Les cinq raccourcis cyber qui coûtent cher à l’entreprise

Vous utilisez le même mot de passe pour votre banque, votre messagerie et cette application de livraison téléchargée il y a deux ans. Ce geste paraît anodin; il ne l’est pas. Selon une analyse de Cybernews portant sur 19 milliards de mots de passe exposés, 94% des identifiants compromis l’étaient déjà par réutilisation. Seuls 6% étaient véritablement uniques. Tous les autres suivaient des schémas prévisibles et pouvaient être cassés en moins d’une seconde.

Ce réflexe n’est que l’un des cinq raccourcis de cybersécurité que les salariés prennent chaque jour sans y penser. Pris isolément, chacun semble faire gagner un peu de temps. Ensemble, ils expliquent pourquoi une compromission liée au phishing coûte en moyenne de l’ordre de 1,12 million d’euros si l’on convertit le chiffre de 1,29 million de dollars. En France, où la culture de la sécurité d’entreprise se renforce sous l’effet de la réglementation et des recommandations de l’ANSSI, cette contradiction devient difficile à ignorer.

La commodité reste l’alliée la plus discrète du risque

L’ANSSI rappelle dans son guide qu’il faut utiliser des mots de passe différents selon les services et privilégier l’authentification multifacteur lorsqu’elle est disponible. La recommandation paraît élémentaire. Pourtant, c’est précisément ce type de règle simple qui se heurte le plus souvent aux usages réels.

Force est de constater que la cybersécurité se joue rarement dans des scénarios extraordinaires. Elle se décide dans l’ordinaire: un mot de passe recyclé, un clic un peu trop rapide, un accès partagé pour aller plus vite. L’infrastructure la plus solide ne résiste pas longtemps à des habitudes tolérées.

Réutiliser un mot de passe, c’est étendre la portée d’une faille

L’utilisateur moyen gère environ 191 comptes en ligne. Mémoriser un mot de passe distinct pour chacun paraît vite irréaliste. La recherche de Bitwarden, citée par CinchOps, indique que 85% des utilisateurs réemploient leurs mots de passe d’un site à l’autre. Plus de la moitié y ajoutent des éléments faciles à deviner, comme une date de naissance ou le nom d’un animal.

Le risque devient systémique dès qu’une seule brèche survient. L’exemple de Dropbox reste éclairant: 60 millions d’identifiants ont été dérobés parce qu’un employé avait réutilisé son mot de passe professionnel. Les attaquants n’ont pas nécessairement besoin de pénétrer votre entreprise par la grande porte. Il leur suffit souvent de retrouver un mot de passe déjà exposé ailleurs. Et si vous pensez encore qu’un gestionnaire de mots de passe suffit à lui seul, il faut désormais compter avec le détournement de session.

En matière de phishing, 21 secondes suffisent

Le phishing prospère moins par génie technique que par exploitation du réflexe. D’après des travaux de Proofpoint cités par Bright Defense, le délai médian entre la réception d’un courriel frauduleux et le clic sur le lien est de 21 secondes. C’est peu, mais c’est largement assez pour qu’une impulsion prenne le dessus sur la vérification.

L’étude de benchmark 2025 de KnowBe4, menée sur 14,5 millions d’utilisateurs au sein de 62.400 organisations, évalue à 33,1% la part des salariés vulnérables au phishing et à l’ingénierie sociale. Dans la santé, ce taux atteint 41,9%. Il s’avère en outre que 82,6% des courriels de phishing intègrent désormais des contenus générés par IA, ce qui renforce leur crédibilité. La formation continue permet bien de réduire cette vulnérabilité de 86% en un an; néanmoins, trop d’entreprises la traitent encore comme une formalité annuelle.

Reporter la MFA revient à laisser la porte entrouverte

L’authentification multifacteur bloque 99% des compromissions de compte liées au phishing. Pourtant, 76% des organisations touchées par une fraude au courriel professionnel n’avaient pas déployé de MFA résistante au phishing. La logique du report est connue: la MFA agace, ralentit, sera activée plus tard. C’est précisément ce “plus tard” que recherchent les attaquants.

Par ailleurs, une MFA basique ne constitue plus toujours une protection suffisante. Les attaques de type adversary-in-the-middle, qui dérobent des cookies de session, ont progressé de 146% en 2024. Voilà pourquoi les attaques dopées à l’IA dépassent déjà votre équipe de sécurité en moins de 30 minutes. À ce stade, les clés matérielles conformes à FIDO2 demeurent la défense la plus robuste.

Le BYOD transforme l’équipement personnel en angle mort

L’essor du travail hybride a fait de chaque ordinateur portable, téléphone et tablette un point d’entrée potentiel. Or l’ANSSI souligne, dans son document sur le modèle Zero Trust, que les équipements personnels de type BYOD doivent, par défaut, être considérés comme faiblement fiables. Autrement dit, l’appareil privé ne peut plus être regardé comme un simple outil neutre.

Ce constat rejoint l’expérience de terrain. Parmi les professionnels de la cybersécurité, 28% considèrent que l’usage de mots de passe faibles sur des appareils personnels constitue la pire habitude de sécurité en contexte de travail à distance. Ces terminaux disposent rarement de détection avancée, de chiffrement homogène ou d’une politique de mise à jour rigoureuse. Ils empruntent les réseaux Wi-Fi publics, mêlent les usages privés et professionnels et ouvrent des accès latéraux que l’organisation maîtrise mal.

Partager un identifiant ruine la logique même du contrôle d’accès

“Envoyez-moi simplement le login” est sans doute l’une des phrases les plus coûteuses de la vie de bureau. Jusqu’à 30% des violations de données en entreprise résultent du partage de mots de passe, de leur réutilisation ou du phishing. Dès qu’un identifiant circule dans un courriel, un chat ou sur un post-it, il échappe au système de contrôle que l’organisation a patiemment construit.

La correction est pourtant d’une grande simplicité conceptuelle: gestion des accès par rôle, authentification unique et permissions temporaires rendent le partage de mots de passe largement inutile. Le coût global d’une violation de données atteint aujourd’hui environ 3,86 millions d’euros si l’on convertit la moyenne de 4,44 millions de dollars. Les entreprises qui pratiquent des simulations mensuelles de phishing, imposent une MFA matérielle et déploient l’authentification par passkeys font chuter la vulnérabilité de 33% à 4,1% en douze mois, selon KnowBe4. La vraie question n’est donc pas de savoir si vos équipes prennent ces raccourcis. Elles les prennent. Il s’agit de savoir combien de temps encore votre système acceptera de les subventionner par habitude.