D'après une étude de Varonis, 57 % des cyberattaques exploitent une identité compromise, ce qui rend indispensable la sécurisation des mots de passe au sein de votre entreprise. Les répercussions de ces failles peuvent être lourdes : vol de données sensibles, usurpation d'identité et propagation de logiciels malveillants.

Régulièrement, des cas de cybercriminalité sont rendus publics. En mars 2024, un rapport de l’OFCS a évoqué l'incident impliquant un employé d’une grande entreprise suisse. Il aurait laissé accessible un mot de passe simple qu’il aurait utilisé à plusieurs reprises, facilitant ainsi l’accès à des comptes de messagerie professionnels. Cette négligence a entraîné une cascade d’actions malveillantes.

De mauvaises habitudes concernant les mots de passe sont encore trop souvent constatées, exposant ainsi les entreprises à de nombreux risques :

  • Il n'est pas rare que les comptes professionnels soient initialement configurés avec des mots de passe standards tels que « newmember », « newuser » ou « welcome ».
  • Beaucoup trop de mots de passe se retrouvent sur des post-it ou écrits dans des carnets à proximité du PC qu'ils déverrouillent.
  • « 123456 » et « qwerty1234 » sont sur le podium des mots de passe les plus utilisés en Suisse. (D'après le NordPass).

Ces faits démontrent l'importance d'une gestion rigoureuse des identités et des accès (IAM) avec des outils professionnels et un accompagnement des employés.

80%
des fuites de données sont liées à des mots de passe faibles, réutilisés ou piratés.

Sources : LastPass
 

 

Responsabilité de chacun lorsqu’un mot de passe est compromis :

Vous êtes chef d'entreprise

La sécurité informatique de votre entreprise ne relève pas uniquement du service IT mais concerne l'ensemble des acteurs, à commencer par la direction. La négligence dans la gestion des mots de passe peut avoir de graves répercussions, allant de la perturbation des opérations aux conséquences juridiques et financières. Selon l'article 8, al.1 de la nouvelle loi fédérale sur la protection des données (nLPD), les entreprises doivent mettre en place des mesures techniques et organisationnelles pour protéger les données personnelles. Ainsi, un mot de passe compromis peut non seulement mener à une fuite de données mais aussi exposer l'entreprise à des sanctions administratives et des litiges judiciaires, impactant sa réputation et sa continuité opérationnelle.

Recours et conseils aux managers :

  • Les contrats de travail : il est primordial d'intégrer des clauses spécifiques portant sur la sécurité des informations. 
  • Cadre légal : le respect de la LPD et de l'Ordonnance sur la protection des données (OPD) constitue le cadre juridique dans lequel l'entreprise doit opérer pour garantir la protection des données. 
  • Audits sécurités : il a été prouvé que la mise en place d'audits réguliers, effectués par des experts internes ou externes, permet d’identifier les éventuelles failles et de mettre à jour les procédures de sécurité. En adoptant cette approche proactive, vous démontrez à vos clients et partenaires un engagement fort en faveur de la protection des données.

Vous êtes le responsable informatique

Votre rôle est central dans la protection des systèmes d'information et des données de l'entreprise. Vous êtes chargé d'assurer la sécurité technique et organisationnelle des accès ainsi que de mettre en place les dispositifs nécessaires pour prévenir toute compromission. Une mauvaise gestion des mots de passe peut ouvrir la porte à des cyberattaques susceptibles de paralyser l'entreprise et causer d'importants dégâts. Ainsi, il est impératif que vous équipiez l'entreprise avec de bons outils pour éviter que les collaborateurs ne prennent de mauvaises habitudes (ex : écrire des mots de passe complexes sur des post-it). Vous êtes garant de la robustesse des accès aux systèmes.

Bonnes pratiques à mettre en place :

  • La charte informatique : élaboration d'une charte claire et accessible à tous les utilisateurs. Alignée sur les exigences législatives, elle formalise les bonnes pratiques et sensibilise l'ensemble du personnel. La charte informatique constitue un outil de référence qui, en cas d'incident, peut servir à démontrer que des mesures préventives ont été mises en œuvre.
  • Formation & communication : un levier essentiel pour instaurer une culture de la cybersécurité. Ces formations, accompagnées de cas concrets et d'exercices pratiques, renforcent la vigilance des employés et limitent les risques de compromission. 
  • Intégration d'un gestionnaire de mots de passe : cet outil permet de générer et de stocker des identifiants complexes, évitant ainsi l'usage de mots de passe faibles ou leur réutilisation sur plusieurs comptes. Il simplifiera le quotidien des utilisateurs et évitera les mauvaises pratiques.

 

Vous êtes un employé ou un intervenant externe

Pour un employé ou un prestataire externe, la gestion sécurisée des mots de passe représente une responsabilité individuelle cruciale qui contribue à la protection de l’ensemble de l’organisation. Même si vous n’êtes pas en charge de la mise en œuvre des politiques de sécurité, vos pratiques quotidiennes jouent un rôle déterminant pour éviter que des failles ne compromettent les données sensibles de l’entreprise. Selon la LPD et l’OPD, chaque individu doit respecter des normes strictes de sécurité des informations, ce qui inclut l’utilisation de mots de passe robustes et l’application de mesures préventives pour éviter leur diffusion non autorisée.

Le code Pénal Suisse couvre également la détérioration de données (art. 144bis CP): "La destruction, altération ou suppression de données est punissable, et ce, même si le dommage est le résultat d'une négligence. La peine peut également atteindre trois ans de prison ou une peine pécuniaire."

L’utilisation de mots de passe simples, la réutilisation d’identifiants ou leur inscription sur des supports non sécurisés (comme des post-it ou des carnets à proximité de l’ordinateur) exposent l’entreprise à des risques majeurs. Une telle négligence peut entraîner l’accès non autorisé aux systèmes internes, faciliter le phishing et conduire à des incidents de sécurité ayant des répercussions importantes sur l’activité de l’entreprise. Il est donc essentiel, en tant qu’employé, de vous familiariser avec les politiques de sécurité en vigueur dans votre organisation et d’appliquer scrupuleusement les recommandations qui vous sont fournies.

Pour les intervenants externes : Il est crucial que les accès soient gérés de manière temporaire. Les identifiants doivent être révoqués automatiquement à la fin de la mission afin de réduire les risques d'exploitation ultérieurs.

 

lastpass

Gestionnaire de mots de passe

Mémorise et saisit vos identités

Devenu indispensable pour mémoriser l’ensemble des mots de passe complexes et uniques. Le gestionnaire est un coffre-fort chiffré permettant de stocker les identifiants de connexion de vos collaborateurs. Préservez la sécurité de vos accès et limitez les mauvaises pratiques.

DEMANDER À ÊTRE RECONTACTÉ

Captcha