Alors que la sécurité informatique est devenue un enjeu prioritaire pour les entreprises, les failles d’authentification restent parmi les vecteurs d’attaque les plus fréquents. Mauvaises pratiques autour des mots de passe, absence de MFA (authentification multi-facteurs), déploiement partiel du SSO (Single Sign-On)… les erreurs sont encore nombreuses, y compris dans les structures équipées de solutions modernes.
Les attaques ne ciblent plus uniquement les failles réseau ou les vulnérabilités logicielles. Aujourd’hui, le point d’entrée privilégié des cybercriminels, c’est l’identité numérique. Et trop souvent, celle-ci repose sur des mécanismes d’accès mal configurés ou insuffisamment sécurisés.
Des mots de passe toujours aussi vulnérables
Malgré la sensibilisation et les alertes répétées, les mots de passe faibles ou réutilisés restent la norme dans beaucoup d’entreprises. Selon les dernières études, plus de 60 % des utilisateurs utilisent encore le même mot de passe sur plusieurs services professionnels et personnels.
Des pratiques à risque généralisées
- Mots de passe trop courts ou faciles à deviner (« Bienvenue123 », « Azerty2024 », « Password! »)
- Absence de gestionnaire de mots de passe sécurisé
- Partage de mots de passe entre collègues, via des canaux non sécurisés (email, messagerie instantanée)
- Non-renouvellement régulier, voire conservation de mots de passe inchangés pendant plusieurs années
Ces pratiques créent des zones de vulnérabilité massives, que les attaquants exploitent via des techniques simples : phishing, credential stuffing, keylogging ou brute force. Une fois l’accès obtenu, les cybercriminels peuvent se déplacer latéralement dans le SI et compromettre des données critiques sans déclencher d’alerte immédiate.
MFA : une sécurité souvent activée… mais mal implémentée
L’authentification multi-facteurs est aujourd’hui recommandée, voire exigée, pour la plupart des accès sensibles. En théorie, elle permet de bloquer la majorité des attaques par vol de mot de passe. En pratique, son déploiement est souvent partiel, mal géré, ou contourné.
Ce qui ne fonctionne pas dans les déploiements MFA
- MFA activé uniquement pour certaines applications internes, mais pas sur les SaaS (messagerie, CRM, stockage cloud)
- Utilisation de méthodes peu robustes comme le code SMS (facile à intercepter via SIM swap)
- Absence d’obligation pour les prestataires, freelances ou comptes externes
- Manque de supervision : aucun suivi des tentatives MFA échouées ou des dispositifs suspects
Le problème ne vient donc pas de la technologie elle-même, mais de sa gouvernance. Sans politique de sécurité claire, le MFA perd en efficacité. Pire encore : certains utilisateurs le désactivent volontairement lorsqu’ils estiment qu’il ralentit leur accès, sans contrôle de la DSI.
SSO : simplifier l’accès, oui… sécuriser, encore mieux
Le Single Sign-On vise à simplifier l’expérience utilisateur en centralisant l’authentification : une seule connexion permet d’accéder à plusieurs services. En entreprise, cela réduit la fatigue liée aux mots de passe et améliore la gestion des identités. Mais là encore, les erreurs de configuration sont fréquentes.
Les failles liées au SSO mal maîtrisé
- SSO mal intégré avec certaines applications SaaS qui conservent un login parallèle (et parfois plus vulnérable)
- Manque de revocation automatique des droits en cas de départ ou de changement de poste
- Accès trop larges accordés à certains rôles via des groupes mal définis dans l’annuaire (Active Directory, Azure AD, etc.)
- Audits de permissions rarement réalisés, laissant des portes ouvertes sur des ressources critiques
Le SSO n’est pas un rempart suffisant s’il n’est pas combiné à une stratégie d’IAM (Identity & Access Management) robuste, avec des contrôles d’accès basés sur le principe du moindre privilège et une surveillance active des comptes à privilèges.
Des outils puissants, mais une hygiène numérique défaillante
Au-delà des technologies, le facteur humain reste un maillon faible. Le manque de formation, de rigueur et de gouvernance transforme des outils puissants en dispositifs peu efficaces. L’authentification doit être pensée comme un système global, cohérent, surveillé, et non comme une suite de briques techniques empilées sans stratégie.
Ce que les entreprises doivent renforcer en priorité
- Déployer un MFA robuste (TOTP, application mobile ou clé physique type YubiKey), obligatoire sur tous les accès sensibles
- Mettre en place un gestionnaire de mots de passe professionnel, avec partage sécurisé et audit des accès
- Auditer et rationaliser les droits d’accès régulièrement
- Former les collaborateurs à la sécurité des identifiants, aux menaces courantes (phishing, attaques par rebond) et aux bons réflexes
- Associer les équipes IT, sécu et RH pour gérer finement le cycle de vie des identités
La sécurité des accès ne se limite plus à cocher une case technique. Elle implique une démarche continue, coordonnée et contrôlée. Car dans la majorité des intrusions recensées, le point de départ est souvent le même : un identifiant mal protégé.
Je suis Romain, rédacteur passionné par tout ce qui touche au high-tech, à la crypto, et à l’innovation. Diplômé d’une école de marketing à Paris, je mets ma plume au service des dernières tendances et avancées technologiques.