cliquer sur le bouton ci-dessous.