Malgré l’augmentation des cyberattaques, les méthodes par nom d’utilisateur et mot de passe sont encore perçues comme un moyen d’authentification suffisamment fort
septembre 2024 par Yubico
À l’ère de l’incertitude liée à l’IA (intelligence artificielle) et de la multiplication des failles de sécurité, Yubico dévoile les résultats de son enquête « 2024 Global State of Authentication » – à seulement quelques jours du mois de sensibilisation à la cybersécurité débutant la semaine prochaine.
Au cours de cette enquête menée par Talker Research, 20 000 personnes à travers le monde (Australie, France, Allemagne, Inde, Japon, Pologne, Singapour, Suède, Royaume-Uni et États-Unis) ont été interrogées sur leur perception et leur compréhension de l’impact au niveau mondial de la cybersécurité, tant au niveau personnel que professionnel. L’étude a également permis d’explorer les risques posés par les pratiques de sécurité inadéquates, la menace potentielle engendrée par des technologies comme l’intelligence artificielle ainsi que les conséquences sur la sécurité des individus et des entreprises.
Les résultats de l’enquête ont dévoilé des schémas et des comportements préoccupants en matière de cybersécurité personnelle et professionnelle, à commencer par une sous-utilisation généralisée de l’authentification multi-facteurs (MFA) et une approche majoritairement réactive face aux cybermenaces. Les principales conclusions de l’enquête sont les suivantes :
• Bien qu’il s’agisse de la forme d’authentification la moins sécurisée, l’association nom d’utilisateur-mot de passe reste la méthode d’authentification la plus courante.
o 58 % se servent d’un nom d’utilisateur et d’un mot de passe pour se connecter à des comptes personnels
o 54 % se servent d’un nom d’utilisateur et d’un mot de passe pour se connecter à des comptes professionnels
• Pour les personnes interrogées, les arnaques en ligne et les attaques de phishing ont gagné en sophistication (72 %) et en efficacité (66 %) avec les progrès rapides de l’intelligence artificielle.
• Les répondants démontrent un manque de connaissance des bonnes pratiques d’authentification
o 39 % pensent que l’emploi d’un nom d’utilisateur et d’un mot de passe est le moyen d’authentification le plus sûr, tandis que 37 % considèrent qu’il s’agit de l’authentification par SMS. Or, ces méthodes sont l’une comme l’autre très sensibles aux attaques de phishing.
• 40 % ne pensent pas ou ne sont pas sûrs que les applications et services en ligne qu’ils utilisent sont suffisamment sécurisés pour assurer la protection de leurs données, de leurs comptes et de leurs informations personnelles. Toutefois, malgré cette incertitude, 22 % n’ont jamais réalisé d’audit de cybersécurité personnel (suppression des données personnelles d’Internet, installation ou mise à jour d’un logiciel de cybersécurité sur leurs appareils, modification des mots de passe compromis, etc.) pour renforcer leur protection en ligne.
• Les participants indiquent que les mots de passe les plus fréquemment compromis se trouvent sur les applications et les services qui stockent leurs informations les plus confidentielles, à savoir leurs informations financières et personnelles. Il s’agit notamment des mots de passe utilisés dans les cas suivants :
o Compte de réseaux sociaux – 44 %
o Application de paiement – 24 %
o Compte d’e-commerce – 21 %
o Application de messagerie – 17 %
o Application bancaire – 13 %
o
• Même si les failles de sécurité augmentent chaque année, 40 % des employés ayant répondu à l’enquête disent ne jamais avoir reçu de formation en cybersécurité de la part de leur entreprise. Et seuls 27 % estiment que les options de sécurité mises en place par leur entreprise sont très sûres.
• Pour ce qui est de l’aspect sécurité au moment de l’intégration des employés, plus d’un tiers (34 %) des répondants déclarent ne pas avoir reçu d’instructions pour sécuriser leurs comptes professionnels avec plus qu’un simple nom d’utilisateur et un mot de passe lorsqu’ils ont rejoint l’entreprise.
• Chaque employé constitue une cible potentielle. Malgré cela, 41 % affirment que les mesures et les exigences de sécurité diffèrent en fonction des rôles et des fonctions dans leur entreprise, ce qui permet aux acteurs malveillants de s’infiltrer à plusieurs niveaux de l’organisation.
« Les résultats mettent en lumière le besoin d’une stratégie de cybersécurité holistique qui englobe à la fois les environnements personnels et professionnels, explique Derek Hanson, Vice President Standards and Alliances chez Yubico. Cette stratégie comprend entre autres l’adoption de méthodes d’authentification plus robustes pour résister aux tentatives de phishing et la promotion d’une culture de sensibilisation à la sécurité grâce à une formation cohérente des employés. Développer un front uni contre les cybermenaces nécessite un effort concerté afin de combler l’écart entre la sécurité perçue et la sécurité réelle. L’intégration de mesures de sécurité avancées à tous les aspects de notre vie numérique nous permettra de mieux nous protéger nous, nos données et nos entreprises. »
Les failles de sécurité et les attaques de phishing ne sont pas seulement une préoccupation pour les services informatiques et les experts en technologies. Elles présentent également des risques majeurs pour le grand public, en particulier à l’ère de l’intelligence artificielle. Les cyberattaques et la fraude en ligne sont de plus en plus sophistiquées, ce qui oblige plus que jamais chacun à faire preuve d’une vigilance de tous les instants, tant au niveau personnel que professionnel.
« Lorsque les utilisateurs ne parviennent pas à sécuriser leurs comptes personnels, elles mettent également en danger leur lieu de travail. D’où l’importance pour les entreprises d’adopter une approche holistique qui intègre la sécurité des environnements professionnels et personnels », conclut Derek Hanson.
* Réalisée auprès de 2 000 salariés au sein de chaque pays (États-Unis, Royaume-Uni, Australie, Inde, Japon, Pologne, Singapour, France, Allemagne et Suède), cette enquête aléatoire « double opt-in » a été menée par la société d’études de marché Talker Research, dont les collaborateurs font partie de la Market Research Society (MRS) et de la European Society for Opinion and Marketing Research (ESOMAR).