Pourquoi la gestion des mots de passe est-elle aujourd’hui le parent pauvre de la sécurité ?

Gwendoline Denisse. Les gestionnaires de mot de passe sont malheureusement encore très sous-estimées aujourd’hui. Il faut pourtant avoir à l’esprit que 80% des failles informatiques sont liées à un facteur humain, notamment via l’usurpation des identifiants. Les entreprises ont tendance à choisir des solutions et technologies permettant de protéger leurs infrastructures informatiques et réseaux mais ces méthodes ne visent pas à répondre à la problématique que pose la mauvaise gestion des mots de passe par les employés. On se rend également compte que les administrateurs ne prioritise pas l’acquisition de gestionnaires de mots de passe craignant une implémentation complexe ne donnant pas nécessairement les résultats escomptés étant donné qu'il est difficile de faire adopter ces solutions en interne. Aussi, LastPass essaye d’adresser ces problématiques en proposant une solution simple, facile d’utilisation et rapide à mettre en place.

Qu’est-ce que les entreprises ont concrètement à gagner d’un gestionnaire de mot de passe ?

G.D. Absolument tout : du temps, de l’argent, de la productivité, mais surtout plus de sécurité... Une étude a montré que sur une année, un RSSI perdait 40 heures pour résoudre les problèmes liés au mot de passe alors qu’un gestionnaire de mot de passe permet aisément d’éviter cela. Avec une recrudescence des attaques et des compromissions, une solution de gestion des mots de passe sécurisée et capable de s'adapter à la constante évolution des menaces est indispensable.

Mais en plus de promouvoir une meilleure hygiène en matière de mot de passe par les employés, LastPass leur offre les clés afin de se protéger des phishings et offre à l'organisation une visibilité détaillée sur la fiabilité des mots de passe utilisés dans l'entreprise.

En outre, LastPass est un outil collaboratif, permettant le partage de données de manière sécurisée et permet aux administrateurs d'en contrôler les accès et autres privilèges.

Quelles sont les fonctionnalités qui possèdent la plus haute valeur ajoutée et qui mériteraient d’être plus connues ?

G.D. Chez LastPass, nous proposons divers services qui permettent une intégration maîtrisée aux différents cas usages que peuvent avoir les entreprises mais aussi un renforcement de la sécurité. Par exemple, nous offrons une synchronisation rapide avec l'AD, Azure AD, Okta, Google Workplace et PingOne. Il est également conseillé d'utiliser l'authentification fédérée à ces services afin d'améliorer l'expérience utilisateurs et de supprimer l'usage d'un mot de passe maître. De ce fait, chaque employé peut se connecter à LastPass avec leur compte déjà existant.

Également, nous proposons plus de 120 stratégies configurables autour des niveaux de sécurité, des accès, de la fiabilité des mots de passe et des autorisations pour n'en citer que quelques-unes... Celles-ci peuvent être appliquées à tout le monde ou à une partie seulement, permettant ainsi un contrôle plus personnalisé tout en s’adaptant aux règles de sécurité de l'organisation. Enfin, nous avons une stratégie de sécurité s’appelant « Dark Web Monitoring » qui permet de vérifier si les adresses e-mail des employés ont été révélées sur le Dark Web en les confrontant en permanence à la base de données d’Enzoic.

Un gestionnaire de mots de passe permet-il de limiter les risques liés au Shadow IT ?

G.D. Aujourd’hui, les employés introduisent des logiciels par eux-mêmes afin d'améliorer leur productivité et la qualité de leur travail car les logiciels mis à leur disposition ne répondent pas toujours à leurs besoins. Cela représente un danger auquel notre solution répond.

LastPass met à disposition un service de SSO et nous disposons d'un catalogue de plus de 1200 applications pré-configurées. Grace aux rapports d'événements, nous pouvons analyser l'utilisation de ces différentes applications mises à disposition des employés de l'entreprise et nous pouvons découvrir rapidement que des applications considérées cruciales sont sous-utilisées. Grâce aux rapports, événements et données de la console d'administration, l’organisation obtient la liste de l'intégralité des outils utilisés par les employés permettant de réduire cette part de shadow dans le réseau IT de l'entreprise.

Aussi, nous avons à cœur de partager et faire acquérir les bonnes habitudes en matière de mot de passe, à la fois en milieu professionnel et privée. C’est pour cela que nous fournissons gratuitement FAAB (Families as Benefit) lors de l’achat d’une licence LastPass Enterprise qui comprend six licences dont cinq pour un usage personnel et familial. Ce n’est qu’en protégeant les accès des employés à la maison et au bureau que les risques de piratage liés au Shadow IT diminueront.

Pour écouter la totalité de l'entretien. Cliquez ici.