A cette occasion, le groupe TVH Consulting dévoile 7 leviers pour contrer les cyberattaques dopées à l’IA
Le groupe TVH Consulting, acteur majeur de l’intégration et de l’édition de logiciels en Europe, alerte sur la vulnérabilité croissante des mots de passe face aux progrès fulgurants de l’intelligence artificielle. Chaque jour, des millions d’identifiants sont compromis par des attaques automatisées de plus en plus sophistiquées. Les cybercriminels exploitent désormais des modèles d’IA capables d’identifier et de reproduire en quelques secondes des schémas de création de mots de passe longtemps considérés comme fiables.
Selon Laurent Galvani,
Expert Cybersécurité GRC & Responsable Avant-Vente Cybersécurité chez TVH
Consulting :
« Le mot de passe, tel que nous le concevons encore aujourd’hui, est devenu une
cible industrielle. Face à des attaques alimentées par l’IA, les entreprises
doivent faire évoluer leurs usages et repenser en profondeur leur stratégie
d’authentification. »
Les 7 leviers pour
renforcer la sécurité des mots de passe à l'ère de l'IA :
1 - Généraliser les
gestionnaires de mots de passe d'entreprise
Premier réflexe
indispensable : ne plus laisser les collaborateurs créer eux-mêmes leurs mots
de passe. Les entreprises doivent déployer des gestionnaires sécurisés capables
de générer et stocker automatiquement des mots de passe uniques, longs et
hautement aléatoires.
Concrètement, un
collaborateur qui accède à une plateforme comme Salesforce n’a plus besoin de
réutiliser le mot de passe de sa messagerie professionnelle. Un identifiant
complexe est généré automatiquement et stocké de manière sécurisée. Résultat :
la principale faille humaine la réutilisation des mots de passe est
considérablement réduite.
2 - Activer
systématiquement l'authentification multifacteur (MFA)
Un mot de passe
compromis ne doit jamais suffire à donner accès à un système d’information. Les
attaques de phishing continuent de piéger même les utilisateurs les plus
avertis. En revanche, lorsqu’une authentification supplémentaire est exigée via
une clé physique FIDO2 ou une application d’authentification sécurisée
l’attaque peut être stoppée net.
La priorité consiste
désormais à déployer des mécanismes MFA résistants au phishing, plutôt que de
s’appuyer uniquement sur des codes SMS, aujourd’hui insuffisamment sécurisés
face aux techniques modernes d’ingénierie sociale.
3 - Bannir les mots de
passe « malins » … que l'IA devine en secondes
Les mots de passe dits
« astucieux » ne résistent plus aux capacités actuelles des modèles de deep
learning. Les schémas classiques substitutions de caractères, ajout d’une année
ou majuscule initiale sont désormais parfaitement anticipés par les outils automatisés.
Ainsi, un mot de passe comme Entreprise2026 ! est aujourd’hui beaucoup
plus vulnérable qu’une phrase secrète longue et imprévisible telle que
tigre-velours-canoë-lampe. Le paradigme a changé : la longueur et
l’imprévisibilité priment désormais sur la complexité apparente.
4 - Séparer strictement
usages professionnels et personnels
La réutilisation d’un
même mot de passe entre des services personnels et professionnels représente un
risque critique souvent sous-estimé. Lorsqu’un collaborateur utilise le même
identifiant sur un réseau social professionnel et sur le VPN de son entreprise,
une fuite de données externe peut rapidement devenir une porte d’entrée vers le
système d’information interne. Interdire toute réutilisation entre sphère
personnelle et environnement professionnel doit désormais devenir une règle de
sécurité fondamentale.
5 - Adapter la
fréquence de changement de mot de passe
Contrairement aux idées reçues, imposer un changement systématique de mot de passe tous les 90 jours n’est pas toujours une bonne pratique. Ces politiques conduisent souvent les utilisateurs à adopter des comportements risqués : incrémentations prévisibles (Motdepasse1, Motdepasse2…), stockage sur papier ou simplification excessive. Une approche plus efficace consiste à déclencher une réinitialisation uniquement lorsqu’un compte est identifié comme compromis ou exposé dans une fuite de données.
Cette logique fondée sur le risque réel permet d’améliorer à
la fois la sécurité et l’expérience utilisateur.
6 - Surveiller les
fuites de credentials en continu
Des bases de données
contenant des millions d’identifiants circulent quotidiennement sur le dark
web. Lorsqu’une adresse professionnelle apparaît dans une fuite, la rapidité de
réaction devient déterminante.
Les organisations les
plus matures sont capables de détecter immédiatement l’exposition d’un compte,
de révoquer les sessions actives et de sécuriser les accès en quelques minutes.
Cette capacité de surveillance continue n’est plus réservée aux grandes entreprises
: elle devient aujourd’hui un prérequis pour toute organisation.
7 - Accélérer la
transition vers le « passwordless »
La transformation la
plus stratégique consiste à réduire progressivement la dépendance au mot de
passe lui-même. Les approches dites passwordless biométrie, authentification
intégrée, clés physiques FIDO2 ou solutions comme Windows Hello permettent aux
utilisateurs de se connecter sans avoir à saisir de mot de passe.
Moins de secrets à
mémoriser signifie également moins de secrets à voler. Cette évolution offre un
double bénéfice : renforcer la sécurité tout en simplifiant l’expérience
utilisateur.
Laurent Galvani, Expert Cybersécurité GRC & Responsable Avant-Vente Cybersécurité chez TVH Consulting, ajoute : « À l'ère de l'IA, le mot de passe n'est plus seulement un rempart fragile : c'est devenu une cible industrielle. Continuer à l'utiliser comme hier, c'est accepter d'être en retard d'une attaque. Les organisations qui prendront de l'avance ne seront pas celles qui imposent des règles toujours plus strictes, mais celles qui réduisent intelligemment la place du mot de passe dans leur architecture de sécurité… jusqu'à le faire disparaître. La question n'est plus de savoir si votre mot de passe sera compromis, mais quand. Et face à cette certitude, la seule réponse responsable est d'anticiper. »