Cela soulève la question de la nécessité de réinitialiser les mots de passe, à un moment où les organisations doivent identifier des économies de coûts pour survivre au ralentissement économique. Ajoutant zéro valeur aux entreprises, réduisant la productivité des employés et représentant un coût astronomique, les réinitialisations de mots de passe pourraient-elles être totalement éradiquées ?

À l’approche de la Journée mondiale du mot de passe 2023, c’est l’occasion pour les entreprises d’apprendre à éliminer les réinitialisations de mots de passe de leurs processus afin d’améliorer à la fois leur sécurité et leurs résultats.

Il faut d’abord réaliser que les réinitialisations de mot de passe n’ont lieu que parce que les employés créent leurs propres mots de passe pour accéder aux systèmes et aux données. C’est comme si les employés créaient leurs propres clés pour entrer dans les bâtiments ou les usines. En effet, dans le monde numérique, les employés sont les gardiens des entreprises. Ils génèrent et détiennent les clés du royaume, pas les employeurs, qui ont perdu le contrôle de leurs clés d’accès.

Et les réinitialisations de mot de passe ne sont qu’un symptôme du fait que les employés détiennent ces clés. Avec des centaines de clés à retenir, les employés oublient leurs mots de passe, ce qui entraîne un volume exorbitant de réinitialisations des mots de passe.

Il y a actuellement plus de 2,8 millions d’employés dans les entreprises du CAC 40, et une étude de Statista révèle que 56% des employés réinitialisent leurs mots de passe au moins une fois par mois en 2022. Si vous mettez ce chiffre à côté des données de la maison de recherche Forrester, qui indique que le coût moyen d’une réinitialisation de mot de passe pour les entreprises est de 70 $, on obtient le coût réel des réinitialisations de mot de passe pour les entreprises. Rien que pour le CAC 40, ce chiffre dépasse 198 millions de dollars par mois, soit 2,3 milliards de dollars par an.

« Les réinitialisations de mots de passe entraînent des coûts importants pour les entreprises, qui peuvent être totalement évités. Elles sont un simple symptôme du fait que les employés contrôlent les clés de la maison. Si les entreprises revenaient au contrôle de leurs propres accès et mots de passe, il n’y aurait pas de mot de passe à retenir ou à oublier, et par conséquent, plus aucune réinitialisation de mot de passe. Tout comme il n’est pas nécessaire de changer constamment les serrures des portes des bureaux ou usines.

Lorsque les employés connaissent les mots de passe, les entreprises sont vulnérables à l’hameçonnage des mots de passe, qui est la principale cause de brèches. Ne plus laisser les utilisateurs connaitre les mots de passe permet d’éliminer le coût des réinitialisations de mot de passe tout en renforçant considérablement la sécurité. Cela permet également de minimiser les coûts éventuels associés à une brèche de données, comme les amendes du RGPD qui peuvent coûter jusqu’à 4% du chiffre d’affaires annuel pour avoir manqué au contrôle des clés d’accès », a déclaré Julia O’Toole, PDG de MyCena Security Solutions.

Au cours de la Journée mondiale du mot de passe de cette année, les entreprises de sécurité feront la promotion de l’accès unique avec des outils passwordless, l’authentification unique, la gestion des comptes privilégiés, le zéro trust ou la biométrie. Mais cette vieille conception est fausse et n’améliore en rien la sécurité. Au contraire, l’accès unique nuit à la sécurité en réduisant la cyber-résilience. Les employés restent les gardiens qui créent et contrôlent les clés d’accès du royaume. Mais au lieu de faire cinquante clés pour ouvrir cinquante portes, l’employé ne fait qu’une seule clé qui ouvre cinquante portes. Désormais, l’attaquant n’a plus qu’à trouver cette clé, à augmenter les privilèges et à accéder à l’ensemble du réseau de l’entreprise.

La biométrie présente un risque encore plus grand car, en plus d’être un point de défaillance unique, les voix et les visages des gens ne sont pas secrets. Les outils d’IA émergents peuvent utiliser des vidéos, des photos et des enregistrements pour les reproduire, et une fois volés, les données biométriques ne peuvent plus jamais être modifiées.

Pour résoudre les problèmes et les coûts de réinitialisation des mots de passe, les entreprises peuvent simplement revenir au contrôle de leurs clés d’accès et ne plus laisser les employés connaitre les mots de passe.

À cet effet, les organisations peuvent utiliser des solutions de de gestion de la segmentation et chiffrement des accès, tels que MyCena Desk Center, pour générer des mots de passe aléatoires forts pour tous les systèmes et les distribuer chiffrés aux employés, afin que personne ne les connaisse jamais. Cela signifie que les employés ne représentent plus une menace pour la sécurité.

Lorsque les employés ne connaissent pas les mots de passe de leurs employeurs, ils ne peuvent ni les perdre, ni les oublier, ni les remettre à des criminels par hameçonnage. Ce véritable remède aux problèmes de sécurité associés aux mots de passe supprime en même temps les réinitialisations de mots de passe coûteuses de l’entreprise. L’utilisation de telles solutions représenterait des économies de coûts de plus de 437 millions de dollars par an pour les seules sociétés du CAC 40.

« Les gens devraient cesser d’utiliser la Journée mondiale du mot de passe pour promouvoir des changements réguliers de mots de passe et des outils d’accès unique. Ce sont les reliquats d’une vieille croyance selon laquelle les gens ont besoin de connaître leurs mots de passe, ce qui est faux et nuit à la sécurité. Les mots de passe ne sont que des clés. Ils n’ont pas besoin d’être créés ou connus par des humains. Personne n’a pas besoin de connaître ou découper ses clés pour rentrer chez lui. Il suffit de pouvoir utiliser ses clés en toute sécurité. La Journée mondiale du mot de passe devrait plutôt être utilisée par les organisations pour se sensibiliser à la nécessité de contrôler leurs propres clés d’accès, revoir la liste des réinitialisations de mot de passe et récupérer le contrôle des accès là où il a été perdu.

La seule façon pour les organisations d’éliminer les coûts élevés de réinitialisation des mots de passe est de reprendre le contrôle de leurs accès et mots de passe. Si les organisations du CAC 40 commençaient à le faire, leur sécurité s’améliorerait, leurs coûts de réinitialisation de mot de passe seraient complètement éradiqués et des millions seraient ajoutés à leurs résultats. Il est temps d’agir », a poursuivi Julia O’Toole.