Utilisateurs résistants au phishing : un aperçu de l’avenir de la sécurité sans mot de passe

Ainsi, une majorité d’entre eux les considèrent comme étant plus sécurisés (61 %) et plus pratiques que les mots de passe (58 %) ; une tendance qui marque donc une évolution des pratiques alors que les cybermenaces sont omniprésentes.

Voilà qui reflète l'importance pour les entreprises d'adapter la cybersécurité en accord avec l’évolution des cybermenaces, avec des solutions d'authentification modernes et la formation des utilisateurs, tout en prenant en compte la diversité des appareils pour mieux lutter contre les attaques de phishing et le vol de données.

La cybersécurité est conçue par des personnes, pour des personnes, et peut être exploitée par des personnes. C’est là que le concept d’utilisateur résistant au phishing prend tout son sens : le cœur de la cybersécurité moderne doit mettre l'accent sur la protection de l'élément humain. Avec les récentes avancées dans les solutions d'authentification sans mot de passe, et les nouvelles solutions d'authentification sur appareil, la manière dont une organisation peut établir et gérer les identifiants des utilisateurs tout au long de leur cycle de vie a évolué pour répondre à ces défis croissants.

Ainsi, pour prévenir efficacement les attaques de phishing, les organisations doivent aller au-delà de l'investissement dans des solutions de cybersécurité et d'authentification. Elles doivent se concentrer sur des stratégies visant à rendre les utilisateurs eux-mêmes résistants au phishing, en utilisant les technologies modernes de cybersécurité disponibles pour atteindre cet objectif. Cela implique non seulement de mettre en place des solutions résistantes au phishing adaptées, mais aussi d’éduquer les utilisateurs sur les meilleures pratiques en matière de sécurité. Cette formation est en effet nécessaire pour s’assurer que les processus d’authentification sont intégrés de manière fluide et intuitive dans leurs flux de travail quotidien.

La seule approche efficace pour éliminer le phishing du paysage de menaces d'une organisation est de faire en sorte que chaque utilisateur et chaque processus devienne résistant au phishing. Une authentification sécurisée qui accompagne les utilisateurs sur tous les appareils, plateformes et services, quelle que soit leur manière de travailler, n'est pas un luxe mais une nécessité dans le contexte numérique d'aujourd'hui qui évolue très vite. De plus, avec la prolifération des appareils modernes et abordables, les individus utilisent souvent des appareils personnels pour les emails professionnels et des appareils professionnels pour des tâches personnelles. Par exemple, les utilisateurs possèdent souvent plusieurs équipements (smartphones, ordinateurs portables, tablettes) sur différentes plateformes (Apple, Google, Microsoft) pour un usage personnel et professionnel. Cette diversité d'appareils et de plateformes crée un environnement complexe pour la gestion des identifiants et des méthodes d'authentification.

La résistance au phishing dans les processus d'enregistrement, d'authentification et de récupération est indispensable pour développer et maintenir des utilisateurs résistants au phishing, et tout commence et se termine par le déploiement de passkeys, y compris ceux liés aux appareils comme les clés de sécurité matérielles. Il faut en effet savoir que les passkeys sur clés de sécurité physiques sont plus sécurisés que ceux stockés sur des ordinateurs, qui présentent une surface d’attaque importante. Les passkeys sont en effet plus vulnérables lorsqu’ils sont stockés sur un ordinateur ou un smartphone (également connus sous le nom de “passkeys synchronisées”), car il y a une synchronisation nécessaire qui se fait dans le cloud au moment de l’authentification. Parce qu'ils peuvent être synchronisés avec d'autres appareils via le cloud, ils sont donc vulnérables aux attaques, contrairement aux passkeys sur clés de sécurité matérielles, qui ne vont nulle part ailleurs et ne peuvent être copiés.

La cybersécurité moderne ne peut se contenter de simples solutions technologiques ; elle doit intégrer l'élément humain au cœur de ses stratégies de protection. Les avancées dans les méthodes d'authentification, telles que les passkeys et les clés de sécurité, offrent une protection renforcée contre le phishing contrairement aux mots de passe qu’il est temps d’abandonner définitivement. La compatibilité avec une multitude d'appareils et la simplicité d'utilisation des solutions sont également essentielles pour assurer une protection homogène et sans compromis. Enfin, en marge du déploiement de l’authentification moderne, les entreprises doivent également former les utilisateurs à la lutte contre les menaces, afin de leur donner les moyens de devenir eux-mêmes résistants au phishing.