Peu importe sa complexité, un mot de passe ne constitue plus un moyen fiable de sécuriser votre entreprise. Les récentes violations de données ont montré à quel point il est désormais facile d’acquérir des mots de passe: les attaquants ciblent souvent un employé lors d’une attaque de type «phishing», obtenant ainsi accès à votre réseau et, plus important encore, aux données de votre entreprise..

La biométrie n’ayant pas encore fait de vagues, il est probable que le mot de passe continuera d’apparaître dans les scénarios de sécurité pendant encore un certain temps. Toutefois, les experts recommandent qu’il ne constitue qu’une partie de votre processus d’authentification, et non sa totalité..

  • Comment utiliser le pouvoir des avis pour gérer votre réputation en ligne

La complexité et la gestion sont importantes: les PME sont souvent coupables d'utiliser le même mot de passe pour plusieurs comptes. En d'autres termes, une fois que les attaquants sont installés, ils ont accès à tous vos systèmes..

Pire encore, selon Dan Power, directeur des ventes chez OneLogin: "Souvent, lorsque le mot de passe est partagé, la complexité est plutôt faible."

"Même pour des choses aussi simples que l'accès au compte FedEx, nous constatons qu'il n'existe aucun processus permettant de modifier le mot de passe lorsque des personnes quittent l'entreprise", ajoute-t-il..

Surveiller votre réseau

Pourtant, si les mots de passe ne fonctionnent pas, comment une PME peut-elle rester en sécurité? Les experts recommandent de surveiller votre réseau et de détecter les attaques au fur et à mesure. La sécurité est traditionnellement centrée sur la prévention, mais cela ne fonctionne pas, déclare Jeremy Bergsman, responsable de la division des risques liés à l'information du cabinet de conseil aux entreprises CEB.

Il conseille aux entreprises de désigner un "chasseur" chargé de surveiller les systèmes pour détecter tout trafic réseau suspect. "Ce [chasseur] repère les événements tels qu'ils se présentent - plutôt que de les anticiper", explique-t-il, ajoutant qu'ils deviennent de plus en plus populaires dans les sociétés de services financiers, les sociétés pharmaceutiques et "quiconque est ciblé par le crime organisé".

Dans le passé, la surveillance consistait simplement à surveiller les alertes des systèmes, explique Bergsman. "Mais le" chasseur "recherche activement un comportement étrange - il a la capacité unique de repérer des indicateurs de compromis."

Dans l’idéal, dit Bergsman, le «chasseur» devrait être capable de penser simultanément du point de vue de l’attaquant ainsi que de celui de la SMB. Le travail peut être celui que les petites entreprises sous-traitent, mais cela nécessite une certaine connaissance de vos systèmes: "Les gens sous-traitent la surveillance traditionnelle, alors peut-être externalisez-vous le chasseur", conseille-t-il.

Des produits

Avec des attaques commençant presque toujours avec une personne, par des moyens tels que des courriels de phishing, l'éducation des employés est également très importante. Cela devrait faire partie d'une approche en couches de la sécurité, conviennent les experts, et des outils gratuits sont disponibles pour les PME plus petites..

Mais une partie de cette approche en couches comprend l’authentification: alors si les mots de passe ne la coupent pas, que fonctionne? Des configurations de sécurité basées sur des modèles, telles que celles utilisées pour les écrans de verrouillage Android, sont proposées, explique Catalin Cosoi, stratège en chef pour la sécurité chez Bitdefender. Mais il est probable qu’on trouvera éventuellement un moyen de les compromettre.

Au lieu de cela, il ajoute: "Une configuration très intéressante est fournie par les configurations de mot de passe à usage unique. Les générateurs de jetons de porte-clés semblent être les plus efficaces à ce jour pour autoriser des transactions financières spécifiques: ils offrent beaucoup de sécurité pour très peu inconvénient."

Les PME pourraient également utiliser la biométrie pour une méthode sécurisée d’accès physique au cloud, explique Peter Jones, directeur commercial des solutions de sécurité du groupe de systèmes d’information Hitachi Europe. "Tandis que les entreprises examinent les droits d'accès au cloud et que l'accès devient plus crucial à gérer, vous pouvez utiliser la biométrie comme une entrée dans le cloud. La biométrie est une méthode plus efficace pour accéder aux systèmes ou aux transactions", a-t-il déclaré..

OneLogin offre une gestion des identités et une authentification unique aux PME pour accéder aux services cloud. Par ailleurs, la société de sécurité VASCO propose une authentification à deux facteurs basée sur le cloud pour les PME qui traitent des transactions, via sa plateforme évolutive Mydigipass.com..

À mesure que les menaces à la sécurité se développent, une approche en couches qui inclut la surveillance est essentielle. Le mot de passe n'est pas encore mort, mais il n'est certainement pas assez sécurisé par lui-même.

  • Comment choisir le bon réseau à large bande