Blog

perte productivite mots de passe

  • 17% passent plus de cinq minutes par jour à se connecter
  • Un quart doit se connecter à cinq applications et systèmes différents
  • Près d'un sur cinq écrit ses mots de passe pour les retenir

Nottingham, Royaume-Uni, 24 Janvier 2017 – Les mauvaises pratiques de gestion des mots de passe font potentiellement perdre deux jours par an aux travailleurs britanniques du fait de devoir utiliser plusieurs informations d'identification pour se connecter à des systèmes essentiels, selon les experts en sécurité de Hypersocket Software. Les recherches publiées dans le livre blanc Work smarter, not harder: solving password problems with Single Sign-On de Hypersocket montrent que 60% des travailleurs passent jusqu'à cinq minutes chaque jour à se connecter, tandis que 17% tapent sur leur clavier pendant plus de cinq minutes avant de pouvoir se mettre au travail.

Cela signifie qu’en moyenne les travailleurs au Royaume-Uni perdent entre 7 et 19 heures par an à attendre pour se connecter aux systèmes, soit entre un et deux jours et demi de travail par an.

Toute cette terminologie est un peu destabilisante. Que ce soit, la technologie opérationnelle (OT), les systèmes de contrôle industriels (ICS), les systèmes de contrôle et d'acquisition de données (SCADA) ou l’Internet des objets (IdO), il est important pour les cadres dirigeants de comprendre leurs différences et de trouver un moyen de maintenir l'accessibilité de ces technologies tout en respectant les réglementations locales.

SCADA VPNLe dénominateur commun derrière toutes ces technologies est le rôle important et croissant que jouent les réseaux privés virtuels (VPN) sur ces technologies. Mais avant d’approfondir le sujet, nous allons discuter des différences entre ces technologies.
À bien des égards, la pression est sur les épaules des propriétaires de ces technologies. Les hackers et les cyber-attaquants peuvent se permettre de se tromper un million de fois par jour, tandis qu’il suffit d’une fois aux entreprises de l’industrie pour perdre énormément d’argent, compromettre des vies et nuire à l'environnement.
Sans contrôles de sécurité appropriés, les organisations utilisant ces technologies sont vulnérables aux attaques et aux problèmes de conformité liés aux exigences réglementaires strictes. Dans des secteurs tels que le pétrole et le gaz, qui emploient principalement des technologies opérationnelles (OT), des produits chimiques et des produits pharmaceutiques, les organisations établissent des SCADA afin d’assurer l'accessibilité et l'intégrité des données. La lecture de la pression d'une soupape, par exemple, doit être facile pour les ingénieurs et le nombre affiché doit être précis. Si ce n’est pas le cas, cela peut coûter beaucoup d'argent à l’entreprise voire amener des employés à se blesser ou l’entreprise à nuire à l'environnement.

Le problème est que les technologies de l'information sont développées avec des objectifs différents de ceux des SCADA. En effet, la confidentialité des données est le centre de toutes les attentions. Les données doivent être protégées et facilement disponibles. Cette différence apparemment anodine avec les SCADA peut causer un écart exploitable par les hackers pour accéder au réseau.

Le monde a brutalement ouvert les yeux sur les dangers posés par l’Internet des Objets (IdO ou IoT) et ses dispositifs déployés par milliards. Un botnet constitué en grande partie de dispositifs de l’IdO, surnommé Mirai par ses créateurs, a frappé de façon inattendue le 21 Octobre et a provoqué une rupture de service qui a rendu indisponible les plus grands sites Internet du monde. Peu de temps après, l'auteur a publié le code source de Mirai, permettant ainsi à tout le monde de l’utiliser pour monter ses propres attaques.

VPN IoT

Selon un article de DarkReading, le code source de Mirai montre qu’il est conçu pour rechercher et attaquer des appareils connectés à Internet et qui sont protégés par des mots de passe et des noms d'utilisateur par défaut. Le fait d’avoir publié le code malveillant au public est inquiétant pour les experts en sécurité puisque cela peut permettre à d’autres de proférer des attaques similaires beaucoup plus facilement.
Selon le même article, c’est un utilisateur de hackforum, surnommé "Anna-senpai", qui a publié le code, apparemment en réponse à la surveillance accrue des appareils vulnérables de l’IdO par les FAI suite à l'attaque DDoS sur le site géré par le blogueur en sécurité et chercheur Brian Krebs.

En regardant les appareils de notre vie quotidienne, il est évident que la technologie de l’IdO est devenue omniprésente. L’IdO a été adopté par tous les secteurs et il est passé inaperçu par pratiquement tous les experts en cybersécurité. La réalité est qu’aujourd’hui nous sommes à la merci des cyber-attaquants assez avertis pour intégrer Mirai dans une attaque comme celle qui a paralysé des sites Internet du monde entier.

Malgré le sentiment que nous sommes incapables de défendre les réseaux d'entreprise de ces types d'attaques, les entreprises peuvent et devraient mettre en place des directives simples pour combler ces vulnérabilités.

administration des mots de passe self-service mac appleDurant la dernière décennie, les ordinateurs Apple Mac sont devenus très populaires auprès des consommateurs, en particulier chez les étudiants et les entreprises. Une raison à cela est le style sublime des machines et le système d'exploitation intuitif, sécurisé et puissant OSX. Cela signifie également qu'un nombre croissant d'entreprises préfèrent désormais utiliser des ordinateurs Apple. Bien sûr, plus d'utilisateurs signifie plus de mots de passe et donc un plus grand nombre de demandes de réinitialisation de mot de passe Active Directory.

Si un utilisateur Mac a oublié son mot de passe, ne pouvant pas accéder à son ordinateur et ne disposant d’aucun outil de réinitialisation de mot de passe, il devra envoyer une demande de réinitialisation de mot de passe ou de déverrouillage de compte à son service informatique. Une autre option serait d'utiliser un système de kiosque dédié. Ces deux options engendrent une perte de productivité et un nombre important de demandes aux membres du personnel informatique, uniquement pour des réinitialisations de mots de passe oubliés. Cette tâche ne nécessite ni des compétences avancées en informatique ni d'investir dans des équipements coûteux permetant de réinitialiser des mots de passe.