Les espaces de travail partagés s’implantent dans les entreprises. Si les mots de passe sont également partagés, ils peuvent constituer une passerelle pour les pirates. Ceci est prouvé par le rapport Verizon Data Breach Investigations 2023. Mais c’est aussi beaucoup plus simple et sécurisé grâce à l’authentification sans mot de passe.
Les économies de coûts et l’augmentation de la productivité sont les arguments décisifs en faveur d’espaces de travail partagés pour les collaborateurs. En effet, les espaces de travail partagés se sont répandus dans de nombreux secteurs. Néanmoins, les entreprises doivent faire face aux risques de sécurité. Cela commence par garantir que seuls les utilisateurs appropriés ont accès aux appareils partagés.
Les mots de passe partagés sont un danger
Les informations de connexion partagées ou les notes autocollantes avec des mots de passe valides sont une pratique courante si plusieurs personnes doivent avoir accès à un poste de travail partagé. Par exemple, parce que les changements d'équipe fréquents, le travail saisonnier ou les fortes fluctuations du personnel sont à l'ordre du jour et qu'il est donc considéré comme l'option la plus pratique de permettre à chaque employé d'accéder à tout moment aux ressources nécessaires via un « passe-partout ». Cette approche douteuse n’est pas non plus inconnue des cybercriminels. Pour eux, les identifiants et mots de passe volés sont extrêmement attrayants : selon le rapport Verizon Data Breach Investigations Report 2023, 81 % des violations de données sont causées par des mots de passe volés ou faibles.
Pourquoi l'authentification multifacteur classique n'est pas une solution
La première impulsion pour combler des failles de sécurité aussi flagrantes est l’authentification multifacteur (MFA). Cependant, la MFA mobile, qui fonctionne avec les SMS, les codes OTP et les notifications push, est très vulnérable aux cybermenaces telles que le phishing, les attaques par force brute, les attaques de l'homme du milieu (MiTM), les logiciels malveillants et les attaques SIM. La preuve de la propriété de la clé ne peut pas être fournie, ni la preuve que la clé privée a effectivement atterri en toute sécurité sur l'appareil mobile. Intercepter des codes OTP ou des clés privées ne constitue pas non plus un grand défi pour les cybercriminels. Et que se passe-t-il si la batterie de l'appareil mobile est épuisée ou si l'utilisation de tels appareils n'est pas autorisée dans certains cas ?
Qu’est-ce qui fait une bonne solution ?
Lors du choix d’une solution adaptée, il est donc crucial de prendre en compte les facteurs d’efficacité, de fiabilité, de coûts et d’autres variables externes pouvant avoir un impact négatif sur les performances de la solution. En outre, il s'agit également de répondre à des questions qui tournent autour des thèmes de la vérification des utilisateurs et du confort d'utilisation : Comment un utilisateur peut-il prouver sa légitimité lors de son inscription ? Comment vous assurer qu’ils peuvent s’authentifier de manière transparente sur plusieurs appareils ? L’authentification fonctionne-t-elle également dans des conditions difficiles ? Et le nombre de tickets d’assistance liés à l’authentification peut-il être réduit à long terme ?
Remplacez les mots de passe par une authentification sans mot de passe
Passer de l’AMF traditionnelle à l’AMF résistante au phishing constitue une étape importante dans la sécurisation des environnements de travail partagés. La prochaine étape de l’AMF moderne est l’introduction de l’authentification sans mot de passe. Un SMS OTP est une option pour l’authentification sans mot de passe, mais il peut difficilement répondre à toutes les exigences énumérées. Les cartes à puce classiques sont une autre forme d'authentification sans mot de passe qui, tout en offrant une plus grande sécurité que le SMS OTP, nécessite généralement des coûts d'investissement élevés pour les lecteurs de cartes à puce, les cartes et les plates-formes de gestion back-end et n'offrent pas la meilleure expérience utilisateur sur les smartphones ou les tablettes.
Plus sur Yubico.com
À propos de Yubico
Yubico établit de nouvelles normes mondiales pour un accès facile et sécurisé aux ordinateurs, appareils mobiles, serveurs et comptes Internet. Le produit phare de la société, la YubiKey, offre une protection matérielle efficace pour un nombre illimité de systèmes informatiques et de services en ligne sur simple pression d'un bouton. Le YubiHSM, le module de sécurité matériel hautement portable de Yubico, protège les données confidentielles sur les serveurs.