Points clés
- Certains comportements à risque persistent durablement même dans les organisations avec des programmes de formation matures : le partage de mots de passe, le shadow IT, le contournement du MFA, et l'utilisation d'équipements personnels pour des usages professionnels.
- LastPass (2022) a subi une compromission majeure facilitée par un ingénieur senior qui avait installé sur son ordinateur personnel (utilisé pour accéder aux systèmes de l'entreprise) un logiciel de médias infecté, contournant les politiques de sécurité sur les équipements personnels.
- La fatigue MFA — accepter une notification d'authentification multifacteur non sollicitée sous pression — est devenue l'un des vecteurs d'attaque les plus documentés contre les organisations avec des programmes de formation actifs (Uber 2022, Cisco 2022).
- Les comportements persistants révèlent souvent un conflit entre les exigences de sécurité et les contraintes opérationnelles réelles — un signal qui nécessite une réponse organisationnelle, pas seulement de la formation.
Même les organisations avec des programmes de formation bien établis continuent de documenter des comportements à risque persistants dans leurs équipes. Cette persistance n'est pas principalement due à un manque de connaissance — les collaborateurs qui partagent des mots de passe savent généralement que c'est contraire aux politiques de sécurité. Elle est due à des facteurs plus profonds : les contraintes opérationnelles qui rendent les comportements sécurisés plus difficiles, les habitudes ancrées, la tolérance informelle de certains comportements, et la perception que les règles de sécurité sont un obstacle à la productivité.
Comprendre pourquoi ces comportements persistent malgré la formation est indispensable pour concevoir des réponses efficaces — qui combinent généralement ajustements des contrôles techniques, révision des procédures et renforcement de la formation.
Le partage de mots de passe et la réutilisation des identifiants
Le partage de mots de passe entre collègues persiste pour des raisons pratiques : accès à un compte partagé, remplacement d'urgence d'un collègue absent, simplification d'une procédure d'accès jugée trop complexe. Malgré la formation sur les risques, la pression opérationnelle prime. La solution n'est pas uniquement la formation — c'est la conception de systèmes d'accès qui rendent le partage inutile (comptes individuels pour tous, gestion des accès temporaires) et la mise en place de gestionnaires de mots de passe qui réduisent la charge cognitive de la gestion des identifiants.
La réutilisation des mots de passe sur plusieurs systèmes — professionnel et personnel — expose l'organisation à des risques de credential stuffing. Des identifiants volés lors d'une violation de données sur un service personnel peuvent être testés automatiquement sur les systèmes professionnels. Les études Verizon DBIR montrent que les identifiants compromis restent le principal vecteur d'attaque sur les systèmes d'information. Le déploiement d'une authentification multifacteur sur tous les accès sensibles est le contrôle technique le plus efficace pour neutraliser ce risque.
Cisco a subi en 2022 une compromission facilitée par la compromission d'un compte Google personnel d'un employé de Cisco. Les identifiants Google de l'employé, synchronisés avec son navigateur, incluaient les identifiants d'accès VPN de Cisco. L'attaquant a utilisé ces identifiants pour se connecter au VPN de Cisco, puis a initié une attaque de fatigue MFA jusqu'à ce que l'employé accepte une notification.
Le shadow IT et le contournement des procédures
Le shadow IT — l'utilisation d'outils et de services non approuvés par la DSI pour des usages professionnels — persiste parce qu'il répond à des besoins réels non couverts par les outils officiels. Un service cloud de partage de fichiers non approuvé mais pratique, un outil de communication non sécurisé utilisé pour éviter la lenteur des outils officiels, une application mobile personnelle utilisée pour accéder aux emails professionnels : ces comportements surviennent dans toutes les organisations et exposent des données sensibles hors du périmètre de sécurité contrôlé.
La réponse au shadow IT passe par l'identification de ses causes (quels besoins réels ces outils couvrent-ils que les outils officiels ne couvrent pas ?), la mise à disposition d'alternatives sécurisées qui répondent aux mêmes besoins avec moins de friction, et la clarification des conséquences réglementaires et contractuelles du shadow IT (notamment pour les données personnelles soumises au RGPD). La formation sur les risques du shadow IT est nécessaire mais insuffisante sans ces composantes.
Samsung a dû mettre en place une interdiction des outils d'IA générative non approuvés en 2023, après que des ingénieurs ont partagé du code source confidentiel avec ChatGPT pour obtenir de l'aide au débogage. Cet incident illustre que de nouveaux outils grand public créent en permanence de nouvelles formes de shadow IT que les programmes de formation existants n'anticipent pas.
La fatigue MFA et les contournements d'authentification
La fatigue MFA est un vecteur d'attaque documenté depuis 2021 qui exploite les systèmes d'authentification multifacteur basés sur les notifications push. L'attaquant envoie un grand nombre de notifications MFA au téléphone de la victime, jusqu'à ce que celle-ci, submergée ou impatiente, accepte l'une d'elles pensant qu'il s'agit d'une notification légitime qu'elle aurait manquée. Uber (2022), Cisco (2022) et Microsoft ont tous documenté des incidents utilisant cette technique.
La réponse à la fatigue MFA passe par des ajustements techniques : remplacement des notifications push par des applications d'authentification avec saisie de code (TOTP), déploiement de clés de sécurité physiques (FIDO2/passkeys), activation des limites de nombre de tentatives MFA. La formation doit accompagner ces changements en expliquant les raisons des nouvelles procédures — sans comprendre pourquoi le système MFA change, les collaborateurs peuvent percevoir les nouvelles frictions comme arbitraires et chercher à les contourner.
LastPass a subi en 2022 deux incidents distincts, le second étant une conséquence du premier. Le second incident a été facilité par la compromission de l'ordinateur personnel d'un ingénieur senior de l'équipe DevOps. L'ingénieur utilisait son ordinateur personnel pour accéder aux systèmes de production de LastPass. Il avait installé sur cet ordinateur Plex Media Server, un logiciel de gestion de médias qui présentait une vulnérabilité non patchée. L'attaquant a exploité cette vulnérabilité pour installer un keylogger et récupérer les identifiants LastPass de l'ingénieur. Cet incident illustre comment un comportement persistant — utilisation d'un équipement personnel non sécurisé pour accéder aux systèmes professionnels — peut neutraliser des mois d'investissement en sécurité.
La compromission de Twitter en juillet 2020 a démarré par un social engineering téléphonique ciblant des employés du support. Mais l'investigation a révélé que plusieurs employés ciblés avaient contourné les procédures d'accès standard pour aider un faux manager interne demandant un accès urgent. Ce comportement — accorder un accès par téléphone en dehors des procédures — persistait comme une pratique informelle dans l'équipe support, malgré des politiques de sécurité documentées. Des collaborateurs ont ainsi volontairement fourni des informations d'accès sans vérification, estimant aider un collègue dans une situation urgente. L'enquête a révélé que cette pratique informelle était connue et tolérée dans l'équipe.
Des chercheurs en sécurité de RedLock (aujourd'hui Palo Alto Networks) ont découvert en 2018 que des ressources cloud Kubernetes de Tesla étaient accessibles sans authentification et avaient été utilisées par des attaquants pour du cryptomining. L'investigation a révélé que des configurations d'accès avaient été laissées ouvertes par des développeurs qui contournaient les procédures d'accès standard pour faciliter leur travail. Ce comportement persistant — simplifier l'accès en supprimant l'authentification pour les environnements de développement — est l'un des comportements à risque les plus fréquents dans les équipes de développement, malgré les formations sur la sécurité des configurations cloud.