De nouvelles données montrent que les approches traditionnelles de la sécurité des identifiants échouent face à la main-d’œuvre moderne

Les stratégies de sécurité traditionnelles, construites autour de la protection d'un périmètre de réseau bien défini et de l'utilisation de la formation à la sécurité comme moyen de défense essentiel, échouent sur le lieu de travail moderne.

Pour comprendre directement pourquoi ce problème survient, nous avons interrogé 1 000 adultes salariés et 500 responsables informatiques basés aux États-Unis. Examinons certaines perspectives des approches traditionnelles de la sécurité des identifiants.

Le travail à distance et hybride continue de remodeler le paysage de la cybersécurité, introduisant de nouveaux risques alors que les employés ne font plus de différence entre les appareils personnels et les appareils professionnels. La surface d'attaque élargie, alimentée par des mots de passe faibles et les réseaux domestiques non sécurisés, a créé une tempête parfaite pour les cybercriminels.

Les employés se connectent souvent aux systèmes de l'entreprise à partir de réseaux Wi-Fi non sécurisés. Beaucoup de ces réseaux ne disposent pas de mesures de sécurité appropriées, comme des routeurs à jour, des VPN ou des mots de passe forts. Sans périmètre clair à défendre, les organisations font désormais face à un défi nettement plus complexe pour se protéger.

La sécurité accrue que certaines organisations ont mise en œuvre nuit également à la productivité.

Les programmes de formation et de sensibilisation à la sécurité sont des outils courants pour atténuer les risques humains, y compris le phishing, et les entreprisesy investissent beaucoup de temps et d'argent, mais les employés ne perçoivent pas la même valeur à ces sessions de formation.  

Une entreprise de 1 000 employés pourrait dépenser entre 12 000 et 24 000 euros par an pour une formation de base en ligne. Les grandes entreprises (plus de 10 000 employés) pourraient voir des coûts de l'ordre des centaines de milliers, voire des millions d'euros par an, surtout si elles ont recours à une formation approfondie, aux simulations de phishing et à une éducation axée sur la conformité.

Mais notre enquête a révélé que de nombreux employés prendraient des mesures extrêmes pour éviter les formations obligatoires à la sécurité :

Les responsables informatiques sont d'accord : 51 % d'entre-eux pensent que les employés de leur organisation considèrent la formation à la sécurité comme un fardeau. Cet alignement est un signe clair que la formation à la sécurité n'atteint pas les résultats escomptés en matière de protection des organisations contre les vulnérabilités humaines. 

La mauvaise hygiène des mots de passe des employés amplifie les risques. Presque tous les responsables informatiques (96 % ) déclarent devoir gérer des problèmes liés aux identifiants. Les trois problèmes les plus courants sont :

Ces mauvaises habitudes entraînent des pertes substantielles. Les responsables informatiques affirment que leur organisation a subi un vol de propriété intellectuelle en raison de mots de passe faibles ou compromis (37 % ), tandis que les comptes compromis ont entraîné un vol de l'argent (19 % ).

Les problèmes liés aux mots de passe exposent non seulement les organisations aux failles de sécurité, mais entraînent également des coûts opérationnels importants. Forrester Research estime que chaque réinitialisation du mot de passe coûte environ 70 euros, en tenant compte du temps consacré par le personnel informatique et des pertes de productivité.

De plus, jusqu'à 40 % des appels à l'aide sont liés à des problèmes de mots de passe, ce qui représente une charge de travail considérable pour le service d'assistance. Les employés passent également en moyenne 11 heures par an à la réinitialisation des mots de passe, ce qui a un impact supplémentaire sur leur productivité.

En conséquence, les organisations dépensent en moyenne 5,2 millions d'euros par an pour l'assistance et l'infrastructure liées aux mots de passe.

De toute évidence, les stratégies traditionnelles de sécurité des entreprises, y compris celles spécifiques aux identifiants, ne fonctionnent tout simplement pas.

Le prochain article de cette série de blogs sera bientôt disponible, découvrez l'impact de l'informatique parallèle et des défis de sécurité des identifiants sur les équipes informatiques déjà débordées.