Podcast: Play in new window | Download (Duration: 9:42 — 8.8MB)
Subscribe: Apple Podcasts | Spotify | Android | | More
La fin des mots de passe n’arrivera pas demain, même s’ils énervent tout le monde. Faire disparaître les mots de passe est le but de tous, mais cela prendra du temps. Pourtant, ce dispositif de sécurité est un peu la bête noire des utilisateurs et des entreprises, et c’est aussi leur talon d’Achille. J’ai rencontré Laura Van de Wiele, EMEA marketing manager chez LastPass au Ready for IT 2025, avec qui j’ai pu évoquer le sujet.
La fin des mots de passe n’est pas pour demain
Les mots de passe causent un vrai souci de vulnérabilité dans les entreprises
Exactement. 22 % des failles de sécurité sont liées à un vol d’identifiants/mots de passe de connexion [source : rapport BIR de Verizon en 2025 ], ce qui offre une porte d’entrée pour des acteurs malveillants au sein d’une entreprise. Cela cause une recrudescence des cyberattaques. Il est donc essentiel de se prémunir et de protéger tous les points d’accès au sein d’une société.
22 % des failles de sécurité sont liées à un vol d’identifiants/mots de passe de connexion
Et la cause principale est la négligence des utilisateurs qui choisissent des mots de passe trop faibles…
Bien évidemment, le facteur humain est prédominant, étant donné que le cerveau humain ne peut pas se souvenir de tous ses mots de passe. La tendance est souvent de réutiliser le même mot de passe ou d’en utiliser une déclinaison. Quand un acteur malveillant trouve des identifiants, il va utiliser un mot de passe qu’il va tester sur différentes applications et sites internetLe site web B2B est la vitrine digitale de votre entreprise. C’est le moyen le plus simple et efficace de présenter les produits et services de votre entreprise à vos futurs clients. pour tenter d’accéder à des comptes bancaires, aux comptes d’entreprise, etc. Ce que l’on observe également, c’est l’utilisation de mots de passe à usage personnel qui sont réemployés au sein de l’entreprise. La vulnérabilité augmente alors considérablement.
Google, Apple et Microsoft s’étaient pourtant mis d’accord pour créer un mot de passe universel
Certes, mais ce n’est pas leur cœur de métier. Aujourd’hui, la gestion des mots de passe, des identités et des accès fait partie de l’environnement IAM (Identity Access Management). Des entreprises telles que Microsoft ou Facebook exploitent cette opportunité.
On tend à dire qu’il faut se débarrasser du mot de passe, ce qu’on appelle le « passwordless », que l’on implémente de plus en plus, notamment avec l’authentification biométrique. Mais c’est un processus qui prendra du temps.
On parvient aujourd’hui à avoir de plus en plus d’authentifications sans mot de passe, mais nous n’avons pas encore éradiqué le mot de passe. C’est un projet à moyen ou long terme, le temps que toutes les entreprises et les individus le mettent en place, que ce soit disponible de différentes façons, et que l’on dispose des bons niveaux de sécurité et de connexion.
Sur les dernières versions de macOS, il y a l’application Password …
Oui, mais elle est limitée à l’OS Apple, ce qui restreint son utilisation. Et puis, ce n’est pas leur cœur de métier non plus. Aujourd’hui, tous les navigateurs proposent un coffre-fort de mots de passe.
Il est crucial d’avoir un chiffrement élevé pour éviter les problèmes. La version Premium de LastPass se distingue par un chiffrement robuste AES-256 bits en zero-knowledge. Selon sa longueur et sa technicité, craquer un mot de passe peut prendre entre 30 secondes ou bien plus longtemps.
Il est donc recommandé d’utiliser un gestionnaire de mots de passe, mais il faut aussi avoir le bon outil et s’assurer des bonnes fonctionnalités et protections mises en place.
Vous vendez donc principalement aux entreprises, soit environ 100 000 clients
Tout à fait. Nous travaillons actuellement avec plus de 100 000 clients à travers le monde et nous comptons plus de 30 millions d’utilisateurs.
- La solution comporte un volet utilisateur : chaque employé peut disposer d’un gestionnaire de mots de passe sous forme d’application sur son téléphone ou d’extension sur son navigateur pour créer des mots de passe forts et uniques, les sauvegarder et les partager de façon sécurisée.
- Pour l’entreprise, notamment pour l’équipe IT, l’objectif est d’avoir une vision granulaire sur ce qui se passe au sein de l’organisation : les scores de sécurité, l’identification des mots de passe faibles, la possibilité de combler les lacunes par rapport au SSO et au MFA. Tout cela fournit au RSSI une vision d’ensemble. Il dispose ainsi de comptes privilégiés et de la visibilité nécessaire pour fournir des rapports de qualité à sa direction, indiquant le niveau de protection actuel et les applications qui sont ouvertes et non supportées.
Le MFA (Multi-Factor Authentication), n’est-il pas un peu nébuleux pour les utilisateurs ?
Même si parfois les utilisateurs peuvent trouver cela contraignant, c’est un niveau de sécurité supplémentaire qui est nécessaire. Lastpass offre également une solution de MFA qui permet justement de n’avoir qu’un seul outil.
Aujourd’hui, avec le « passwordless », les deux systèmes sont interconnectés, ce qui limite la nécessité de se connecter deux fois.
Avez-vous des chiffres sur les résultats après la mise en place d’une telle solution ?
Un de nos clients, une structure française de 450 employés est parvenue, après six mois, à atteindre un score de sécurité de 80 %. Tout ce qui dépasse 60 % en termes de score de sécurité, c’est-à-dire des mots de passe forts, uniques, non réutilisés et non compromis, est considéré comme très bon.
Cela permet effectivement de favoriser l’adoption du système et surtout d’améliorer l’hygiène des mots de passe ainsi que les comportements associés.
Mais pour en arriver là, il faut beaucoup d’éducation, de suivi et de support. À partir du moment où l’on n’a plus besoin de se souvenir de ses mots de passe et qu’on utilise simplement une application, c’est aussi un gain de temps considérable.
Je connaissais quelqu’un qui, au lieu de créer un mot de passe et de s’en souvenir, utilisait systématiquement la fonction « j’ai oublié mon mot de passe ». Le temps passé à cette manipulation est énorme, tant pour l’individu qui doit recevoir l’e-mail, cliquer et paramétrer, que pour l’administrateur.
Un administrateur peut consacrer plus de 30 heures par an à la gestion des mots de passe, à leur réinitialisation et à la récupération des identifiants.
Notre solution permet d’alléger cette charge, permettant aux équipes IT de se concentrer sur des problématiques plus importantes.
Quelle est la place de la biométrie dans ces dispositifs ?
C’est ce vers quoi nous tendons aujourd’hui. On parle d’authentification biométrique, de « passkey », qui va renforcer l’identification d’une nouvelle manière.
Mais il reste essentiel de continuer à améliorer les comportements vis-à-vis des mots de passe et leur hygiène, tant dans la sphère privée que professionnelle. Avec l’impact de la COVID, la frontière entre vie personnelle et professionnelle est devenue très floue. On transporte de mauvaises habitudes de la maison au travail et vice versa.
Aujourd’hui, personne n’est à l’abri d’un vol de mot de passe
Beaucoup pensent « cela ne peut pas m’arriver, personne ne s’intéressera à moi », mais c’est précisément lorsqu’on adopte cette attitude que l’on devient vulnérable. Tout le monde est une cible potentielle, quel que soit son statut professionnel, son âge ou sa situation. Chacun représente une porte d’entrée potentielle.