Connexion
Abonnez-vous

Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise

Particuliers, ne rigolez pas trop…

Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise

Le 24 février 2020 à 13h56

Yubico, fabricant des clés de sécurité YubiKey, propose un état des lieux de la sécurité informatique dans le monde professionnel. Un constat donne le ton : 50 % des professionnels et 39 % des utilisateurs réutilisent leurs mots de passe. Prêchant pour sa paroisse, le constructeur regrette que la double authentification ne soit pas plus présente.

C’est la seconde fois que Yubico publie son rapport State of Password and Authentication Security Behaviors, en partenariat avec le Ponemon Institute. Il dresse un état des lieux de la sécurité (au sens large du terme) en entreprise.

Il s'appuie sur les retours de 2 507 personnes se présentant comme des « professionnels de l'informatique et de la sécurité » – 593 aux États-Unis, 413 au Royaume-Uni, 423 en Allemagne, 377 en France, 365 en Suède, 336 en Australie – et aussi de 563 « utilisateurs individuels », d'employés et clients de sociétés.

L'entreprise livre une première conclusion qui a de quoi faire froid dans le dos : « Contrairement à la croyance populaire, les professionnels de la sécurité informatique – auxquels nous nous attendons à ce qu’ils prennent la plus grande précaution en matière de sécurité – ne s’en sortent pas beaucoup mieux que les utilisateurs individuels dans cette étude ».

C’est notamment vrai sur la réutilisation et le partage des mots de passe, des pratiques pourtant à bannir.

Principales sources d’inquiétudes : vie privée et surveillance étatique

L’étude commence par demander aux personnes interrogées comment elles voient les questions de sécurité et de vie privée et leur évolution sur les deux dernières années.  Mais « seulement » 58 % des responsables informatiques et 47 % des utilisateurs se disent préoccupés ou très préoccupés par ce sujet. 53 % de ces derniers ne sont donc peu ou pas du tout inquiet, contre 41 % des professionnels. Un chiffre qui reste élevé malgré la multiplication des fuites/failles.

Comment perçoivent-ils leur modèle de menace ? Pour 61 % des professionnels, la surveillance étatique arrive en tête des principales sources d’inquiétude concernant la confidentialité et la sécurité. Pour les utilisateurs individuels, c’est le partage des informations personnelles avec des tiers – et notamment les données médicales – qui est en tête (57 %).

Pour les deux catégories, l’utilisation toujours plus intensive des terminaux mobiles est un sujet de préoccupation.

Le rêve d’une sécurité totale sans le moindre effort

Le rapport explique que la plupart des utilisateurs souhaitent obtenir « la meilleure sécurité en ligne, mais ne veulent pas être ennuyés » avec cette problématique. Comprendre en creux qu’ils veulent que leurs données soient aussi sécurisées que possible, pour un faible coût, avec une authentification rapide et aussi simple que possible.

Bref, autant dire que résoudre la quadrature du cercle relèverait presque du jeu d’enfant à côté des attentes des utilisateurs. C’est en plus oublier un peu vite qu’en matière de sécurité c’est toujours le maillon le plus faible qui définit la robustesse de la chaîne : si vous partagez vos mots de passe, les réutilisez, en choisissez des trop faibles, oubliez de les changer en cas de risque de fuites ou autre, vous êtes alors un maillon faible.

Une société peut bien mettre en place des pratiques fortes, si les utilisateurs décident de n'en faire qu'à leur tête, rien ne changera et ils ne seront pas correctement protégés. Même avec les conséquences sous les yeux, certains ont donc du mal à changer leurs habitudes. Être piraté n’est ainsi pas toujours synonyme de prise de conscience, aussi bien chez les professionnels que les utilisateurs individuels, selon l’étude.

Après avoir dû faire face à une telle situation, 65 % « seulement » des professionnels ont procédé à des changements sur leur manière de gérer leur sécurité en ligne, contre 76 % pour les utilisateurs. Lorsqu’ils revoient leur politique de sécurité, les utilisateurs – employés et clients – en profitent majoritairement pour augmenter la force de leurs mots de passe (61 %) et les changer plus fréquemment (52 %). Seuls 36 % d’entre eux affirment ensuite utiliser un mot de passe unique, tandis que 35 % en profitent pour passer à la double authentification dès que possible.

Les fausses « bonnes idées » : utiliser sa mémoire et partager son mot de passe

Selon le rapport, 28 à 31 % des personnes interrogées utilisent un gestionnaire de mots de passe. La majorité – 59 % aussi bien pour les professionnels que les autres utilisateurs – préfère visiblement faire confiance à sa mémoire, avec finalement le risque d’utiliser des mots de passe trop courts, faciles à deviner ou tous dans la même veine.

Si certains y arrivent certainement bien, ce n’est pas donné à tout le monde et nécessite une certaine gymnastique pour y arriver.  Pire, entre 41 et 42 % écrivent leurs mots de passe sur des post-its. Ils sont enfin 29 à 30 % à utiliser une… feuille de calcul. 66 % des professionnels reconnaissent partager leurs mots de passe avec des collègues, dont 16 % de manière fréquente et 33 % de temps en temps. Sur les autres utilisateurs (employés et clients), ce n’est pas franchement mieux avec respectivement 64 %, 14 % et 37 %.

50 % réutilisent un même mot de passe, 40 % ont la double authentification

Le rapport de Yubico évoque un autre sujet tout aussi important : 50 % des professionnels et 54 % des utilisateurs reconnaissent réutiliser le même mot de passe sur plusieurs comptes, une pratique pourtant à bannir pour rappel.

Une réponse qui a de quoi inquiéter en 2020, surtout après les multiples fuites de données sensibles de ces dernières années. Car en cas de problème sur un compte, les pirates peuvent se servir des données récupérées pour se connecter à d’autres services. Ils ne sont également que 36 et 40 % à utiliser la double authentification, alors que cette technique permet d'ajouter une couche de protection supplémentaire, ce qui est toujours bon à prendre. 

Lorsqu'elle l'est, c’est principalement pour les messageries (53 à 55 % des personnes interrogées), suivi par les boutiques en ligne (51 à 55 %), les réseaux sociaux (47/48 %) et les services bancaires (43 %). On tombe ensuite à moins de 30 % pour les services en ligne, l’identification sur un ordinateur, les cryptomonnaie (!), les jeux et les outils pour développeurs.

Pour les utilisateurs, deux points reviennent pour tenter de justifier que la double authentification n’est pas pratique au quotidien : une « perturbation » dans le travail et le fait qu’il soit « irritant de devoir copier des codes d'une application ou d’appareil à un autre ». Yubico en profite bien entendu pour mettre en avant ses YubiKey en affirmant que 52 à 56 % des sondés pensent que la sécurité informatique serait renforcée avec une double authentification passant par un élément matériel. C'est d'une certaine manière le sens de l'histoire, avec l'intégration plus forte des standards FIDO2 et WebAuthn.

Principaux vecteurs d’attaques (en France) : phishing et rançongiciels

Enfin, 51 % des professionnels de l’informatique indiquent que leur entreprise a été victime de phishing, contre 16 % pour les rançongiciels, 12 % de vols d’identifiants et 8 % d’une attaque de type homme du milieu (plusieurs réponses étaient possibles sur cette partie du sondage). 32 % affirment par contre que leur société n’a pas subi une de ces attaques, ou bien a préféré passer cet épisode sous silence.

Parmi les pays participants à cette étude, la France arrive en tête niveau phishing avec 57 % des sondés ayant été confronté à une telle situation, mais aussi sur le vol d’identifiants (17 %). Nous sommes en seconde position sur la question des rançongiciels (17 % également), derrière les États-Unis (21 %) cette fois-ci.

Concernant les rançongiciels, ce n’est pas Bouygues Construction qui dira le contraire avec deux cyberattaques du genre en l’espace d’un an, la dernière datant de fin janvier. Sur l’année 2019, l’ANSSI est ainsi intervenue pas moins de 69 fois en France et l’année 2020 commence sur les chapeaux de roues avec Bouygues et la région Grand Est. 

Le 24 février 2020 à 13h56

Commentaires (39)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Donc en gros, il faut durcir les mots de passe mais les principales attaques sont le fishing et les rançongiciels (qui n’ont rien à voir avec les mots de passe).

votre avatar

Le phising sert à récupérer quoi en général ? <img data-src=" />

votre avatar

faut dire qu’entre les mdp qui expirent à des périodes différentes, la poussée du SSO mais pas vraiment parce qu’il reste toujours un vieux machin à part ou un système séparé (ex messagerie vs mail vs autres applis) on a pas envie de s’ennuyer non plus <img data-src=" />

pour le coup la biométrique serait plus fluide je pense <img data-src=" />

votre avatar

Chez nous, on a un mot de passe Windows AD / Office 365 (avec la synchro) qui expire tous les 60 jours, sinon, le reste des mots de passe est dans un Bitwarden local avec une session pour chaque personne, et c’est pratique justement pour le partage de mot de passe.

votre avatar

Bah, Yubiko qui parle des mots de passe texte, ce n’est pas un peu gonflé ? :-)

Leur business c’est bien d’utiliser leurs produits plutôt que des mots de passe, donc même s’il y a surement du vrai dans leur rapport, ce n’est clairement pas l’acteur qu’il faut écouter. Ça serait comme écouter Verisure parler des cambriolages et des serrures traditionnelles ^^.

votre avatar

Et en quoi le durcissement des mots de passe empêche le fishing <img data-src=" />

votre avatar

La biométrie d’une personne étant difficilement dissimulable, et non révocable, elle est un bien piètre moyen de sécurisation.

votre avatar







jb18v a écrit :



pour le coup la biométrique serait plus fluide je pense <img data-src=" />







La biométrie d’une personne étant difficilement dissimulable, et non révocable, elle est un bien piètre moyen de sécurisation.


votre avatar

Le but du phishing est de récupérer un mot de passe….

votre avatar

Et donc : si le mot de passe est très complexe le fishing ne marche pas ?

votre avatar

Forcer le changement régulier de mot de passe tout les 36 du mois est peut être la cause du “postit-age”&nbsp;<img data-src=" />

votre avatar

Mea culpa, j’avais compris dans ton commentaire initial que phishing et ransomwares n’ont rien à voir avec les mots de passe (les deux, pas uniquement les rw).

votre avatar







lansing a écrit :



Forcer le changement régulier de mot de passe tout les 36 du mois est peut être la cause du “postit-age”&nbsp;<img data-src=" />





Pas nécessairement, mais pour moi c’est un incrément de 1 dans l’un des chiffres (toujours le même) et au bout de 4-5 changements retour au mdp “de base”


votre avatar







Tandhruil a écrit :



Et donc : si le mot de passe est très complexe le fishing ne marche pas ?







dans ce cas 2FA en plus


votre avatar

Tu as raison j’aurais dû préciser “(…) avec la faiblesse des mots de passe”



Le titre de l’article c’est :



Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise



Et la conclusion :



Principaux vecteurs d’attaques (en France) : phishing et rançongiciels





D’où mon interrogation

votre avatar







lansing a écrit :



Forcer le changement régulier de mot de passe tout les 36 du mois est peut être la cause du “postit-age” <img data-src=" />





Un article de quelques années maintenant (en anglais) disant que les changements fréquents de mots de passe sont contreproductifs :

https://arstechnica.com/information-technology/2016/08/frequent-password-changes…



De plus, Windows Server et Windows 10 par exemple ne permettent plus de définir des expirations automatique de mot de passe :

https://docs.microsoft.com/fr-fr/archive/blogs/secguide/security-baseline-final-…


votre avatar

le 2FA, la fédération, l’esso, MFA, OTP, les certificats, la biométrie, les keepass, …



Y’a 40 façons de faire pour sécuriser, tout ça mais ça coute du temps, de l’argent et le support par tous les éditeurs de la même solution…

votre avatar

Merci pour l’article, c’est le problème que je rencontre avec mes collègues dans l’entreprise avec surtout la multiplication des comptes/mdp.&nbsp;



Nous devons nous connecter plusieurs fois par jour à différentes applications/sites web avec des comptes différents et une sécurité différente sur les mots de passes (Parfois 6 caractères, 8 caractères, majuscules, caractère spécial….)&nbsp;



Résultat : Tout le monde note les accès sur du papier ou classeur excel comme indiqué dans l’article…



&nbsp;

votre avatar

L’idéal selon moi serait d’avoir 2 “clés” : une qui t’identifie et une qui t’authentifie. Le reste c’est le serveur/logiciel qui te laisse accès ou qui te dégage. Bien sur ne pas avoir les 2 clés sur le même trousseau…

votre avatar

<img data-src=" />



je pensais plus à un appairage avec smartphone ou watch, comme ce que permet macOS. Mais effectivement si c’est compromis une fois, impossible de le modifier.

votre avatar

Keepass est ton meilleur allié!!

votre avatar

Des mot de passe imprimé sur une feuille sans obligation d’en changer trop souvent ca me semble pas trop mal.

La sécurité physique de l’entreprise pouvant être facilement élevé et devrait l’être.



Ne pas avoir à le changer trop souvent ca évite également d’avoir un pass avec la date du jour/mois dedans…



Parfois à vouloir trop sécurisé c’est ce qui créé les points faibles.

votre avatar

au taf, on n’a pas le droit au post-it ni au calepin pour noter nos mdp (c’est pas BPF), du coup ils nous ont mis a dispo keepass

mais bon, reste que j’ai un mot de passe pour windows, un pour le logiciel de saisie des données, un pour un marque d’HPLC , l’autre marque ayant la version plus récente du logiciel et c’est mon login windows, un pour les dissolutest, un pour un autre appareil de dissolution, l’infrarouge c’est via mon login windows…



c’est un vrai bordel, et c’est mini 810 chara + mini/maj/chiffres/spéciaux (au moins 3 des 4) <img data-src=" />



quand tout sera centralisé avec nos ID windows, ça sera un peu plus simple, mais pour le moment c’est pas le cas :/

votre avatar







David_L a écrit :



Le phising sert à récupérer quoi en général ? <img data-src=" />





Je pense qu’il parle du fait que le mot de passe complexe ou non n’a aucun impact sur une campagne de fishing, puisque par définition ça consiste à mettre en confiance la cible pour qu’elle donne son mot de passe.


votre avatar







HunterZer0 a écrit :



Pas nécessairement, mais pour moi c’est un incrément de 1 dans l’un des chiffres (toujours le même) et au bout de 4-5 changements retour au mdp “de base”



Quand tu n’as qu’un mdp, ca va encore (quoique, on a bien un agent qui nous a fait le coup d’oublier son mot de passe de session 2 fois dans la même journée…). Mais souvent à mon boulot on en a plusieurs à retenir. Qui n’ont pas forcément les mêmes règles (3 types de caractères différents ou 4 obligatoires, noms communs autorisés ou pas, etc). Et qui surtout n’expirent pas en même temps (60 jours, 6 mois, 1 an, jamais)…


votre avatar







bilbonsacquet a écrit :



Un article de quelques années maintenant (en anglais) disant que les changements fréquents de mots de passe sont contreproductifs :

https://arstechnica.com/information-technology/2016/08/frequent-password-changes…





Et les recommandations du NIST depuis 2017 vont dans le même sens.

Un résumé : https://www.enzoic.com/surprising-new-password-guidelines-nist/

La source (cherchez “changed arbitrarily”) : https://pages.nist.gov/800-63-3/sp800-63b.html



&nbsp;Je crois bien avoir vu passer la même recommandation également chez OWASP.


votre avatar

+1 pour la bêtise de forcer à changer de mot de passe (surtout de façon trop régulière…)



L’entreprise où je bosse c’est encore pire :




  • changement de mot de passe tous les 3 mois… mais au bout de 2 mois tu reçois un mail de warning/rappel toutes les semaines, puis TOUS LES JOURS…

  • Les contraintes du mot de passe sont débiles, et poussent aux mots de passe simples : doit faire EXACTEMENT 8 caractères (ni plus, ni moins !), doit avoir uniquement des caractères alphanumériques (a-z|A-Z|0-9), et doit avoir au minimum 2 caractères de différents des 6 mots de passe précédents.

    …et on multiplie ça par 2 avec le mot de passe de session administrateur pour mes travaux, et on ajoute à ça que le SSO ne fonctionne pas du fait qu’il faut être sur le réseau de la boite et je suis systématiquement à distance / VPN…



    Résultat prévisible : mot de passe hyper simple, avec uniquement 2 lettres qui changent, tous les 2 mois.

    Histoire de faire les choses de façon propre, sur mon post-it (collé au PC <img data-src=" />) je ne note que les 2 caractères qui changent, justement.

votre avatar







DanLo a écrit :



Résultat prévisible : mot de passe hyper simple, avec uniquement 2 lettres qui changent, tous les 2 mois.

Histoire de faire les choses de façon propre, sur mon post-it (collé au PC <img data-src=" />) je ne note que les 2 caractères qui changent, justement.





Ça serait pas une banque ? Elles sont expertes dans les stratégie de mot de passe à la c, coucou Boursorama & Société Générale…


votre avatar

Perdu..!

votre avatar







DanLo a écrit :





  • Les contraintes du mot de passe sont débiles, et poussent aux mots de passe simples : doit faire EXACTEMENT 8 caractères (ni plus, ni moins !), doit avoir uniquement des caractères alphanumériques (a-z|A-Z|0-9), et doit avoir au minimum 2 caractères de différents des 6 mots de passe précédents.





    En plus de pousser aux mots de passe simples voire sur post-it, ces contraintes sont exploitées par les pirates pour savoir quoi tenter dans des attaques par force brute. Voire les aident à choisir une cible plus “facile” que les autres.



    Concernant le “caractères alphanumériques uniquement”, ça peut être un signe que l’application est vulnérable aux injections SQL et stocke les mots de passe en clair…


votre avatar







DanLo a écrit :



doit avoir au minimum 2 caractères de différents des 6 mots de passe précédents





A part en ayant le mot de passe stocké en clair quelque part, j’ai du mal à voir comment on peut appliquer cette règle. <img data-src=" />


votre avatar







DanLo a écrit :



+1 pour la bêtise de forcer à changer de mot de passe (surtout de façon trop régulière…)

&nbsp;



Même avis. Il y a une dizaine d’années, je bossais dans une boite du CAC40, les mots de passes devaient être changés tous les 30 jours, l’utilisateur avait 2 ou 3 jours pour changer le mot de passe avant que le système ne lui impose, en cas de congés, le changement devait être effectué à la nouvelle connexion, , comporter des caractères alpha numériques, au moins une majuscule et une minuscule, ne devait pas être un mot de passe utilisé au cours des 6 ou 7 derniers mois. Si le mot de passe était trop ressemblant, il était automatiquement refusé, par contre, je ne sais pas sur combien de caractères s’effectuait la vérification de concordance.

&nbsp;Théoriquement, il ne fallait pas noter les mots de passes mais au final plusieurs employés notaient le mot de passe sur un post it parfois collé à l’écran, parfois collé dans le tiroir. Personnellement, il me fallait plusieurs jours pour me rappeler le mot de passe, heureusement que je n’étais pas connecté en permanence, juste pour quelques taches bien précises, le reste se faisant à l’époque sur papier ensuite numérisé puis stocké. Par contre, d’autres employés travaillaient tous les jours sur des applications métiers ayant également une politique d’accès par mots de passes différente de celle de la session. Lorsque je suis parti, ils avaient quand même pris en compte la complexité du phénomène, ils avaient décidés de rattacher la sécurité des logiciels métiers à la session windows mais dans les petites agences comme celle dans laquelle je bossais, certains avaient conservés leur fonctionnements par mots de passes, donc niveau sécurisation des données, la simplification a également crée une brèche. Mais ils n’avaient pas beaucoup de solutions, mes collègues qui commençaient à la meme heure se retrouvaient tous les 30 jours à changer de mots de passe de session, et parfois cela tombait également pour certains logiciels métiers donc parfois 10 - 15 minutes de perdues par salarié pour réfléchir au mot de passe à utiliser, se rappeler et cela selon les obligations imposées.



Les commerciaux accédaient au réseau d’entreprise avec un VPN utilisant une clé USB et un code affiché sur un porte clé.


votre avatar

Je n’aurais pas mieux dit !

votre avatar







Patch a écrit :



Quand tu n’as qu’un mdp, ca va encore (quoique, on a bien un agent qui nous a fait le coup d’oublier son mot de passe de session 2 fois dans la même journée…). Mais souvent à mon boulot on en a plusieurs à retenir. Qui n’ont pas forcément les mêmes règles (3 types de caractères différents ou 4 obligatoires, noms communs autorisés ou pas, etc). Et qui surtout n’expirent pas en même temps (60 jours, 6 mois, 1 an, jamais)…





Ce qui est chiant c’est quand le mot de passe est connu ( noté dans un calepin ) et que la saisie se fait toujours en verrouillage majuscule car c’est le mode utilisé pour le logiciel de gestion de garage, réinitialisation très fréquente du mot de passe du webmail cegetel (SFR).



J’en viens maintenant à mettre un MDP à la c.. puisque SFR interdit de réutiliser d’anciens mots de passe.



Faire comprendre aux employés de bien regarder ce qu’ils tapent c’est carrément mission impossible.


votre avatar







Tandhruil a écrit :



Tu as raison j’aurais dû préciser “(…) avec la faiblesse des mots de passe”



Le titre de l’article c’est : Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise

Et la conclusion :Principaux vecteurs d’attaques (en France) : phishing et rançongiciels



D’où mon interrogation





Si tu avais lu entre les deux tu aurais compris que le principal vecteur de faiblesse est la réutilisation des mots de passe.

C’est souvent comme ça qu’on arrive à rentrer dans un réseau d’entreprise : phising perso (netflix, facebook….) tu récupères une liste email / mot de passe.

Avec cette liste il est probable que certains aient utilisé le même mot de passe netflix et pro :

tu peux tenter d’entrer dans les réseaux d’entreprise.

Une fois entré tu cherches le fichier-des-mots-de-passe-qui-est-super-sécurisé-parce-que-dans-le-réseau-de-l’entreprise . Et tu peux tranquillement choper des identifiants avec plus de privilèges (password du chef qui est en vacances, ou carrément des mots de passe admin…)



Une fois que t’as escaladé assez haut :




  • tu peux soit installer une backdoor (mode espionnage discret)

  • lancer une attaque interne pour casser plus d’accès (c’est risqué tu peux te faire chopper si les ITs font correctement leurs jobs)

  • Lancer un crypto virus la version armaguédon.



    C’est pas de la science-fiction, c’est du concret : Pour un Bouygues-immo qui fait les choux gras combien de PME (ou grosses sociétés plus discrètes) se font avoir ?


votre avatar

Un effet de bord dont on ne parle pas trop mais qui a du poids c’est la charge sur le Help desk

Il y a quelques années en arrivant dans une nouvelle boite, j’ai fait changer la politique de MDP de 1 mois à 186 jours.

Résultat : 300 appels par mois au help desk en moins

Le patron du help desk m’a offert une bouteille de Glenmorangie

<img data-src=" />

votre avatar







Z-os a écrit :



A part en ayant le mot de passe stocké en clair quelque part, j’ai du mal à voir comment on peut appliquer cette règle. <img data-src=" />





Non, quand tu changes ton mot de passe le système te demande aussi l’ancien. Pas besoin de stocker en clair


votre avatar

En effet… mais maintenant que vous le dites….. HUUUUUM…



Faudrait que j’y pense à la prochaine modification de mot de passe, mais quelque chose me dit qu’ils stockent en clair nos mot de passe bidons ..!

Sachant qu’ils veulent au moins 2 caractères de différents des 6 derniers mots de passe… Punaise et ça se dit entreprise du CaC40…

votre avatar

T’es pas obligé de stocker en clair pour obtenir le mot de passe pour faire une comparaison. N’importe quel outil de stockage de secrets type “Vault” a toute sa base chiffrée, mais derrière il est capable de ressortir l’info en clair au moment de l’utiliser puisque c’est là son but.



C’est juste que le gestionnaire dispose d’une clé lui permettant de déchiffrer le mot de passe lorsqu’il en a besoin. Clé qui est bien évidemment, en principe, inaccessible ou extrêmement restreinte.



Exemple : Active Directory 2003 (l’annuaire d’entreprise de Microsoft) chiffrait les mots de passe avec un couple de clé privée/publique il y a déjà bien longtemps tout en étant capable de gérer la complexité et la comparaison avec l’ancien.

Un rapport déplore le niveau de la sécurité et des mots de passe en entreprise

  • Principales sources d’inquiétudes : vie privée et surveillance étatique

  • Le rêve d’une sécurité totale sans le moindre effort

  • Les fausses « bonnes idées » : utiliser sa mémoire et partager son mot de passe

  • 50 % réutilisent un même mot de passe, 40 % ont la double authentification

  • Principaux vecteurs d’attaques (en France) : phishing et rançongiciels

Fermer