De nombreuses entreprises utilisent l’authentification à deux facteurs (2FA) ou l’authentification unique (SSO), mais ne proposent pas forcément à leurs employés une solution professionnelle de gestion des mots de passe. Les résultats de l’enquête Bitwarden 2023 à l’occasion de la Journée mondiale du mot de passe le confirment : seuls 23 % des répondants ont déclaré être tenus d’utiliser un gestionnaire de mots de passe au travail.
Selon Julian Cohen, VP of Security et Chief Information Security Officer (CISO) chez Ocrolus, fournisseur new-yorkais de logiciels d’automatisation documentaire, davantage d’entreprises devraient envisager de déployer des gestionnaires de mots de passe. Dans le cas d’Ocrolus, l’entreprise a choisi de déployer Bitwarden.
Cohen déclare : « Le vol d’identifiants et la réutilisation des mots de passe sont utilisés pour la prise de contrôle de comptes et deviennent rapidement l’une des attaques les plus courantes contre les organisations. Nous avons donc élaboré un plan complet de sécurisation des comptes qui comprend bien sûr des éléments comme l’authentification à deux facteurs (2FA), l’authentification unique (SSO) et la surveillance des identifiants compromis. Mais pour les principaux comptes SSO des utilisateurs, ou pour les systèmes qui ne prennent pas en charge le SSO, la 2FA ou d’autres systèmes de shadow IT, ou encore les comptes ponctuels… le contrôle le plus efficace reste un gestionnaire de mots de passe. »
Cohen conseille aux employés d’utiliser un mot de passe unique et aléatoire pour chaque compte. Il estime que le moyen le plus simple d’y parvenir est d’utiliser un mot de passe généré par un gestionnaire de mots de passe. Comme les gestionnaires de mots de passe stockent également les mots de passe, il considère cette technologie comme un moyen « à faible friction » et efficace de sécuriser les mots de passe.
D’autres résultats de l’enquête de la Journée mondiale du mot de passe viennent étayer cette idée. La grande majorité des répondants dans le monde, soit 85 %, réutilisent leurs mots de passe sur plusieurs sites et 58 % les mémorisent. Un cinquième (20 %) des répondants dans le monde déclarent avoir été touchés par une violation de données au cours des 18 derniers mois. S’il n’est pas toujours possible d’éviter d’être concerné par une violation de données, celles-ci ont souvent un effet domino pour les personnes qui réutilisent leurs mots de passe.
Faire adopter de nouveaux outils, en particulier des outils de sécurité, contribue à protéger et sécuriser les entreprises. En contrepartie, cela exige aussi des étapes supplémentaires de la part de l’IT et des utilisateurs. Ocrolus s’est appuyée sur Bitwarden SCIM (système de gestion des identités inter-domaines) pour provisionner automatiquement les membres et les groupes. L’entreprise propose également aux utilisateurs des formations et de la documentation sur l’utilisation de Bitwarden, et leur explique pourquoi cette solution est efficace.
« Nous bénéficions d’un important soutien de la part de notre équipe techops chez Ocrolus », explique Cohen. « Ils assurent le support technique pour Bitwarden, l’utilisent eux-mêmes et s’en servent lorsqu’ils provisionnent de nouveaux comptes et stockent des identifiants partagés. »
En considérant la manière dont Ocrolus a bâti un programme de sécurité performant — un programme qui inclut désormais Bitwarden — Cohen estime que l’entreprise a tiré parti d’un bon inventaire et d’une bonne connaissance de la situation, de la compréhension des zones les plus à risque de l’organisation et d’une attention portée à la priorisation.
« On peut toujours pousser l’ingénierie à l’extrême pour tenter de sécuriser quelque chose, ou essayer de mettre en œuvre tous les types d’outils », explique Cohen. « Pour ma part, je commence toujours par mes adversaires. Si nous pouvons comprendre qui sont nos adversaires, comment ils planifient et opèrent, quels sont leurs objectifs et motivations, ainsi que leurs ressources et contraintes, nous pourrons comprendre ce que nos adversaires sont susceptibles de voir et comment ils planifient et opèrent. »
En procédant ainsi, estime Cohen, les entreprises peuvent mieux comprendre les types d’attaques auxquelles elles sont susceptibles d’être confrontées, afin d’utiliser ces informations pour déterminer les meilleurs outils de sécurité à mettre en œuvre. Dans de nombreux cas, cet ensemble d’outils inclura probablement une solution de gestion des mots de passe.
Table des matières
En savoir plus sur l’Open Source Security Summit.
Regardez l’entretien complet !
Rendez-vous sur opensourcesecuritysummit.com pour en savoir plus sur cette conférence annuelle.
Bien démarrer avec Bitwarden
Prêt à essayer Bitwarden pour votre entreprise ? Commencez un essai professionnel de 7 jours dès aujourd’hui pour protéger votre équipe et vos collègues en ligne.