Entretien Avec Julia O’Toole – PDG Et Co-Fondatrice De MyCena Security Solutions
Dans une récente interview avec SafetyDetectives , Julia O'Toole, PDG de MyCena Security Solutions, a parlé de son parcours et de la motivation fondatrice de son approche innovante de la sécurité des mots de passe. La lutte personnelle d'O'Toole avec la gestion des mots de passe l'a amenée à développer une technologie révolutionnaire inspirée des anciennes pratiques de sécurité. MyCena propose des solutions SEAM, qui permettent aux entreprises de gérer des mots de passe cryptés tels que des clés, éliminant ainsi le besoin pour les employés de connaître les mots de passe. O'Toole a également abordé les tendances alarmantes en matière de cybersécurité, les impacts cachés des violations et la façon dont la philosophie « Zero Trust » s'aligne sur l'avenir de la sécurité des mots de passe. Elle a souligné l'importance de s'adapter aux défis du travail à distance grâce à des mesures de sécurité avancées comme celles proposées par MyCena.
Pouvez-vous parler de votre parcours et de ce qui vous a motivé à créer MyCena Security Solutions ?
Pendant des décennies, j'ai fait des cauchemars liés aux mots de passe et j'ai pu trouver un moyen de résoudre mon problème. Les solutions disponibles sur le marché, telles que les carnets de mots de passe ou les gestionnaires de mots de passe, étaient toutes dangereuses, car elles présentaient toutes des points de défaillance uniques. Si vous perdez votre livre ou votre mot de passe principal, vous aurez perdu toutes les clés de votre vie numérique. Après des années de recherche en mathématiques, en neurosciences et en technologie, c’est un voyage dans le temps qui a déclenché la solution.
J'errais parmi les ruines de l'ancienne ville grecque de Mycènes, vieille de 3 000 ans, lorsque j'ai observé comment les anciens Mycéniens avaient utilisé l'architecture de la ville pour protéger leurs biens. Après avoir construit des murs concentriques autour de la ville, il fallait franchir une première porte, appelée porte des Lions pour entrer dans la ville, puis une seconde pour accéder à la garnison, puis une troisième pour accéder au palais du roi. Là, j’ai eu une révélation : « Un mot de passe n’est qu’une clé. Personne ne coupe ses clés pour rentrer à la maison. On prend la bonne clé pour ouvrir la bonne porte. De la même manière, personne n’a besoin de connaître les mots de passe, il vous suffit d’utiliser le bon mot de passe pour chaque compte.
Inspirés par la sécurité de l'ancienne ville de Mycènes, nous avons conçu la méthode d'accès aux données stockées structurées et développé une technologie de pointe qui facilite la gestion des clés cryptées. Il permet aux entreprises de générer et de distribuer facilement et en temps réel des mots de passe cryptés hautement sécurisés pour chaque système aux employés, qui les utilisent ensuite comme des clés. Par conséquent, les employés ne connaissent jamais aucun mot de passe et pourtant peuvent ouvrir toutes les portes numériques.
Quels sont les principaux services proposés par MyCena ?
MyCena propose des solutions SEAM (Segmented Encrypted Access Management). Depuis une console et sans changement d'infrastructure, les entreprises peuvent gérer et distribuer des mots de passe cryptés pour chaque système aux utilisateurs, qui les utilisent comme des clés. Les entreprises peuvent également surveiller qui a accédé à quoi et quand en temps réel depuis la console.
Quelles sont les tendances les plus alarmantes que vous avez remarquées en matière de cybermenaces liées aux mots de passe ces dernières années ?
La tendance la plus alarmante est que les employés connaissent les mots de passe de l’entreprise. Il est responsable de 95 % des violations. Aujourd'hui, la plupart des organisations laissent leurs employés créer leurs propres mots de passe pour accéder à leurs systèmes et données. C’est comme laisser leurs employés apporter leurs propres clés pour accéder au bureau ou aux usines. Étant donné que les mots de passe peuvent être partagés, volés, vendus, réutilisés ou victimes d'ingénierie sociale, il s'agit d'un 10/10 dans le système de notation CVSS. Il suffit qu’un criminel se connecte en utilisant un mot de passe ou une identité compromise, et tous les investissements en matière de cybersécurité deviennent inutiles. Cela explique pourquoi des milliards de dollars sont dépensés en cybersécurité, alors que les entreprises continuent de subir des violations.
Une autre tendance très alarmante consiste à utiliser l'identité des personnes pour y accéder. Les identités sont uniques. Le visage, la voix et les empreintes digitales de chaque personne ne peuvent pas être modifiés. La biométrie n’est qu’une donnée, constituée d’une série de zéros et de uns. Cela signifie qu'une personne est volée, que les dommages sont irréversibles, que la personne est numériquement morte et que son identité peut indéfiniment être utilisée pour commettre une fraude à son insu. La biométrie n’est pas non plus une information secrète, car les voix et les visages peuvent être récupérés à partir de photos, de vidéos et d’enregistrements et, grâce à l’IA, facilement réutilisés pour créer des contrefaçons profondes.
Une autre tendance alarmante est la formation aux mots de passe. Quelle que soit votre formation, si vous créez et connaissez le mot de passe, les criminels peuvent vous le voler et l'utiliser pour vous connecter. Le 2FA étant si facile à voler, la combinaison de la formation de mots de passe et du 2FA constitue une protection très faible et crée un faux sentiment de sécurité. Pour éviter de tels risques, les employés ne doivent pas créer leur accès à l'entreprise ni les connaître.
Au-delà des coûts financiers immédiats, quels sont les impacts moins évidents d’une faille de sécurité liée aux mots de passe sur une entreprise ?
Une faille de sécurité liée au mot de passe est similaire au vol de la clé d’un site par une personne. Si le criminel trouve un accès privilégié lui permettant de commander et de contrôler une partie de l'ensemble du réseau, cela peut entraîner une interruption des activités, des ransomwares, une perte de données, un vol d'identité, un espionnage, des poursuites judiciaires, des recours collectifs, des coûts de réparation et de récupération, une perte de réputation et même la faillite.
Au-delà des coûts opérationnels, l’impact à long terme, parfois des années après la violation, peut se traduire par des poursuites contre les administrateurs et les dirigeants, pouvant entraîner de lourdes amendes et des peines de prison.
Une fois dans le réseau, les criminels peuvent également quitter les portes dérobées pour pouvoir revenir plus tard.
« Zero Trust » est un mot à la mode en matière de cybersécurité. Comment cette philosophie s’aligne-t-elle sur l’avenir de la sécurité des mots de passe ?
« Zero Trust » est un mot à la mode, mais la philosophie selon laquelle ne pas faire confiance aux gens parce que les gens font des erreurs est une bonne idée. C’est exactement ce que la gestion des accès segmentés et cryptés évite les erreurs. En veillant à ce que les gens ne connaissent pas les mots de passe de leur organisation, ils ne peuvent plus commettre d'erreurs. C'est l'avenir de la sécurité des mots de passe.
Avec l’essor du travail à distance, avez-vous remarqué un changement dans les cybermenaces liées aux mots de passe ? Si oui, comment les entreprises peuvent-elles s’adapter ?
Avec l’essor du travail à distance, la surface d’attaque des criminels s’est élargie et ils peuvent plus facilement cibler les personnes à leur domicile. Comme les gens utilisent souvent des mots de passe identiques ou similaires pour leurs comptes personnels et professionnels, un mot de passe hameçonné ou d'ingénierie sociale provenant de n'importe quel compte personnel ou professionnel peut être utilisé pour accéder au réseau de l'entreprise et vice versa.
Les entreprises peuvent s’adapter très rapidement en s’assurant que leurs employés ne créent ou ne connaissent jamais leurs mots de passe. Comme aucun changement d'infrastructure n'est nécessaire, les solutions MyCena SEAM (Segmented Encrypted Access Management) peuvent être mises en œuvre pour tous leurs accès (RDP, SSH, applications web, applications locales, IAM, PAM, SSO, systèmes existants…). Cela met fin aux attaques de phishing, de réutilisation, de partage, d’écriture, de navigateur dans le navigateur ou de MiTM, et stoppe 95 % des violations avant qu’elles ne se produisent.
Les entreprises peuvent également utiliser les fonctionnalités de restriction IP et de restriction d'appareils sur MyCena pour garantir que les employés ne peuvent accéder aux applications et aux données de leur entreprise qu'à partir de certains emplacements en utilisant uniquement des appareils autorisés et les empêcher d'enregistrer les mots de passe de l'entreprise dans leur navigateur.