Portail
Forum
Devolutions Force
Hub Business
Hub Personal
Devolutions Send
Devolutions Academy
RDM
Workspace
Launcher
Le Portrait sur la sécurité informatique chez les PME québécoises 2024-25 est maintenant disponible. Bien qu’il y ait beaucoup à explorer — des menaces internes à l’IA — l’une des révélations majeures est que 52% des PME n’ont pas encore adopté de solution de gestion des accès à privilèges (PAM) sécurisée, efficace et automatisée. C’est alarmant sachant que :
- 74% des violations de données commencent par un abus d’identifiants à privilèges
- 55% des organisations ne savent pas combien de comptes à privilèges elles possèdent ni où ils se trouvent
- Plus de 50% des comptes à privilèges n’expirent jamais ou ne sont pas désactivés
Nous avons récemment lancé une série en 4 parties pour mieux comprendre ce qui empêche certaines PME d’adopter (ou d’adopter pleinement) une solution PAM.
Dans la partie 1, nous avons pointé du doigt un classique du bureau — les tableurs — et partagé 10 raisons pour lesquelles, bien qu’ils soient excellents pour prévoir des budgets, ils sont catastrophiques pour le PAM.
Si vous l’avez manqué, jetez-y un coup d’œil ici.
Passons maintenant à la partie 2 de la série. Ici, nous braquons les projecteurs sur un outil de travail qui crée un dangereux faux sentiment de sécurité informatique dans de nombreuses PME : les gestionnaires de mots de passe.
Continuité des activités vs. sécurité
Selon le rapport Devolutions State of IT Security in SMBs in 2024-25, 30% des cadres dirigeants de PME n’ont pas adopté de solution PAM car ils utilisent un gestionnaire de mots de passe avec coffres et pensent que cela est suffisant.
Ce point de vue est compréhensible, car les gestionnaires de mots de passe sont parfois mentionnés dans des articles, vidéos et discussions sur le PAM. De plus, certains fournisseurs de gestionnaires de mots de passe présentent leurs produits comme des « solutions PAM » ou « permettant le PAM ». Ces affirmations ne sont pas seulement du marketing : c’est de la publicité mensongère!
Voici la réalité : les gestionnaires de mots de passe sont essentiellement des outils de continuité des activités, et non des outils de sécurité. Ils permettent aux utilisateurs de partager des coffres contenant divers types de données sensibles comme des identifiants, des numéros de carte de crédit, des informations de connexion à distance, etc.
Cette fonctionnalité est pratique et efficace. Par exemple, lorsqu’un utilisateur qui a créé et utilisé plusieurs mots de passe quitte l’organisation, sans coffres, ses anciens collègues devraient chercher dans des tableurs ou carnets pour (espérons-le) trouver ces mots de passe. Avec des coffres, ils n’ont qu’à se connecter et récupérer ce qu’ils veulent.
Il est clair que les gestionnaires de mots de passe sont utiles pour la continuité des activités et la facilité administrative. Mais ces avantages n’ont rien à voir avec la cybersécurité réelle, car la vérité surprenante est que les gestionnaires de mots de passe sont intrinsèquement peu sûrs!
Un employé qui part peut tout simplement copier-coller les mots de passe dans un autre fichier. Oui, une organisation pourrait changer tous les mots de passe à chaque départ, mais cela est fastidieux et long. Et la réinitialisation automatique après chaque utilisation ? Cela peut fonctionner pour les comptes internes, mais pas pour les applications tierces ou mots de passe de sites web.
Les gestionnaires de mots de passe peuvent sensibiliser — mais pas sécuriser
Pour compliquer encore les choses, les gestionnaires de mots de passe proposent souvent des fonctionnalités liées à la sécurité des mots de passe, telles que :
- Vérification par rapport à une liste de mots de passe compromis connus
- Générateur de mots de passe robustes
- Application de règles minimales pour les mots de passe
- Journalisation
Ces fonctionnalités sont utiles. Cependant, en les analysant de près, on constate qu’elles ne rendent pas réellement les organisations plus sécurisées!
Au mieux, elles permettent d’identifier des problèmes et vulnérabilités. Elles sont réactives plutôt que proactives. Elles indiquent où la sécurité doit COMMENCER, pas où elle doit SE TERMINER.
Ceci est particulièrement vrai pour les utilisateurs techniques comme les administrateurs système et le support technique, qui travaillent dans des zones à haut risque. Pour eux, utiliser un gestionnaire de mots de passe pour le PAM n’est pas seulement insuffisant : c’est extrêmement risqué.
Ne vous débarrassez pas de votre gestionnaire — ajoutez simplement un PAM
Nous ne conseillons pas aux PME de se débarrasser de leur gestionnaire de mots de passe préféré. Comme mentionné, ces outils sont pratiques pour la continuité des activités et pour sensibiliser aux vulnérabilités. De plus, les générateurs de mots de passe robustes peuvent encourager de bonnes pratiques chez les utilisateurs finaux (qui resteront toujours le maillon faible de la sécurité informatique). Tout cela est positif.
Cependant, nous incitons les PME à compléter leur gestionnaire de mots de passe par un véritable produit PAM. Une telle solution offre des fonctionnalités intégrées comme :
- Découverte des comptes à privilèges
- Contrôle d’accès basé sur les rôles (RBAC)
- Injection sécurisée des identifiants
- Approbation des demandes d’extraction
- Rotation automatique et programmée des mots de passe
- Élévation de privilèges juste-à-temps
- Propagation des changements de mots de passe
- Enregistrement des sessions
- Rapports et audits administratifs
- Politiques d’approbation intégrées
Avec une véritable solution PAM — et pas seulement un outil de continuité rebaptisé gestionnaire — les PME obtiennent un contrôle total et une visibilité complète sur leurs comptes les plus sensibles (les « clés du royaume »).
Étant donné les risques croissants et les coûts potentiels d’une violation de données — estimés en moyenne à 4,88 millions USD par incident — le PAM ne doit pas être perçu comme inutile simplement parce qu’un gestionnaire est en place. Au contraire, il doit être vu comme une exigence fondamentale et un investissement stratégique dans la réussite présente et future de l’entreprise.
« Un PAM pour tous! »
Les dirigeants qui réalisent maintenant qu’ils n’ont pas réellement de PAM (malgré les promesses de certains fournisseurs) ne doivent pas s’inquiéter. La voie à suivre est claire : découvrez Devolutions PAM.
Devolutions PAM est une plateforme de sécurité essentielle conçue pour contrôler, surveiller et sécuriser l’accès à privilèges des utilisateurs, comptes, processus et systèmes dans toute l’organisation. Elle s’intègre facilement aux systèmes d’entreprise, prend en charge un large éventail de protocoles de sécurité et respecte les normes de gouvernance. Et surtout, elle est abordable et spécialement conçue pour les PME. Aucun surcoût important, et nos experts vous accompagnent sans frais supplémentaires pour garantir une mise en œuvre rapide et sans problème.
Chez Devolutions, nous croyons que, pour l’accès à privilèges, les PME ont besoin de la même sécurité robuste et de la même visibilité que les grandes entreprises — sans lourde complexité, courbes d’apprentissage abruptes, ni budgets de sécurité explosifs. C’est ce que nous appelons « un PAM pour tous! ».
Champion PAM
Nous sommes également heureux d’annoncer que Devolutions a récemment été nommée Champion 2025 dans le rapport PAM Emotional Footprint du Info-Tech Research Group. Ce rapport mesure l’expérience utilisateur en termes de valeur perçue du produit et de solidité de la relation avec le fournisseur. Devolutions a obtenu un score parfait de +100 et fait partie des rares fournisseurs à recevoir 100% de retours positifs, sans aucun avis négatif.
En savoir plus et prochaines étapes
Pour en savoir plus, contactez-nous à sales@devolutions.net.
Nous vous invitons également à découvrir notre tout nouveau Starter Pack, qui inclut Devolutions PAM (et plus) pour jusqu’à cinq utilisateurs. Cliquez ici pour en savoir plus et commencer un essai gratuit.
La partie 3 arrive bientôt
Dans le prochain épisode de cette série, nous aborderons un autre obstacle qui, selon le rapport, empêche certaines PME d’adopter un PAM complet : la croyance que l’authentification multifacteur (MFA) assure une sécurité solide dans toute l’organisation et sert de « filet de sécurité » face aux mauvaises pratiques de mots de passe.
Nous expliquerons pourquoi cette vision est erronée et partagerons ce que les PME peuvent faire pour améliorer l’hygiène des mots de passe, renforcer l’application des politiques et réduire significativement les risques de sécurité informatique.
