Dans un post précédent, nous évoquions le fait que mêmes les grandes entreprises peuvent devenir la proie des hackers. Et voilà que la mauvaise nouvelle est tombée, LinkedIn a été piraté !LinkedIn a rapidement pris des mesures de sécurité en demandant aux utilisateurs dont le compte a été compromis, de réinitialiser leur mot de passe. Suite à l’attaque contre LinkedIn, les experts en sécurité ont rappelé une fois de plus l'importance de suivre les meilleures pratiques en termes de mot de passe. En effet, il faut tirer les leçons de l’attaque contre LinkedIn, les utilisateurs finaux et les entreprises se doivent d'envisager sérieusement l'aide d'un gestionnaire de mot de passe !
Comment une faille de sécurité affecte les utilisateurs finaux ?
Il est assez courant pour les utilisateurs d'utiliser les mêmes identifiants de connexion sur plusieurs sites de médias sociaux et autres applications. Pire encore, certains utilisateurs ont tendance à utiliser le même mot de passe pour tous leurs comptes, que ce soient les comptes de messagerie, les réseaux sociaux, les comptes bancaires, de courtage et professionnel.
Si le mot de passe se trouve exposé dans l'un des sites, comme cela s'est produit avec LinkedIn, selon toute probabilité, les pirates seraient en mesure d'accéder facilement à vos autres comptes. Donc, il est toujours prudent d'avoir des mots de passe uniques pour chaque site web ou application et de les utiliser UNIQUEMENT sur ces sites / applications. Si un autre cas de mot de passe piratés se présente, vous n’avez qu’un seul mot de passe à modifier pour ce site / application. En outre, il est conseillé de changer fréquemment vos mots de passe.
Mais, le problème suivant se pose : Vous devez vous rappeler d’un grand nombre de mots de passe, parfois des dizaines, voire des centaines. Il est fort probable que vous en oubliez un au moment où vous en avez le plus besoin, vous aurez alors du mal à vous identifier.
Pensez à utiliser un gestionnaire de mots de passe
Tout comme vous avez un compte e-mail, vous devriez envisager d'utiliser une application de gestion de mot de passe. Pour lutter contre les cyber-menaces, une gestion correcte de vos mots de passe doit devenir un « mode de vie ». Les gestionnaires de mots de passe vous aident à stocker en toute sécurité tous vos logins et mots de passe. De plus, vous aurez une option pour lancer une connexion directe à des sites web et applications depuis l'interface graphique de votre coffre-fort à mots de passe. Vous n’aurez même pas besoin de copier/coller les mots de passe. Il suffit de cliquer sur le lien et vous serez connecté. Suite à l’adoption d'un gestionnaire de mots de passe, vous vous rendrez compte combien il est facile de gérer vos identifiants et d’éviter les failles de sécurité.
Vous vous demandez où trouver un bon gestionnaire de mots de passe ? Password Manager Pro de ManageEngine comblera ce besoin. Essayez le maintenant !
Les leçons à tirer pour les entreprises
En l’état actuel des choses, même si ce n'est pas possible ni juste faire des commentaires sur les pratiques de sécurité ou les défaillances de LinkedIn, il est intéressant de s'attarder sur les cyber-incidents qui se sont produits récemment et d’en tirer des leçons qui pourraient aider à prévenir les futurs incidents de sécurité dans d'autres entreprises.
Les tendances passées montrent que la cause exacte de la plupart des incidents de sécurité n’est pas signalée. Bien sûr, il y a eu des cas où les coupables ont dû rendre des comptes et leur modus-operandi a été révélé à tout le monde.
Traditionnellement, les keylogger (qui surveille ce vous frappez au clavier, les enregistre dans un fichier et les envoie à des attaquants distants), les cross-site scripting (qui permet aux attaquants d'injecter des scripts côté client dans des pages web vues par d'autres utilisateurs et d'exploiter les informations pour contourner les contrôles d'accès) et les virus sont les vecteurs d’une attaque de sécurité.
Toutefois, ces derniers temps, même si les identités volées semblent avoir servi de «canal de piratage» pour la plupart des cyber-criminels, les analystes estiment généralement que la mauvaise gestion des mots de passe d'administration, qui sont souvent justement dénommée «Keys to the Kingdom » (les clés du royaume), est à l'origine de nombreuses menaces de sécurité.
Une autre dure réalité est que beaucoup de sabotages ont été causé par des personnes internes à l’entreprise. Du personnel mécontent, des techniciens avides ou des employés licenciés ont souvent été impliqués dans bon nombre d’incidents de sécurité. Cela signifie que, dans cette ère de haute-technologie, un abus de confiance peut se produire n'importe où et n'importe quand avec de graves conséquences. Très souvent, le manque de contrôles internes bien définis et de restrictions d'accès ouvrent la voie à des incidents de sécurité.
Comment lutter contre ça ?
Les chercheurs rappelle régulièrement que les cyber-crimes et les incidents de vol d'identité sont de plus en plus fréquents et que leur nombre va continuer d’augmenter en 2012 pour de nombreuses raisons : en autre la situation économique, les facteurs sociaux et les progrès technologiques qui rendent les pirates de plus en plus créatifs chaque jour.
La gestion hasardeuse des mots de passe fait de l'entreprise un véritable paradis pour les hackers - internes ou externes. Malheureusement, les entreprises n'ont généralement pas tendance à attacher beaucoup d'importance à cet aspect crucial de la gestion administrative des mots de passe jusqu'à ce qu'un incident de sécurité ou qu’un vol d'identifiants se produise. Cette négligence est souvent coûteuse. Beaucoup de failles de sécurité proviennent en fait d'un manque de politiques adéquates de gestion des mots de passe et de contrôles internes. Les analystes croient fermement que la plupart des incidents de sécurité peuvent être évités en mettant en place des restrictions d'accès et des politiques de mots de passe bien définies.
Un des moyens efficaces pour mettre en place des contrôles internes est de déployer une solution de gestion des mots de passe privilégiés qui pourrait remplacer les processus manuels et aider à atteindre un haut niveau de sécurité pour les données. Les gestionnaires de mots de passe privilégiés aider à stocker de manière sécurisée des identités privilégiées dans un emplacement de stockage centralisé, à restreindre l'accès aux identifiants et à automatiser les activités de gestion de mots de passe. Cela aidera les organisations à avoir un contrôle total sur les identités privilégiées. Password Manager Pro de ManageEngine est une solution professionnelle de gestion des identifiants privilégiés et de l'information, qui a la confiance de nombreux administrateurs à travers le monde.
Tous les incidents de sécurité ne peuvent être prévenus ou évités, de la même manière un logiciel de gestion des mots de passe n’est pas la solution miracle contre tous les incidents de cyber-sécurité. Mais, les incidents de sécurité qui se produisent en raison d’un manque de contrôles internes efficaces sont évitables. Les entreprises devraient prendre des mesures préventives pour lutter contre les cyber-criminels. Sinon, les entreprises pourraient finir par regretter d’avoir agi trop tard !
Testez la version d'évaluation de 30 jours de Password Manager Pro