Une once de prévention : Pourquoi votre entreprise devrait investir dans la gestion des mots de passe.

Nancy Deol Responsable marketing chez Advanced Kiosks, client de LastPass Enterprise. Elle nous rejoint aujourd’hui sur notre blog pour discuter de l'adoption de la gestion de mots de passe dans votre entreprise. Ce sujet tombe à pic. Nous avons vu d'innombrables marques (sans parler des PDG) faire l'actualité récemment suite à des incidents informatiques, mais de nombreuses entreprises hésitent encore à aborder le traitement du problème de sécurité des mots de passe. Le conseil de Nancy nous aidera à savoir comment partir dans la bonne direction, ainsi qu'à voir comment LastPass peut éliminer les mauvaises pratiques de mots de passe. Le cybercrime est un problème que nous prenons au sérieux chez Advanced Kiosks. Nous travaillons avec beaucoup d'administrations et d'entreprises du domaine de la santé ; la protection de leurs données n'est pas seulement fondamentale, elle est non négociable. Quand nous sommes sélectionnés pour un projet de kiosque interactif, nous expliquons au chef de projet (avant même qu'il le demande) que nous incluons notre logiciel de gestion de kiosque préinstallé pour protéger leur kiosque contre toute dégradation malicieuse. Ce logiciel, appelé Zamok, verrouille l'écran tactile et assure la sécurité du kiosque interactif contre les pirates ainsi que contre la navigation web intempestive. Il permet aussi de s'assurer que l'utilisateur suivant du kiosque ne puisse pas accéder aux données du précédent. Beaucoup de données personnelles passent par le logiciel ou l'application, nous nous assurons que ces données restent confidentielles. Nous protégeons aussi les fichiers et les paramètres de l'administrateur de façon à éviter tout accès par des personnes extérieures. Donc vu les précautions prises pour la sécurisation de nos produits, pourquoi ne ferions-nous pas de même pour protéger les ordinateurs de notre lieu de travail ?

Il n'y a pas que les grandes marques qui se font attaquer

Une partie de notre rôle chez Advanced Kiosks est de rester informé des nouvelles attaques de cybercrime et des meilleures pratiques pour les éviter. IBM et le Ponemon Institute ont publié leurs conclusions dans l'étude du coût des fuites de données 2015, le coût total moyen d'une seule fuite atteint la somme étonnante de 3,79 millions de dollars américains. Beaucoup de nous pourraient lire ces statistiques et penser « En fait, nous n'avons sans doute pas à nous inquiéter. Les choses comme cela n'arrivent qu'aux très grandes entreprises. » En fait, réfléchissez-y à deux fois. Même si les actualités concernent le plus souvent des cybercrimes visant des noms célèbres tels que Target, LinkedIn, Ashley Madison, Sony ou NASDAQ, la vérité sur le sujet est que 1 petite entreprise sur 40 court un risque de devenir une cible des pirates informatiques. Les attaques contre les petites entreprises augmentent à un rythme alarmant. Le Rapport sur la sécurité de l'Internet 2016 de Symantec a révélé que les petites entreprises devraient se préoccuper d'abord des attaques peu évoluées, aussi faciles à exécuter que peu coûteuses, telles que les attaques de réutilisation de mot de passe ou d'hameçonnage. Finalement, vous devez protéger vos biens ainsi que ceux de vos clients. C'est critique si votre société vend des logiciels en tant que services SaaS (comme nous), ou si vous demandez à vos clients de fournir des données personnelles, financières ou autres données sensibles lors d'un échange. Je crois que c'est un point auquel la plupart des petites entreprises ne réfléchissent pas assez, et du fait de ce manque de préparation, se trouvent elles comme leurs clients vulnérables et cibles d'attaques.

Pourquoi les entreprises ne se protègent-elles pas contre le cybercrime ?

« Cela ne m'arrivera jamais »

Une des raisons essentielles est que les entreprises sont vraiment convaincues qu'elles ne représentent pas une cible de valeur suffisante et que cela ne pourrait jamais leur arriver. Cela me rappelle cette citation de Hunger Games « Que les probabilités soient toujours en votre faveur ». Ce mode de pensée est un pari risqué et ne prend pas en compte la réalité des cyberattaques. Les données démontrent que les cybercriminels sont opportunistes, qu'ils ciblent leurs victimes au hasard et qu'ils recherchent un accès à de l'argent facile lors de leurs attaques. Et malheureusement, les petites entreprises font des cibles faciles. Selon Small Business Trends, qui a tiré des conclusions essentielles de l'étude de Symantec, « Ces attaques d'hameçonnage visent les salariés largement responsables des finances d'une petite entreprise ». Donc si vous pensez que vous êtes en sécurité parce que vous n'êtes ni Target ni Sony, il est temps d'y réfléchir et de reconnaître la réalité des risques pour votre entreprise.

« Je n'ai pas le temps »

C'est une erreur courante que de croire que trouver la bonne once de prévention prendra trop de temps. Cela me surprend toujours parce que le coût sera assurément beaucoup plus élevé si vous tentez votre chance et que vous perdez. En particulier si on prend en compte le fait que selon un rapport Experian récent, 60% des petites entreprises victimes d'une fuite de données font faillite dans les 6 mois. Oui, vous devrez passer quelque temps pour :

• Trouver la technologie adaptée à votre entreprise
• Apprendre cette technologie
• Déployer cette technologie
• Apprendre à vos salariés à utiliser cette technologie

Mais tous les logiciels en tant que services SaaS ne sont pas égaux, et le temps de mise en œuvre est largement variable. Tous les facteurs ci-dessus sont les raisons essentielles pour lesquelles nous avons décidé que LastPass Enterprise était la bonne solution pour notre entreprise, et c'est pourquoi nous sommes convaincus que c'est la solution de mot de passe idéale pour toute entreprise qui n'a pas beaucoup de temps disponible. LastPass rend tout incroyablement facile à utiliser pour tous. C'est une solution en libre-service, ce qui signifie que n'importe qui (c'est-à-dire vous, les non-informaticiens !) peut se mettre dans le bain rapidement. C'est idéal pour nous parce que nous sommes une société de technologie en libre-service. LastPass Enterprise est aussi très extensible, pour vous permettre de commencer petit avec quelques membres essentiels de votre équipe pour le déployer ensuite sur toute l'entreprise quand vous y serez prêt.

« Je fais confiance à mes salariés pour se protéger eux-mêmes »

Pour parler franchement, ce n'est pas tellement une question de confiance et d'honnêteté, vous ne pouvez être sûrs de rien tant que vous n'avez pas mis en place un système pour vraiment vérifier si les salariés respectent les meilleures pratiques. Les premières questions à poser (et les premières réponses à trouver) sont : suis-je au courant des meilleures pratiques de mot de passe pour assurer la protection de nos données contre les cybercriminels, et mes salariés sont-ils en mesure de respecter ces meilleures pratiques ? Si oui, j'applaudis votre suivi de la cybersécurité. Elle est si importante pour votre entreprise. Si vous n'en êtes pas sûr, je suis là pour discuter de tout ce que vous devez savoir. Tech Talks propose quelques meilleures pratiques très utiles dans l'article, How do you protect your passwords? (Comment protégez-vous vos mots de passe), voici les conclusions essentielles :

• Choisissez un mot de passe long plutôt qu'un mot de passe plus complexe mais plus court. Bien sûr, vous souhaitez aussi ajouter des symboles, des chiffres, des lettres, etc., mais vous voulez surtout un mot de passe long. Cela dit, rien ne sert d'aligner 20 chiffres de 0 à 9 pour les répéter. 01234567890123456789 n'est pas un mot de passe fort. Tout ce qui est aléatoire est préférable.
• Évitez les expressions bien connues. Les cybercriminels savent que les gens préfèrent choisir des mots de passe connus et répandus. Par exemple « A plus dans le bus » ou « Estampe japonaise » ne donneront pas la forte protection dont vous avez besoin.
• Évitez d'utiliser les mêmes mots de passe, quelle que soit leur robustesse. Ce n'est pas parce que les cybercriminels ne pourront pas deviner votre mot de passe qu'ils ne pourront pas le voler auprès d'un service que vous utilisez.

Même si vos salariés savent tout ce qui précède, sans un système en place, il n'est pas possible de savoir si ces salariés respectent vraiment vos conseils et se protègent eux-mêmes. Et si le piratage de LinkedIn doit démontrer quoi que ce soit, c'est que les 3 mots de passe préférés des utilisateurs de LinkedIn sont 123456, linkedin et password. Ce fait à lui seul devrait attirer l'attention, parce que LinkedIn est une plate-forme sociale pour les relations professionnelles, et vous êtes des professionnels en entreprise. Et ce sont vos salariés. LastPass cherche à résoudre le problème du doute sur le respect par vos salariés des mesures de sécurité de mot de passe appropriées au travail. Quand vos salariés utilisent LastPass, vous savez vraiment s'ils utilisent des mots de passe uniques et robustes. Sans un système en place pour mesurer et avertir sur ce point, quelle peut être votre confiance ?

Le coût d'une attaque comparé au coût de la prévention

Il y a trois types de coût essentiels à la non-protection de votre entreprise contre les cybercriminels malicieux. Comme les faits démontrent que non seulement les grandes entreprises, mais aussi les plus petites, sont vulnérables aux attaques, vous devez envisager les coûts possibles si vous poursuivez comme avant, sans protéger votre entreprise.

Les trois postes de coût essentiels sont :

• Coûts financiers: Vous pouvez subir une perte de chiffre d'affaires due au vol informatique. Ceci ne dégrade pas que votre bénéfice, parce que vos actifs financiers ont été volés, mais conduit aussi à un manque de confiance de la part des clients potentiels et donc à un manque à gagner en chiffre d'affaires potentiel de nouvelles affaires. Il y a aussi le coût supplémentaire du temps et des ressources consacrées au nettoyage des dommages et au comblement des trous de sécurité qui ont permis l'attaque. Les coûts financiers sont ceux le plus couramment associés au cybercrime, mais ne sont qu'un des grands postes de coût.
• Coûts en temps: Vous pensez que cela prendrait trop de temps d'investir dans une solution de protection par mot de passe, mais qu'en est-il du temps à consacrer suite à une attaque ? Vous devez prendre en compte tout le temps que vous allez perdre, ainsi que celui de vos salariés, si vous êtes victime d'une cyberattaque. Vous perdrez du temps à contacter les autorités, institutions financières, débiteurs, fournisseurs et clients. Vous devrez aussi passer du temps à l'identification de la cause de la fuite, à sa correction, et à la réinitialisation des mots de passe de tout le monde.
• Les coûts de la honte: Selon ce qui passe après une cyberattaque potentielle, vous pourriez subir des dommages importants à votre marque. Tout d'abord, vous pourriez perdre votre travail ou votre entreprise. Vous pourriez aussi perdre des salariés et des clients au profit de concurrents. Pour une entreprise petite ou moyenne, ou dans une niche spécifique, le bouche à oreille va vite et la réputation de la marque est rapidement dégradée.

Il y a beaucoup de risque à ne pas protéger votre entreprise contre les cyberattaques. Advanced Kiosks a démontré que l'évitement des attaques potentielles est la clé et qu'elle vaut bien le faible investissement initial, c'est pourquoi nous avons choisi LastPass Enterprise. « La gestion des mots de passe est sans aucun doute l'investissement le plus important en temps et en argent pour s'assurer de la sécurité et de la protection de vos données. » – Robert Siciliano, PDG de IDTheftSecurity.com

Pourquoi Advanced Kiosks a choisi LastPass Enterprise

Il y a beaucoup de raisons logiques pour choisir LastPass Enterprise pour notre entreprise de technologie en libre-service. Voici quelques caractéristiques et avantages de cette solution de sécurité de mot de passe précieuse.

• La meilleure raison: Nous sommes une société de technologie en libre-service, fondée par un ingénieur qui a la culture de la limitation des risques. Qui dit mieux ?
• Tarif: LastPass Enterprise était au bon prix pour notre équipe, et il a l'avantage d'être extensible. Nous pourrons ajouter d'autres membres d'équipe au cours de notre croissance, et éventuellement réduire la voilure si nécessaire. La tarification est souple et peut s'adapter au budget d'une PME.
• Ressources de formation: Les membres de nos équipes apprécient l'accès à de nombreuses ressources de formation, du blog LastPass aux Screencasts et autres options d'assistance très utiles créées par LastPass pour faire découvrir la solution à ses clients.
• Le coffre-fort: L'interface utilisateur, aussi appelée le coffre-fort, est intuitive et facilite la gestion de vos mots de passe. Nous n'avons pas beaucoup de temps à consacrer dans la journée à découvrir une interface utilisateur complexe ou non intuitive, le coffre-fort élimine toute complexité de la gestion de nos mots de passe.
• Partage de mot de passe: Le coffre-fort peut contenir un dossier de mots de passe partagé avec vous, mais que vous ne pourrez pas modifier. Mon patron peut par exemple me donner accès à différentes plates-formes logicielles que nous utilisons, sans avoir à divulguer le mot de passe d'aucune d'entre elles. Si je devais quitter mon poste, il pourrait tout aussi bien me retirer l'accès aux mots de passe et les modifier. Je peux aussi partager l'accès à mes mots de passe avec des membres de l'équipe marketing, et supprimer cet accès au moment de mon choix. Quand j'ai demandé à mon patron ce qu'il pensait de cette fonctionnalité, il m'a répondu :

« J'adore la fonction de partage de mots de passe ! » Il a poursuivi « Je passais jusqu'à 30 minutes par jour à rechercher des mots de passe, LastPass m'a rendu ce temps disponible. »

• Console d'administration centralisée: C'est important parce ce que c'est là que vous pouvez gagner beaucoup de temps, en particulier dans une société en croissance. Grâce à la console d'administration centralisée, notre patron peut intégrer de nouveaux salariés en leur donnant accès aux sites web et aux applications en quelques minutes. Vous pouvez aussi précharger les coffres-forts des salariés pour qu'ils disposent de tous les identifiants de connexion nécessaires pour se mettre dans le bain avec LastPass.
• Sécurité: Nous avons aussi choisi LastPass pour la sécurité de la solution. LastPass utilise des algorithmes de chiffrement de pointe, ne stocke pas de mots de passe sur aucun de ses serveurs et utilise l'authentification à deux facteurs pour une sécurité renforcée. Ce ne sont que quelques exemples des mesures de sécurité mises en place par LastPass pour protéger ses clients.
• LastPass est raisonnable: Le résultat final, c'est qu'il est bien plus facile de demander à vos salariés de mémoriser un mot de passe difficile que 20 mots de passe difficiles ou plus. La logique est ici évidente.

Maintenant que vous comprenez mieux pourquoi une once de prévention vaut mieux qu'un kilo de corrections, ou dans ce cas qu'un faible investissement dans votre sécurité informatique vaut plusieurs millions de dommages potentiels, je vous invite à agir dès aujourd’hui. N'oubliez pas : le cybercrime est en augmentation. Un rapport récent de Security Intelligence a révélé que le cybercrime sera un problème à 2,1 milliard de dollars en 2019. Il est temps de protéger votre entreprise avec un faible investissement pour ce que je considère sans prix : votre tranquillité d'esprit.