Pourquoi les mots de passe ne sont pas suffisament sûrs

Transcription

1 Pourquoi les mots de passe ne sont pas suffisament sûrs Etude de cas de l authentification forte à deux facteurs Parmi les professionnels interrogés, 66 % reconnaissent avoir déjà vu des collaborateurs conserver une trace écrite de leur mot de passe au bureau ; pire, ils seraient 40 % à les noter sur des étiquettes et autres Post-It collés à même leur ordinateur... Les risques liés à l utilisation de mots de passe statiques ne sont certes pas nouveaux puisque dès 1995, le CERT (Computer Emergency Response Team) américain relevait que 80 % des incidents de sécurité qui lui étaient adressés incombaient à des mots de passe mal choisis. 15 ans plus tard, 44 % des entreprises utilisent pourtant encore de simples mots de passe pour sécuriser les accès distants à leurs intranet 1. Dans le paysage actuel de menaces et d essor de la valeur des informations créées et stockées, les systèmes dont la sécurité repose principalement sur des mots de passe statiques sont vulnérables et présentent des failles exploitables. Nous reviendrons dans ce document sur le besoin d authentification à deux facteurs et explorerons son retour sur investissement afin d aider les entreprises à prendre une décision éclairée lorsqu elles envisagent d évoluer vers une sécurité renforcée. Le besoin d authentification forte Les entreprises sont aujourd hui confrontées à des menaces de plus en plus sophistiquées et à paysage réglementaire toujours plus complexe pouvant avoir des effets directs sur leur capacité à réaliser leurs objectifs. Dans ce contexte, la protection des accès à l information et la certification de l identité des utilisateurs s inscrivent au coeur de toute stratégie cohérente de sécurité. De nombreux facteurs plaident aujourd hui en faveur d une sécurité renforcée et aident à justifier un investissement dans l authentification à deux facteurs: Multiplication de nouvelles applications métier en ligne. Conscientes des opportunités commerciales et des économies de coûts liées à la fourniture d un accès en ligne à l information, les entreprises lancent quantité d applications Web répondant à ce besoin d immédiateté et d accès instantané. Demande croissante d accès distants. L internationalisation des entreprises et la mobilité de leurs collaborateurs conduisent nombre d entre elles à offrir des accès continus et de n importe quel point du globe pour maximiser la productivité de leurs équipes. White Paper 1 Forrester Research, Best Practices: Implementing Strong Authentication in Your Enterprise, July 2009

2 Des entreprises toujours plus vulnérables à la cybercriminalité La diffusion des logiciels malveillants va désormais bien au-delà de l industrie des services financiers pour toucher des secteurs tels que la santé, l assurance, les télécommunications, l enseignement, les administrations publiques, etc. L objectif de la plupart des cyber-criminels a été d infecter les utilisateurs en ligne avec un «Cheval de Troie» (Tojan) pour collecter les informations sur leurs comptes bancaires et cartes de crédit. Mais en fait les trojans collectent beaucoup d autres informations. Les consommateurs sont aussi des employés et les employés utilisent souvent leur poste de travail professionnel pour une activité personnelles ou consulter leurs s personnels ; De même à mesure que les entreprises ouvrent accès à un nombre élargi de ressources via les technologies Web telles que les SSL VPN ; la variété de machines touchant s étend jusqu aux PC familiaux. Il en résulte un plus grand risque d infection par Cheval de Troie ou de perte de données critiques. Des quantités considérables d informations sont ainsi entre les mains de cybercriminels sans même que les entreprises victimes ne le sachent Par exemple, en octobre 2008, RSA publiait les résultats emblématiques de trois années de lutte contre le Cheval de Troie «Sinowal» et dévoilait qu au-delà des numéros de comptes bancaires et de cartes de crédit/débit, les pirates avaient également dérobé des adresses , des mots de passe, des habilitations de connexion FTP et VPN, etc. Il s agissait de la première découverte d une longue série démontrant la vulnérabilité des données sensibles des entreprises et administrations aux Chevaux de Troie. Privilèges d accès de nouvelles populations d utilisateurs. Les sous-traitants, partenaires ou fournisseurs sollicitent de plus en plus des accès à la demande à des données confidentielles de l entreprise (prévisions de vente, veille concurrentielle, grilles tarifaires, état des stocks, informations client, etc.). Multiplication des portails clients. Les clients souhaitent de plus en plus fréquemment disposer d accès en temps réel et d outils de libre-service pour gérer leurs comptes en ligne. Conformité réglementaire. Les multiples réglementations adoptées au cours des dernières années imposent aux entreprises de mettre en oeuvre des mesures de sécurité pour prévenir tout accès non-autorisé à l information. Menaces sophistiquées. Les menaces se développent et sont de plus en plus complexes à contenir. Sur le plan interne, les collaborateurs par comodité s engagent dans de mauvaises partiques de gestion des mots de passe et contournent les politiques de sécurité établies pour exécuter leurs propres tâches. En externe le phishing et les malware sont devenus des menaces abominables, témoignant de l importance accordée par les pirates aux habilitations d entreprise. Threats to information continue to evolve and are becoming more challenging to contain. Au coeur du paysage des menaces La multiplicité des menaces internes et externes auxquelles les entreprises doivent faire face pour protéger leur patrimoine informationnel est le principal facteur les incitant à mettre en oeuvre une authentification forte à deux facteurs pour sécuriser leurs réseaux, leurs données critiques métier, etc. Menaces internes Chaque collaborateur utilise différents systèmes et applications, exigeant autant d identifiants et mots de passe et expliquant des pratiques déficientes (mot de passe unique pour tous les systèmes, partage de mots de passe, inscription papier ou électronique des mots de passe, etc.). Parmi les professionnels interrogés sur les pratiques de gestion des mots de passe 2, 66 % reconnaissent avoir déjà vu des collaborateurs en conserver une trace écrite au bureau ; pire, ils seraient 40 % à les noter sur des Post-It et autres étiquettes collés à même leur ordinateur... Autant de pratiques induisant des risques quotidiens. La mobilité croissante des collaborateurs et la possibilité d accès à tout moment et en tout lieu, sont un autre exemple de nouveaux risques posés en interne à l entreprise. Même si la majorité des employés accèdent au réseau d entreprise par l intermédiaire de périphériques de confiance tels que PC portable ou mobile d entreprise, l utilisation de postes publics en libre-service et de «hot spot» WiFI est pourtant une pratique très courante, qui ouvre la voie aux enregistreurs de frappe (keyloggers) et autres programmes malveillants pour voler lesmots de passe des employés. Lors d une étude sur les menaces internes conduite en 2008 par RSA, 58 % des répondants reconnaissaient consulter «Parfois» ou «Fréquemment» leurs s professionnels à partir d un poste public tandis que 65 % affirment y accéder «Parfois» ou «Fréquemment» par un point d accès sans fil public («hot spot»). 2 RSA Password Management Survey 3 Source: RSA Anti-Fraud Command Center page 2

3 Menaces externes La mobilité croissante des collaborateurs et la possibilité d accès à tout moment et en tout lieu sont un autre exemple des nouveaux risques posés en interne à l entreprise. Les pirates recourent aujourd hui à des techniques avancées (ingénierie sociale, phishing, Chevaux de Troie, logiciels malveillants, etc.) pour dérober des informations sensibles du type propriété intellectuelle ou données commerciales confidentielles, en ciblant les habilitations d accès au VPN et réseaux d entreprise. Les «Botnets» (réseaux de machines zombies) sont particulièrement dangereux en raison de leur capacité à infecter les réseaux d entreprise avec des logiciels malveillants, spécifiquement conçus pour «siphonner» des informations sensibles ou voler des mots de passe. Pratiquement 90 % des entreprises du classement Fortune500 3 ont été victimes d une activité botnet. Les PME sont donc particulièrement en risque, compte tenu de la modestie de leurs budgets de sécurité comparé aux grandes entreprises. Une nouvelle forme de menace externe ciblant désormais les entreprises est le «spear Phishing» un forme d attaque par phishing qui cible essentiellement les employés ou des cibles à haut profile d une entreprise. Le spear phishing tente d amener l utilisateur à divulguer des informations personnelles ou sensibles ou encore à cliquer sur un lien ou une pièce jointe contenant un logiciel malveillant. Une fois que l utilisateur clique sur le lien ou lapièce jointe, le logiciel malveillant est installé; généralement sous forme d enregistreur de frappe (keylogger). Cetté méthode permet au pirate de dérober toute information saisie y compris habilitations professionnelles, informations de comptes bancaires, mots de passe sensibles, etc. Le véritable coût des mots de passe L utilisation des seuls mots de passe comme moyen de sécuriser l accès reste dominante. Dans un contexte de restriction budgétaire, le coût est souvent utilisé comme un obstacle pour donner corps à un projet d authentification à deux facteurs. Néanmoins, certaines entreprises commencent à réaliser que la «gratuité» apparente des mots de passe est sérieusement entachée par d importants coûts récurrents de support, de maintenance et d administration. Selon Gartner, la réinitialisation des mots de passe représenterait à elle seule 20 à 50 % de tous les appels destinés aux services de support (pour un coût moyen estimé à 38 $ par appel). Une charge considérable pour les ressources informatiques sans même prendre en compte les pertes de productivité des appelants. La conformité doit également être abordée pour quantifier le véritable coût des mots de passe. En effet, de multiples réglementations légales et industrielles exigent une authentification à deux facteurs pour s y conformer. Les entreprises qui n apportent pas une protection supplémentaire au delà des mots de passe statique s exposent à de considérables amendes et autres pénalités de plusieurs centaines de milliers de dollars. Enfin, les fuites de données liées à la compromission des mots de passe représentent un risque financier majeur puisque l on estimait en 2009 leur coût moyen à 6,75 millions de dollars 4 en y intégrant tous les facteurs pertinents : notification client, analyses et investigation, frais légaux, amendes et pénalités. Il faudrait naturellement ajouter à celà les charges intangibles telles que la perte de confiance de la clientèle, les atteintes à l image de marque et à la réputation, etc. 4 Ponemon Institute, Fifth Annual U.S. Cost of Data Breach Study, January 2010 page 3

4 Qu est-ce que l authentification à deux facteurs La différence majeure entre une authentification basée sur les mots de passe et une authentification à deux facteurs réside dans le fait que l utilisateur doit fournir plusieurs facteurs ou «preuves» pour que l authentification soit réussie. Les lois Sarbanes-Oxley, PCI Data Security Standard, Health Insurance Portability and Accountability Act sont quelques exemples de réglementations exigeant explicitement un système d authentification à deux facteurs pour protéger les accès aux réseaux d entreprise. Les éléments d une authentification à deux facteurs comprennent «quelque chose que vous connaissez» et «quelque chose que vous possédez». Le premier facteur est donc une information connue de l utilisateur seul telle que son mot de passe ou code PIN. Le second facteur quand à lui se réfère à quelque chose que l utilisateur a et qui peut prendre la forme d un token physique (clé de sécurité) ou bien d un système intégré à un périphérique (téléphone ou PC) utilisateur comme un token software, un certificat numérique, un objet Flash partagé ou un identifiant biométrique de type empreinte digitale scannée. Pour prouver son identité chaque utilisateur doit présenter au système ces deux éléments. Avec une clé matérielle, il devra par exemple indiquer «son nom d utilisateur et son mot de passe» (ce qu il connait) suivis du «code affiché par la clé à cet instant précis» (ce qu il possède). Ces deux composants devront être reconnus par le système avant que l utilisateur accède à la ressource considérée. Les entreprises souhaitant déployer une solution d authentification à deux facteurs ont le choix entre variété de solutions et de formats des facteurs, présentant chacun leurs propres avantages distinctifs en matière de sécurité, de portabilité, d extensibilité, de simplicité d utilisation, de fiabilité, et naturellement de coûts totaux d exploitation. (Reportez-vous à l encadré authentication decision Tree pour savoir comment choisir la solution d authentification répondant le mieux à vos exigences métier spécifiques). Bénéfices ET ROI de l authentification forte Les entreprises ont souvent tendance à se focaliser sur les seuls coûts immédiats et à négliger certains bénéfices à long terme... L authentification à deux facteurs présente en effet des avantages exclusifs: Réduction du risque Dans un contexte de multiplication de ressources critiques accessibles en ligne et de transactions conduites en ligne, les risques informationnels continuent à augmenter en proportion. Les coûts associés aux brèches de sécurité sur les données continuent à progresser et la publicité négative associée peut causer des dommages irréparables en termes de dégradation d image de marque et de perte de confiance de la clientèle. En outre, la disparition des frontières entre consommateurs et entreprises font peser des risques croissants d attaques et de vols sur les habilitations professionnelles. L authentification à deux facteurs aide à réduire le risque en certifiant l identité de chaque utilisateur avant de lui donner accès à une application ou information sensible. Faciliter la mobilité des employés Les effectifs mobiles augmentent au gré du développement international des entreprises et de l ouverture de bureaux istants à travers le globe. Cette exigence de mobilité et de productivité conduit les entreprises de toutes dimensions à faciliter l accès distant à leurs ressources. L authentification à deux facteurs présente dans ce contexte des avantages incomparables en ajoutant une couche de protection pour manipuler en toute confiance et sécurité des systèmes ou informations critiques de n importe où dans le monde. page 4

5 Exploiter de nouvelles opportunités métier L ouverture de certaines applications sur Internet a permis aux entreprises de fournir des services avancés à leur clientèle et de simplifier l accès à l information pour leurs partenaires et fournisseurs. Le dernier frein pour pleinement capitaliser sur le potentiel du canal internet reste la sécurité; Dans tout environnement en-ligne il est important d établir une confiance avec l utilisateur. L authentification à deux facteurs répond idéalement à cette problématique en apportant aux entreprises la garantie que les utilisateurs en ligne sont bien ceux qu ils prétendent être. Réduction des coûts Les applications métier apportent en général la capacité de répondre aux processus internes coûteux et consommateurs en ressources humaines. La gestion des commandes, les systèmes de RH et autres applications nécessitant des interventions manuelles telles que le traitement des formulaires, sont ainsi automatisées pour apporter plus d efficacité et réduire les coûts de l activité. Ces systèmes, indispensables au quotidien et vitaux pour l entreprise, exigent ainsi une protection particulière et la nécessité de certifier l identité de tous ceux qui s y connectent. Rappelons enfin qu avec le volume et le coût de réinitialisation des mots de passe, l authentification à deux facteurs réduit notablement les coûts de support informatique. Conformité De multiples lois et réglementations (Sarbanes-Oxley, PCIDSS, US Data Breach Notification, Health Insurance Portability and Accountability Act, etc.) auxquelles il faut se conformer exigent explicitement une authentification à deux facteurs pour protéger l accès au réseau d entreprise. Au delà des risques opérationnels, le non-respect de leurs prescriptions expose les entreprises à de lourdes pénalités ou amendes. Conclusion Contrairement aux systèmes de gestion des mots de passe, l authentification à deux facteurs présente tous les gages requis pour sécuriser l accès aux données sensibles et mener en toute confiance des transactions en ligne. Il est également capital de se souvenir que la sécurité par mots de passe statiques induit (sous l apparence de la «gratuité») des coûts cachés considérables dépassant très largement ceux de déploiement d une solution d authentification à deux facteurs dont les avantages en matière de sécurité ouvrent par ailleurs de nouvelles opportunités de création de valeur métier. Autant de paramètres tangibles permettant de démontrer clairement le ROI supérieur de l authentification à deux facteurs. page 5

6 RSA Authentication Decision Tree Quelle-est la meilleure solution d authentification pour mon entreprise? RSA Authentication Decision Tree (arbre décisionnel d authentification) est un outil interactif vous aidant à découvrir, évaluer et sélectionner la solution d authentification à deux facteurs la mieux adaptée à vos exigences métier. L outil prend en compte de nombreux paramètres comme le type d information à protéger, la populations d utilisateurs potentiels et l environnement technique de déploiement. Il vous guide à travers une suite de questions, et vous fournit une analyse personnalisée faisant ressortir les options d authentification adaptées à votre contexte et un rapport complet simple à comprendre. Pour accéder à cet outil interactif et obtenir votre rapport personnalisé, visitez Mythe J utilise les mots de passe car ils ne me coûtent rien... Mon entreprise utilise des mots de passe complexes et nous imposons à nos employés de les changer de manière régulière. Ce qui réduit nos risques. Mon entreprise n a pas les moyens d acquérir une solution d authentification à deux facteurs... Les coûts de l authentification à deux facteurs sont supérieurs à ses bénéfices... Realite Les coûts de gestion des mots de passe sont élevés si l on considère que 20 à 50 % des appels reçus par les services de support sont liés à leur réinitialisation. Il suffit de factoriser le coût moyen d un appel pour pleinement mesurer les coûts cachés des mots de passe. Les mots de passe complexes (incluant chiffres et lettres en maj/ minuscules) sont plus difficiles à deviner pour les pirates mais aussi à retenir pour les employés... Cette complexité tend à multiplier les appels de support et pousse les utilisateurs à noter sur papier les mots de passe augmentant considérablement le risque de sécurité. L efficacité économique de l authentification à deux facteurs est clairement démontrée et pas seulement pour les grandes entreprises puisque différents éditeurs proposent des packages spécialement conçus pour les budgets des PME. Les coûts de l authentification à deux facteurs sont anecdotiques lorsqu on les rapproche de ceux d une fuite de données ou des amendes et pénalités encourrues en cas de non-conformité. En outre, ses apports de sécurité ouvrent de nouvelles opportunités métier et perspectives de création de valeur dépassant aussi très largement leur prix d acquisition et d exploitation. La cybercriminalité cible avant tout les grandes entreprises et administrations... Bien au contraire, les pirates ciblent fréquemment les PME en raison de leur vulnérabilité supérieure et de contrôles de sécurité moins contraignants. Les entreprises ont souvent tendance à se focaliser sur les seuls coûts immédiats et à négliger certains bénéfices à long terme... page 6

7 A propos de RSA RSA, la Division Sécurité d EMC, est le premier éditeur de solutions de sécurité, de gestion des risques et de la conformité. RSA contribue au succès des plus grandes entreprises mondiales, les aidant à relever leurs défis de sécurité les plus complexes et les plus sensibles : gestion des risques organisationnels, protection des accès mobiles et du travail collaboratif, preuves de conformité, et sécurisation des environnements virtuels et Cloud Computing. Combinant des contrôles majeurs - de garantie d identité, de chiffrement et gestion de clés, de SIEM (gestion des informations et événements de scéurité), de DLP (Lutte contre la fuite de données) et de protection contre la fraude - avec des fonctionnalités leaders d egrc et de solides services de consulting, RSA apporte visibilité et confiance à des millions d identités utilisateurs, aux transactions qu ils réalisent et aux données qui sont générées. Pour de plus amples renseignements, veuillez consulter and EMC 2, EMC, RSA, le logo RSA et SecurID sont des marques déposées ou des marques d EMC Corporation aux Etats unis et autres pays. Toutes les autres marques utillisées dans ce document sont la propriété de leurs détenteurs respectifs EMC Corporation. Tous droits réservés. Publié aux USA. h9009-sidroi-wp-0811