Une protection par mot de passe bien pensée et des mots de passe forts ne sont plus une « bonne chose à avoir »,
mais une obligation. Après tout, selon l’article 32 du RGPD, une protection adéquate par mot de passe est l’une des
mesures organisationnelles qui doivent être mises en œuvre pour protéger les données personnelles. La compagnie
aérienne British Airways, par exemple, a dû payer une amende de 183 millions d’euros à la suite d’un vol de données
causé par une violation de mot de passe évitable. Les domaines informatiques qui ouvrent l’accès à de nombreux
profils d’utilisateurs en cas d’incident de sécurité nécessitent une protection particulière. Dans les environnements
Microsoft largement utilisés dans les entreprises, cela concerne l’Active Directory.
Le risqué d’être attaqué afin de capturer des mots de passe ou des hachages de mots de passe, puis de les décrypter
hors ligne, est élevé. Selon l’étude de la firme de cybersécurité Proofpoint, 91 % des entreprises françaises ont été
attaquées numériquement en 2019, et 65% l’ont été à de multiples reprises. Au niveau mondial, 37 % des entreprises
interrogées par l’expert en cybersécurité Sophos ont déclaré avoir subi une attaque numérique en 2021. Il ne s’agit
plus de savoir si une entreprise va être attaquée mais quand.
Malheureusement, les utilisateurs rendent généralement la tâche trop facile aux voleurs d’identité, qui utilisent divers
types d’attaques. Par exemple, les utilisateurs utilisent des mots de passe identiques ou similaires pour leurs comptes
privés et professionnels. Ils peuvent également recourir à des modèles de mots de passe similaires avec des éléments
tels que la première lettre du nom ou le code postal du lieu de résidence pour différents services, qui peuvent être
facilement devinés sans utiliser le hachage. De nombreux administrateurs utilisent même le même mot de passe pour
leurs comptes standard et administrateur, alors qu’ils devraient être mieux informés – un comportement qui devrait
être formellement sanctionné.
