I. Contexte et définition du risque
La sécurité des mots de passe concerne la protection des informations d’authentification que les utilisateurs emploient pour accéder à des comptes, systèmes ou services.
Un mot de passe faible ou réutilisé facilite l’accès non autorisé aux comptes par des attaquants via des attaques automatisées (brute force, credential stuffing, etc.).
Les attaques exploitent souvent des bases de données de mots de passe déjà compromis pour essayer de les réutiliser sur d’autres services.
70 % des violations de données sont liées à des mots de passe faibles ou facilement devinables.
Une base de données non protégée contenant plus de 2,7 milliards d’identifiants Wi-Fi et mots de passe a été découverte exposée en clair, représentant un risque grave d’accès non autorisé à des réseaux.
Une étude rapporte qu’un grand nombre d’attaques automatisées exploitent des mots de passe communs, testant des combinaisons jusqu’à trouver une correspondance valide.
Exemples concrets
Vol de compte personnel : Si tu utilises le même mot de passe sur plusieurs sites, une violation d’un site peut permettre aux attaquants d’accéder à ton compte e-mail, banque ou réseaux sociaux.
Credential stuffing : Un pirate récupère des mots de passe compromis et les teste automatiquement sur des milliers de services pour essayer de pénétrer d’autres comptes.
Attaque brute force : Des bots automatisés tentent des millions de combinaisons de mots de passe sur un service jusqu’à ce qu’ils trouvent la bonne.
II. La sécurité des mots de passe : qu’est-ce que c’est ?
La sécurité des mots de passe repose sur plusieurs fondations techniques essentielles :
Stockage sécurisé (hashage et chiffrement)
Authentification multifacteur (MFA)
Authentification unique (SSO)
Gestion des annuaires et des identités
Le stockage sécurisé des mots de passe
Un mot de passe ne doit jamais être stocké en clair.
Un système sécurisé ne stocke jamais le mot de passe, mais une empreinte cryptographique (hash) dérivée du mot de passe, conçue pour être :
Non réversible
Résistante aux attaques par force brute
Unique par utilisateur
Un mécanisme de stockage sécurisé doit résister à :
Fuite de base de données
Attaques par dictionnaire
Attaques par force brute
Compromission partielle du système
Authentification multifacteur (MFA)
Combiner au moins deux facteurs parmi :
Ce que l’on sait (mot de passe, PIN).
Ce que l’on possède (smartphone, token matériel).
Ce que l’on est (empreinte digitale, reconnaissance faciale).
Avantage : Même si un mot de passe est compromis, l’accès reste bloqué sans le second facteur.
Exemples : Applications comme Microsoft Authenticator, l’envoi d’un mail contenant un code unique, etc.
Authentification unique (SSO)
Un seul identifiant/mot de passe pour accéder à plusieurs services.
Technologies :
Protocoles SAML, OAuth 2.0, OpenID Connect.
Intégration avec des solutions comme Microsoft Entra ID ou Keycloak.
Avantage : Cela améliore l’expérience utilisateur et réduit le nombre de mots de passe à gérer.
Risque : Si le compte SSO est compromis, tous les services liés à celui-ci le sont aussi → nécessite une MFA obligatoire.
Gestion des identités et des annuaires
La gestion des identités et des annuaires consiste à savoir qui est qui, quels droits chacun possède, et où ces informations sont stockées et consultées.
Active Directory (AD) :
Standard Microsoft pour gérer utilisateurs, groupes, politiques de sécurité.
Intégration avec Kerberos pour l’authentification.
OpenLDAP :
Alternative open source, basée sur le protocole LDAP.
Utilisé pour centraliser la gestion des identités dans des environnements hétérogènes.
Fonctions clés :
Gestion des droits d’accès.
Politiques de complexité et de rotation des mots de passe.
Un annuaire est une base de données spécialisée, optimisée pour :
Les lectures fréquentes
La recherche rapide
La gestion hiérarchique
Il centralise les informations d’identité.
L’annuaire est comme une source de vérité des identités.
Il permet :
L’authentification centralisée
La gestion des groupes
Le contrôle des accès
L’application de politiques de sécurité
Exemples d’annuaires
Active Directory (AD)
LDAP
Entra ID
OpenLDAP
Contenu typique d’un annuaire
Utilisateurs
Groupes
Ordinateurs
Rôles
Politiques de sécurité
Impacts possibles sur les entreprises
Compromission de comptes utilisateurs
Un mot de passe faible ou réutilisé est deviné ou volé.
Conséquence : accès non autorisé aux systèmes internes, fuite de données sensibles.
Attaque par phishing
Les employés sont trompés et révèlent leurs identifiants.
Conséquence : prise de contrôle de boîtes mail, propagation de malwares, usurpation d’identité.
Absence ou contournement du MFA
Un attaquant obtient un mot de passe valide et accède directement aux ressources.
Conséquence : compromission totale du compte SSO, accès à plusieurs applications critiques.
Mauvaise gestion des annuaires (AD/OpenLDAP)
Comptes orphelins non désactivés, droits excessifs non contrôlés.
Conséquence : escalade de privilèges, exploitation interne ou externe.
Fuite de base de données de mots de passe
Hashage faible
Conséquence : crack rapide des mots de passe, compromission massive.
La sécurité de l’IoT en entreprise
La sécurité de l’IoT (Internet of Things) en entreprise concerne la protection des objets connectés intégrés au système d’information (SI). Ces équipements (capteurs, caméras IP, automates industriels, badges connectés, équipements réseau intelligents) sont de plus en plus utilisés pour optimiser les processus métiers.
Cependant, l’intégration de l’IoT augmente la surface d’attaque du SI. Un objet connecté mal sécurisé peut devenir un point d’entrée pour un attaquant et compromettre la disponibilité, l’intégrité ou la confidentialité des données de l’entreprise.
I. Rôle de l’IoT dans le système d’information de l’entreprise
Dans un contexte professionnel, l’IoT permet :
Collecter des données en temps réel
Automatiser des processus métiers
Améliorer la supervision et la maintenance
Optimiser les coûts et la performance
Exemples d’usages en entreprise :
Industrie : automates, capteurs de production, maintenance prédictive.
Logistique : traçabilité des stocks et des marchandises.
Bureautique : contrôle d’accès, vidéosurveillance, gestion énergétique.
Santé : dispositifs médicaux connectés.
Ces équipements sont généralement reliés au réseau local ou au cloud, ce qui les intègre pleinement au SI.
II. Fondation technique du sujet
La sécurité de l’IoT repose sur des fondations techniques telles que la gestion des identités, la sécurisation des mots de passe, le chiffrement des communications, la segmentation réseau et la supervision. Ces éléments constituent le socle indispensable à la protection des objets connectés en entreprise.
Impacts possibles liés à l’IoT
Les objets connectés présentent souvent des failles de sécurité :
Mots de passe par défaut ou faibles
Protocoles de communication non chiffrés
Absence ou retard de mises à jour
Manque de supervision par les équipes IT
Segmentation réseau insuffisante
Une compromission d’un objet IoT peut permettre :
Une intrusion dans le réseau interne
Un mouvement latéral vers des serveurs ou postes utilisateurs
L’exfiltration de données sensibles
La perturbation de services critiques
Exemples concrets d’incidents IoT en entreprise
Botnets et attaques DDoS
Des équipements IoT professionnels (caméras IP, routeurs, enregistreurs vidéo) mal sécurisés peuvent être intégrés à des botnets. Ces botnets servent à lancer des attaques DDoS à grande échelle, impactant la disponibilité de services en ligne.
Caméras IP d’entreprise compromises
Des entreprises ont subi des intrusions via des caméras IP accessibles depuis Internet avec des identifiants par défaut. Les attaquants pouvaient surveiller les locaux et collecter des informations sensibles.
Environnements industriels
Dans le secteur industriel, une attaque sur des automates ou capteurs connectés peut entraîner un arrêt de production, une altération des données de supervision ou un risque pour la sécurité des employés.
III. Impacts possibles sur les entreprises
Les conséquences d’une attaque IoT peuvent être multiples :
Indisponibilité des services (arrêt de production, panne réseau)
Pertes financières directes et indirectes
Atteinte à la confidentialité des données (clients, employés)
Atteinte à l’image de marque
Non-conformité réglementaire (RGPD, obligations de sécurité)
Pour une PME comme pour une grande entreprise, ces impacts peuvent être critiques.
Bonnes pratiques de sécurisation de l’IoT
Dans une logique d’administration et de sécurisation du SI, il est recommandé :
• Inventorier les équipements IoT connectés au réseau
• Changer systématiquement les identifiants par défaut
• Mettre en place un chiffrement des communications lorsque c’est possible
• Segmenter le réseau (VLAN dédiés à l’IoT)
• Limiter les accès via des règles de pare-feu
• Surveiller les logs et le trafic réseau
• Appliquer une politique de mises à jour
• Sensibiliser les utilisateurs et les équipes techniques
IV. Les politiques mises en œuvre dans les entreprises pour réduire le risque
Afin de limiter les risques liés aux objets connectés, les entreprises mettent en place des politiques de sécurité adaptées à leur système d’information.
Sur le plan technique, plusieurs mesures sont appliquées :
Limitation des droits d’accès aux équipements IoT
Segmentation du réseau avec des réseaux dédiés aux objets connectés
Mise à jour régulière des équipements et des firmwares
Chiffrement des communications lorsque cela est possible
Sur le plan organisationnel, les entreprises mettent en place :
Un inventaire des équipements IoT connectés au réseau
Des procédures d’installation et de retrait des équipements
Un plan de gestion des incidents de sécurité
Le respect des obligations réglementaires, notamment le RGPD
Ces politiques permettent de réduire la surface d’attaque et de mieux maîtriser les risques liés à l’IoT.
V. Le facteur humain dans le risque IoT
Le facteur humain représente un élément important dans la sécurité des objets connectés. Une erreur de manipulation ou une mauvaise configuration peut créer une faille de sécurité.
Les principaux risques liés au facteur humain sont :
Utilisation de mots de passe faibles ou partagés
Mauvaise configuration des équipements IoT
Absence ou retard dans les mises à jour
Connexion d’équipements non autorisés au réseau
Manque de vigilance face aux attaques informatiques
Pour limiter ces risques, les entreprises mettent en œuvre :
Des actions de sensibilisation à la cybersécurité
Des formations pour les utilisateurs et les équipes techniques
Des règles d’utilisation claires concernant les équipements connectés
VII. Tests, contrôles et audits de sécurité
Les tests et contrôles de sécurité permettent de vérifier l’efficacité des mesures mises en place et d’identifier les failles potentielles.
Les tests d’intrusion (pentests) permettent :
D’identifier les vulnérabilités des équipements IoT
De vérifier la résistance du réseau face à une attaque
D’évaluer l’efficacité des mesures de sécurité existantes
Les audits de sécurité ont pour objectifs :
De vérifier l’application des politiques de sécurité
D’évaluer la conformité aux normes et réglementations
D’identifier les axes d’amélioration
La surveillance du système d’information repose sur :
L’analyse du trafic réseau
La consultation des journaux (logs)
La détection d’activités anormales