mardi, 31 janvier 2023

Comment les outils de gestion des mots de passe aident les entreprises à prévenir les intrusions

Les attaquants continuent de lancer des attaques agressives sur les réseaux d’entreprise, intégrant des stratégies pour voler les mots de passe et obtenir un accès privilégié aux informations d’identification. Les variations et les versions arrivent à un rythme qui rend la tâche très difficile pour les entreprises en difficulté. La gestion des mots de passe peut aider.

Les qualifications volées et les cambriolages de mots de passe sont au cœur de la plupart des invasions interactives et personne n’est à l’abri.

Les attaquants, les gangs de cybercriminels et les groupes de menaces cohérentes avancées (APT) intensifient leurs efforts pour voler les mots de passe et accéder aux qualifications en se concentrant initialement sur les cadres de niveau C. Le rapport 2023 sur l’état de la préparation à la sécurité d’Ivanti a révélé que les cadres de niveau C sont au moins 4 fois plus susceptibles d’être victimes d’hameçonnage que les autres employés.

Près d’un PDG et membre de la haute direction sur 3 ont été victimes d’attaques à la baleine, soit en cliquant sur un lien, soit en envoyant de l’argent.

L’agression de l’accès à l’identité aux systèmes de gestion (IAM) et aux gestionnaires de mots de passe de niveau entreprise, y compris les multiples attaques contre LastPass qui ont conduit à la violation de l’identité de 25 millions d’utilisateurs, montre que les identités sont la zone de menace préférée des adversaires. « Les mots de passe faibles et partagés, les erreurs de configuration et les vulnérabilités sont des problèmes qui tourmentent le marché depuis de nombreuses années et qui persistent à ce jour. Ce qui a changé, c’est la vitesse et l’élégance avec lesquelles l’adversaire d’aujourd’hui peut militariser ces points faibles », écrit George, cofondateur et PDG de CrowdStrike. Kurtz. La gestion des mots de passe gagne la confiance des entreprises de taille moyenne

Pour les entreprises dont le revenu annuel est inférieur ou égal à 50 millions de dollars, la gestion des mots de passe a tendance à être séparée en fonction de la taille du budget total de sécurité. Les petites et moyennes entreprises (PME) commencent souvent par la gestion des mots de passe et l’authentification multifacteur (MFA). Lorsque les tentatives d’intrusion et de violation augmentent, trouver une solution de détection et de réaction gérées (MDR) devient plus crucial.

Nos discussions indiquent que les gestionnaires de mots de passe les plus fiables des petites entreprises sont 1Password Organization, Ivanti Password Director, NordPass, Keeper Enterprise Password Management, Specops Software Application Password Management, Bitwarden et Authlogics Password Security Management. 2 autres gestionnaires de mots de passe, ManageEngine ADSelfService Plus et ManageEngine Password Supervisor Pro, sont également populaires dans les petites entreprises et ont été ciblés par les ennemis APT. La CISA a publié l’alerte, APT Actors Making Use Of Freshly Identified Vulnerability in ManageEngine ADSelfService Plus, en 2021, mise en garde contre les vulnérabilités.

Les PME dont les bénéfices annuels sont de l’ordre de 50 millions de dollars font face à une série distincte d’obstacles de sécurité que la gestion des mots de passe ne résout pas à elle seule. CrowdStrike a récemment publié les résultats d’une enquête définissant les principales difficultés de cybersécurité des PME. L’enquête a vérifié que les cybercriminels ciblent de manière significative les PME, car elles représentent des cibles plus faciles que les grandes entreprises. Les responsables de l’informatique et de la sécurité des entreprises de taille moyenne informent VentureBeat qu’ils adoptent le MDR pour bénéficier des avantages du système expert (IA), de l’intelligence artificielle (ML) et des connaissances humaines.

Les PME souhaitent aller au-delà de la gestion des mots de passe et bénéficier d’un suivi, d’une action et d’une correction de la cybersécurité 24h/24, 7j/7 et 365j/an, et d’un accès à des analystes experts pour déterminer et arrêter rapidement une violation.

Dans une entreprise massive avec plus d’un milliard de dollars de bénéfices, la gestion des mots de passe est essentielle pour l’IAM du RSSI et les piles et plans technologiques d’accès chanceux à la gestion (PAM). Les systèmes de gestion de mots de passe les plus fiables fournissent souvent une intégration au niveau de l’API aux systèmes IAM et PAM. Les RSSI veulent des données de télémétrie en temps réel pour déterminer un risque potentiel d’intrusion ou de violation.

Les entreprises trouvent des outils de gestion de mots de passe fiables parmi les fournisseurs de gestion de mots de passe suivants sur la base de discussions avec des RSSI dans les secteurs de la couverture d’assurance, des services monétaires et informatiques, de la fabrication et des services d’experts.

1Password

Un choix familier dans les services informatiques et les services monétaires, 1Password Service obtient des notes élevées de la part des RSSI qui apprécient la façon dont il prend en charge et se synchronise instantanément sur plusieurs appareils, quel que soit le système d’exploitation. Pour les forces de travail virtuelles qui travaillent sur divers gadgets Android, Windows et Apple iOS, 1Password permet aux centres de services informatiques d’économiser des centaines d’heures par an sur les appels de configuration et les sessions en ligne, selon un entretien récent que VentureBeat a eu avec un RSSI des services monétaires.

Les entreprises utilisant 1Password Organization affirment que les fonctionnalités MFA sont intuitives, ce qui contribue à accroître leur utilisation par l’ensemble des employés de leur entreprise dans le monde entier. Les cryptages de coffre-fort et d’URL sont des aspects inclus qui conduisent les entreprises à faire confiance à 1Password Business plutôt qu’à d’autres systèmes de gestion de mots de passe. Il est considéré comme l’un des gestionnaires de mots de passe les plus intuitifs qui peuvent évoluer dans les entreprises aujourd’hui.

1Password Insights offre une interface conviviale pour reconnaître rapidement les menaces potentielles et l’état de la gestion des mots de passe à l’échelle de l’entreprise. Bitwarden

Bitwarden a découvert une utilisation intensive pour les équipes de développement commercial dans les secteurs de la couverture d’assurance, de l’informatique, des services financiers et des services professionnels. Le plug-in Chrome de Bitwarden comprend un générateur de mots de passe et un superviseur créés de manière intuitive, qui s’adaptent bien aux environnements devops sans affecter la productivité des ingénieurs. Les RSSI disent avoir choisi Bitwarden pour minimiser le délai de mise sur le marché pour la publication d’un service de gestion de mots de passe en interne, tout en ayant également des choix de développement de mots de passe qui répondaient aux exigences de conformité internes et réglementaires. Bitwarden a en fait acquis une crédibilité dans les entreprises pour son bon fonctionnement sur plusieurs gadgets et systèmes d’exploitation, minimisant la charge de travail sur les bureaux et les groupes d’assistance informatique. La variante totalement gratuite de Bitwarden pour un usage personnel mérite d’être considérée si vous n’utilisez pas actuellement de superviseur de mot de passe.

Bitwarden est généralement utilisé par les groupes devops, qui comptent sur son générateur de mots de passe intégré à son échelle pour rationaliser l’accès aux sites internes sécurisés, aux canaux Slack et aux ressources d’avancement internes.

Bravura

Pensé à l’un des superviseurs de mots de passe les plus extensibles et personnalisables pour les entreprises, les RSSI et les responsables de la sécurité offrent des notes élevées au Bravura Security Pass pour une facilité de personnalisation. Bravura rend également son langage de développement facilement disponible, permettant aux clients de personnaliser Security Pass en fonction de leurs besoins particuliers. Les responsables informatiques apprécient la faible maintenance du superviseur de mot de passe dès sa mise en place et la fiabilité de la randomisation des mots de passe. Tous les RSSI et responsables informatiques auxquels VentureBeat s’est entretenu avec Bravura Pass utilisent également MFA et ont trouvé que le processus d’intégration des 2 était bien documenté et pris en charge par Bravura.

Avatier

La gestion des mots de passe Identity Anyplace d’Avatier a été conçue pour fonctionner dans des environnements hébergés dans le cloud et non hébergés, ce que les entreprises considèrent comme un avantage d’avoir exactement la même taxonomie de sécurité dans toute leur technologie empiler. Avatier obtient des notes élevées de la part des responsables de l’informatique et de la sécurité pour ses alternatives d’intégration et ses choix quant à la meilleure façon de valider les utilisateurs, en fonction de la pile de sécurité et des flux de travail existants d’une entreprise. Ce qui en fait l’un des superviseurs de mots de passe les plus fiables, c’est sa capacité à intégrer les mots de passe après l’intégration dans les systèmes sur site. Un CISO a déclaré à VentureBeat qu’Identity Anyplace réduit également les tickets d’assistance informatique en fournissant une excellente assistance à la réinitialisation du mot de passe et à l’authentification.

La structure de base et les services standard d’Avatier permettent une assistance multilingue dans l’ensemble de l’entreprise tout en offrant la possibilité de prendre en charge un nombre illimité de ports d’identité et de systèmes de billetterie de centre de services. Keeper

La gestion des mots de passe d’entreprise de Keeper est l’un des superviseurs de mots de passe d’entreprise les plus fiables, car elle a fait ses preuves dans le temps dans des configurations complexes qui vérifient l’échelle et la vitesse du système. Un CISO d’une grande compagnie d’assurance a déclaré à VentureBeat que l’intégration avec leur SSO pour protéger les applications de performances personnelles basées sur le cloud à l’aide de Keeper a permis de protéger immédiatement plus de 5 000 utilisateurs d’Office365.

Keeper obtient également des notes élevées pour sa prise en charge des alertes, de la surveillance des sessions et des rapports. Les responsables informatiques apprécient la façon dont la feuille de route offre davantage de fonctionnalités IAM et PAM. Les responsables informatiques déclarent que la fonctionnalité d’audit de sécurité qui évalue la force des mots de passe aide à former les employés à créer des mots de passe plus efficaces tout en détectant les mots de passe faibles au niveau de l’infrastructure.

L’audit de sécurité de Keeper s’avère utile en tant qu’outil de formation tout en capturant les mots de passe faibles au niveau de l’infrastructure. les niveaux d’administration et d’installations.

Sailpoint

Connu pour son système d’application cloud structuré, selon les clients interrogés par VentureBeat, SailPoint Password Management est considéré comme l’un des gestionnaires de mots de passe les plus fiables par les responsables informatiques d’entreprise qui l’intègrent généralement avec SSO et d’autres systèmes d’authentification basés sur l’identité. SailPoint a la réputation de travailler de manière fiable et d’avoir des panneaux de contrôle suffisamment conviviaux pour être configurés sans formation approfondie ni collaboration avec un spécialiste. Le système intègre les mots de passe de manière fiable et aide à réduire les appels au service d’assistance informatique grâce à sa fonction de réinitialisation du mot de passe qui ne nécessite pas la participation d’un administrateur.

Le système de gestion des mots de passe de SailPoint appartient à sa plate-forme de sécurité d’identité créée pour offrir une sécurité et une intelligence d’identité basées sur les données. L’examen des systèmes et médicaux offre une vue d’ensemble des activités critiques et des alertes.

Specops

Les RSSI des services informatiques affirment que l’application de gestion des mots de passe de Specops Software est l’un de leurs systèmes de gestion des mots de passe de niveau entreprise les plus fiables, car il définit de manière fiable des politiques par type de compte utilisateur et par groupe, garantissant ainsi la conformité. Specops vérifie les mots de passe par rapport aux bases de données de mots de passe violés, s’assurant qu’aucun n’est utilisé à l’échelle de l’entreprise. C’est un soulagement considérable pour les responsables informatiques et les groupes de cybersécurité intéressés par la propagation de mots de passe compromis sur leurs réseaux. Les responsables informatiques affirment également que la capacité du système à gérer les réinitialisations en fait l’un des plus réputés qu’ils aient jamais vus, en plus de la façon dont l’application est développée de manière intuitive.

Specops gagne la confiance des responsables informatiques grâce à la manière dont son système prend en charge les politiques de mot de passe et permet la conformité à grande échelle.

Les RSSI doivent se préparer à un avenir sans mot de passe

Les attaques visant à obtenir des mots de passe cherchent à exploiter la confiance implicite offerte sur les réseaux d’entreprise. Lorsque l’accès est obtenu, les agresseurs peuvent se déplacer librement sur les réseaux sans être détectés. « Malgré le développement de l’authentification sans mot de passe, les mots de passe continuent de nombreux cas d’utilisation et restent une source importante de menace et de frustration pour les utilisateurs », écrivent Ant Allan, VP expert, et James Hoover, analyste principal dans le Gartner IAM Leaders’ Guide to User Authentication.

Les responsables de la cybersécurité doivent réfléchir à la manière dont ils peuvent finalement ne plus dépendre trop des mots de passe et adopter une technique basée sur la non-confiance pour protéger les identités dans l’ensemble de leurs organisations. Gartner prévoit que d’ici 2025, plus de 50 % de la main-d’œuvre et plus de 20 % des transactions d’authentification des consommateurs seront sans mot de passe, contre moins de 10 % aujourd’hui.

Ce qu’il faut, ce sont des systèmes d’authentification sans mot de passe qui sont si instinctifs qu’ils ne frustrent pas les utilisateurs, tout en fournissant une authentification adaptative sur n’importe quel gadget. Quick Identity Online 2 (FIDO2) fait partie des principaux standards d’authentification. Attendez-vous à voir davantage de fournisseurs IAM et PAM élargir leur prise en charge de FIDO2 au cours de l’année à venir.

Les principaux fournisseurs proposant des solutions d’authentification sans mot de passe sont Microsoft Authenticator, Okta, Duo Security, Auth0, Yubico et Ivanti’s Absolutely no Sign- Marche (ZSO). Parmi celles-ci, l’approche d’Ivanti se distingue par l’intégration de l’authentification sans mot de passe et de l’absence de confiance. Le ZSO d’Ivanti fait partie de sa plate-forme de gestion unifiée des terminaux et utilise la biométrie, constituée de l’identifiant facial d’Apple, comme aspect d’authentification secondaire pour accéder aux comptes, informations et systèmes professionnels individuels et partagés.

La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques de mieux comprendre la technologie d’entreprise transformatrice et d’effectuer des transactions. Découvrez nos Briefings.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici