Un employé colle un mot de passe dans une fenêtre de chat sur son ordinateur portable, illustrant la persistance du partage d'identifiants malgré la formation
cybersecurity identity

73 % des employés partagent leurs mots de passe sur Slack. La formation n'y changera rien.

Q
By Quentin F.
· · Updated · 11 min read

Les gestionnaires de mots de passe existent, le MFA est gratuit, la formation a été faite — et pourtant, les identifiants continuent d'atterrir dans Slack. Voici la correction comportementale qui fait vraiment bouger les chiffres.

Vos équipes savent que les mots de passe comptent. Elles ont fait la formation. Elles passent le quiz. Et pourtant elles collent encore leurs identifiants dans Slack — et c’est précisément là que commence la brèche.

Les gestionnaires de mots de passe existent. Le MFA est gratuit. La formation annuelle a été suivie.

Et pourtant, les chiffres ne bougent pas.

73 % des employés ont partagé des identifiants dans le chat au cours des 12 derniers mois. 65 % réutilisent leurs mots de passe d’un service à l’autre. 44 % approuvent des invites MFA qu’ils n’ont pas déclenchées. Les outils et les connaissances sont là. Le comportement, non — un schéma que nous explorons dans pourquoi la formation seule ne change pas le comportement de sécurité.

L’histoire du mot de passe « ultra sûr » qui n’a servi à rien

Voici Jennifer. Elle est responsable administrative dans un cabinet dentaire. Jennifer était fière de son mot de passe : MyDog$Name1sF1uffy!2024

Elle avait suivi la formation annuelle à la sécurité. Elle connaissait la complexité, l’unicité des mots de passe et le MFA. Elle avait obtenu 96 % au quiz.

Deux semaines plus tard, un collègue lui a demandé un accès au système de prise de rendez-vous. « Envoie-moi simplement ton identifiant, je fais vite. » Jennifer a tapé ses identifiants dans un message Teams.

En quelques heures, ce message a été récupéré par un malware présent sur la machine du collègue. Des criminels ont volé des dossiers patients, des plannings de rendez-vous et des informations de carte bancaire. Le cabinet a fermé pendant une semaine et a perdu 40 000 $.

Le mot de passe de Jennifer était fort. Ses scores en formation étaient excellents. C’est son comportement qui était la vulnérabilité.

L’écart comportemental dans la sécurité des identifiants

Demandez à n’importe quel employé de votre organisation :

  • « Faut-il partager ses mots de passe ? » Non.
  • « Faut-il utiliser des mots de passe uniques pour chaque service ? » Oui.
  • « Faut-il activer le MFA ? » Oui.
  • « Faut-il utiliser un gestionnaire de mots de passe ? » Oui.

Auditez maintenant ce qui se passe réellement :

  • 73 % des employés ont partagé des identifiants avec un collègue au cours des 12 derniers mois
  • 65 % réutilisent leurs mots de passe sur plusieurs services professionnels
  • 44 % ont approuvé une invite MFA qu’ils n’avaient pas déclenchée (fatigue MFA)
  • Seules 31 % des organisations ont un taux d’adoption complet du gestionnaire de mots de passe

Le savoir est là. Le comportement, non. Et c’est dans cet écart que vivent les attaquants — le même écart entre savoir et comportement qui se trouve au cœur de chaque brèche moderne.

Pourquoi l’écart persiste

La commodité gagne toujours sur l’instant. Quand un collègue a besoin d’un accès immédiat, coller des identifiants dans le chat est le chemin de moindre résistance. La « bonne » manière — soumettre une demande d’accès, attendre l’approbation — prend du temps. Le temps perd.

La fatigue MFA est bien réelle. Les employés reçoivent des invites toute la journée et finissent par les approuver par réflexe. Les attaquants exploitent cela en déclenchant un flot de demandes MFA jusqu’à ce que l’utilisateur épuisé clique sur « approuver » pour faire cesser la sollicitation.

Le gestionnaire de mots de passe exige un changement de comportement. Installer l’outil prend 10 minutes. L’utiliser à chaque connexion, abandonner l’habitude de taper des mots de passe mémorisés, résister à la tentation d’enregistrer ses mots de passe dans le navigateur — cela demande un renforcement constant.

Les normes sociales l’emportent sur la connaissance individuelle. Quand tout le monde dans une équipe partage des identifiants de manière décontractée, la norme dit que c’est acceptable. La formation d’une seule personne ne peut pas contrer une culture d’équipe.

Ce que la formation rate

Votre formation annuelle couvre probablement pourquoi les mots de passe forts comptent, comment utiliser un gestionnaire de mots de passe, pourquoi le MFA est important et pourquoi il ne faut jamais partager ses identifiants. Les scores de quiz sont excellents. Rien ne change.

La courbe de l’oubli détruit la rétention. En une semaine, 90 % des consignes spécifiques se sont estompées.

La formation enseigne du savoir, pas des habitudes. Les habitudes se construisent par répétition en contexte, pas par un seul module LMS.

La formation n’agit pas sur l’environnement social. Le nudge doit atteindre l’équipe, pas seulement l’individu.

La formation a lieu dans le mauvais contexte. Les gens apprennent dans un module. Ils pratiquent dans Slack, Teams et leur navigateur. La distance cognitive entre ces contextes empêche le transfert de compétence.

« Tous les employés ont suivi la formation à la sécurité des mots de passe » fait belle figure sur un rapport de conformité. Mais la conformité exige que les personnes suivent la politique, pas seulement qu’on leur en ait parlé.

Ce qui marche vraiment : le nudge comportemental pour l’hygiène des identifiants

Intervention 1 : capter le partage d’identifiants en temps réel

Le comportement : un employé tape des identifiants dans un message Slack ou Teams.

Approche traditionnelleApproche comportementale
Espérer qu’ils se souviennent de la formation suivie il y a 6 moisL’audit SaaS détecte le schéma en temps réel
Aucun retour avant la prochaine revue annuelleUn nudge privé apparaît immédiatement
Rappel générique « ne partagez pas vos mots de passe »Redirection précise vers le processus d’attribution d’accès approuvé

À quoi ressemble le nudge : « Votre politique de sécurité (section 3.2) interdit le partage d’identifiants dans les outils de messagerie. Pour accorder un accès, utilisez le processus d’attribution approuvé : [lien]. Besoin d’aide ? Demandez sur #it-support. »

Le nudge est utile, pas punitif. Il dit ce qu’il faut faire à la place, pas seulement ce qu’il ne faut pas faire. Le comportement est journalisé (anonymisé) pour suivre les tendances au niveau de l’équipe.

L’intervention a lieu au moment exact du comportement, dans le contexte exact où il se produit. C’est là que le cerveau est le plus réceptif à la correction.

Intervention 2 : combattre la fatigue MFA par des rappels contextuels

Le comportement : l’employé approuve par réflexe des invites MFA sans vérifier s’il a bien initié la connexion.

  • Micro-quiz périodique dans Slack : « Vous recevez une invite MFA sur votre téléphone, mais vous n’avez tenté de vous connecter à rien. Que faites-vous ? »
  • Après une série d’invites MFA (potentielle attaque par fatigue MFA), un nudge contextuel : « Plusieurs demandes MFA détectées. Si vous n’avez pas initié de connexion, refusez toutes les invites et alertez immédiatement votre équipe sécurité. »
  • La répétition espacée renforce le réflexe « refuser les invites imprévues » à des intervalles scientifiquement calibrés

Intervention 3 : pousser l’adoption du gestionnaire de mots de passe par la formation d’habitudes

Le comportement : les employés connaissent l’existence du gestionnaire mais tapent encore des mots de passe mémorisés ou utilisent les identifiants enregistrés dans le navigateur.

  • Micro-quiz hebdomadaire : « Parmi ces options, quelle est la manière approuvée de stocker les mots de passe professionnels ? »
  • Nudge mensuel avec métriques d’adoption : « 87 % de votre équipe utilise désormais le gestionnaire de mots de passe pour toutes ses connexions. »
  • Nudge contextuel lorsque l’audit SaaS détecte un schéma de réutilisation : « Ce mot de passe semble utilisé sur plusieurs services. Votre gestionnaire peut en générer un unique. »

Montrer que la majorité de l’équipe a adopté le comportement crée une pression sociale positive. Personne ne veut être le dernier réfractaire.

Intervention 4 : rendre la rotation des mots de passe indolore

Le comportement : les employés rechignent à changer leurs mots de passe parce que c’est perturbant, ce qui laisse des identifiants obsolètes sur de nombreux services.

  • Plutôt que d’exiger des changements de mot de passe selon un calendrier rigide, intervenez auprès des employés lorsque de vrais signaux de risque apparaissent (par exemple, un service qu’ils utilisent figure dans une base de fuite)
  • Rendez le nudge actionnable : « Le service [X] vient d’être touché par une fuite de données. Si vous utilisez le même mot de passe ailleurs, c’est le bon moment pour le mettre à jour. »
  • Suivez les complétions et envoyez un nudge de relance aux non-répondants après 48 heures

Cas réels : la correction comportementale en pratique

Le cabinet dentaire qui a corrigé le partage d’identifiants

Après l’incident de Jennifer, son cabinet dentaire a déployé la surveillance comportementale et les nudges :

Mois 1 : l’audit SaaS a révélé que le partage d’identifiants dans Teams se produisait en moyenne 12 fois par semaine au sein des 20 personnes de l’équipe.

Mois 2 : déploiement des nudges contextuels. À chaque partage d’identifiants dans le chat, la personne recevait une redirection privée et utile vers le bon processus de demande d’accès.

Mois 3 : les incidents de partage d’identifiants sont tombés à 3 par semaine. Les nudges incluaient également un micro-quiz expliquant pourquoi le partage d’identifiants est dangereux, renforcé par répétition espacée.

Mois 6 : partage d’identifiants dans le chat : moins d’un incident par semaine. Non parce que les gens étaient sanctionnés, mais parce que le bon comportement était devenu le chemin de moindre résistance.

L’agence marketing qui a vaincu la fatigue MFA

Une agence marketing de 50 personnes avait connu 3 incidents de contournement MFA en un trimestre. À chaque fois, un employé avait approuvé une invite qu’il n’avait pas déclenchée.

Ce qu’elle a fait : une campagne de nudges de 4 semaines sur la vérification des invites MFA, livrée sous forme de scénarios de 30 secondes dans Slack, selon un calendrier Jour 1 / Jour 3 / Jour 7 / Jour 14 / Jour 30. Les taux de refus MFA étaient suivis comme métrique comportementale.

Résultat : le refus des invites MFA imprévues est passé de 23 % à 91 %. Zéro incident de contournement MFA au cours des deux trimestres suivants.

Le cabinet comptable qui a atteint 95 % d’adoption du gestionnaire de mots de passe

Un cabinet comptable avait acheté des licences 1Password pour ses 35 employés. Au bout de 6 mois, l’adoption était de 40 %. L’outil était là, mais peu utilisé de manière régulière.

Ce qu’il a fait : des nudges hebdomadaires dans Teams célébrant les jalons d’adoption, de courts conseils pratiques diffusés par répétition espacée, et des nudges contextuels lorsque l’audit SaaS détectait des mots de passe stockés dans le navigateur.

Résultat : 95 % d’adoption en 3 mois. Les 5 % restants ont bénéficié d’un accompagnement ciblé en un-à-un.

Le plan comportemental de 30 jours pour la sécurité des identifiants

Semaine 1 : observer

  • Déployer des outils d’audit SaaS pour surveiller les schémas de partage d’identifiants dans les outils de chat
  • Mesurer les taux actuels d’adoption du gestionnaire de mots de passe
  • Identifier les schémas de contournement MFA des 90 derniers jours
  • Cartographier les principaux écarts d’hygiène des identifiants par rapport aux sections de votre PSSI

Semaine 2 : nudger

  • Déployer la première vague de nudges sur le principal écart comportemental
  • Commencer par le partage d’identifiants s’il s’agit du problème le plus fréquent
  • Veiller à ce que les nudges fassent référence à votre politique spécifique et proposent des alternatives actionnables
  • Diffuser via Slack/Teams, pas par e-mail ou via un LMS

Semaine 3 : renforcer

  • Lancer des micro-quiz en répétition espacée sur l’hygiène des identifiants
  • Calendrier : Jour 1, Jour 3, Jour 7, Jour 14, puis mensuel
  • Chaque quiz dure 30 secondes et couvre un scénario précis
  • Suivre les taux de complétion et d’exactitude

Semaine 4 : mesurer

  • Comparer les métriques comportementales entre la Semaine 1 et la Semaine 4
  • Identifier les nudges ayant produit le plus de changement comportemental
  • Ajuster le ciblage pour les équipes ou comportements qui n’ont pas progressé
  • Partager les résultats anonymisés avec l’équipe pour renforcer la preuve sociale

L’avenir de la sécurité des identifiants est comportemental

Les passkeys, la biométrie et l’authentification sans mot de passe arrivent. Elles réduiront significativement la surface d’attaque technique. Mais elles n’élimineront pas la surface d’attaque comportementale.

Même dans un monde sans mot de passe :

  • Les gens partageront des jetons d’authentification
  • Les gens approuveront des invites biométriques par réflexe
  • Les gens trouveront des contournements quand la sécurité sera inconfortable
  • L’ingénierie sociale s’adaptera pour cibler tout ce que l’humain contrôle

Le défi fondamental n’est pas technique. Il est humain — et c’est le même défi que celui qui sous-tend l’architecture zero trust : les contrôles ne fonctionnent que si le comportement coopère.

En résumé

Vos équipes savent que les mots de passe comptent. Elles ont suivi la formation. Elles passent le quiz.

Elles continuent à partager leurs identifiants dans Slack. Elles continuent à approuver des invites MFA sans réfléchir. Elles continuent à enregistrer leurs mots de passe dans le navigateur plutôt que dans le gestionnaire.

C’est dans l’écart entre savoir et comportement que les attaquants opèrent. Le refermer exige :

  1. Observer les comportements réels d’identifiants via des audits SaaS, et non se fier à une conformité auto-déclarée
  2. Nudger au point de comportement, dans Slack et Teams, au moment où la décision sur l’identifiant se prend
  3. Renforcer par répétition espacée calée sur la courbe de l’oubli
  4. Ancrer chaque intervention dans votre politique de sécurité spécifique
  5. Mesurer le changement de comportement, pas les scores de quiz

Mots de passe forts et MFA sont le minimum vital. Le facteur différenciant, c’est que vos collaborateurs les utilisent vraiment, à chaque fois, sans exception. Engarde (engarde.cc) — la plateforme de cybersécurité centrée sur le comportement — combine surveillance SaaS continue, nudges en temps réel dans Slack et Teams, et cybertraining en répétition espacée qui transforme l’hygiène des identifiants en habitude plutôt qu’en score de quiz.

Sources : Verizon DBIR 2024 · IBM Cost of a Data Breach 2024 · UChicago - Training Gaps

Frequently asked questions

Pourquoi les employés continuent-ils à partager leurs mots de passe dans Slack après la formation à la sécurité ? +

La commodité l'emporte sur la mémoire. Quand un collègue a besoin d'un accès immédiat, coller un mot de passe est le chemin le plus court — et un module de formation suivi il y a six mois ne peut pas surpasser cette impulsion sur le moment. La courbe de l'oubli efface 90 % des consignes spécifiques en une semaine, et le comportement revient donc à l'option la plus facile, sauf si quelque chose intervient au moment de la décision.

Qu'est-ce que la fatigue MFA et comment la prévenir réellement ? +

La fatigue MFA est le réflexe d'approuver des invites d'authentification sans les vérifier, souvent après que des attaquants ont inondé l'utilisateur de demandes jusqu'à ce qu'une soit acceptée pour faire cesser le bruit. La prévention exige deux choses : une limite technique à la fréquence des invites, et un schéma comportemental où les employés sont entraînés — par de courts rappels espacés — à refuser toute invite qu'ils n'ont pas eux-mêmes déclenchée. Le MFA avec correspondance de chiffres aide, mais n'élimine pas le comportement.

Quel est un objectif réaliste d'adoption d'un gestionnaire de mots de passe ? +

Plus de 90 % en 90 jours est atteignable lorsque l'adoption est portée par des nudges contextuels plutôt que par des injonctions. L'achat des licences vous mène à 30–40 %. Combler l'écart suppose de capter les événements de mots de passe enregistrés dans le navigateur et les moments de réutilisation, puis de rediriger l'utilisateur vers le gestionnaire à cet instant précis.

Les passkeys vont-elles régler tout ce problème ? +

Elles réduisent la surface d'attaque technique, mais pas la surface comportementale. Les gens continueront à partager des jetons d'authentification, à approuver des invites biométriques par réflexe, et à contourner les flux peu pratiques. La forme de l'identifiant change ; le schéma humain reste le même. Les organisations qui construisent dès aujourd'hui un renforcement comportemental seront mieux placées face au paradigme d'authentification suivant, quel qu'il soit.

Comment Engarde (engarde.cc) traite-t-il ce sujet ? +

Engarde audite en continu les comportements SaaS — partage d'identifiants dans le chat, mots de passe enregistrés dans le navigateur, taux de refus MFA, usage du gestionnaire de mots de passe — et délivre des nudges privés en temps réel dans Slack ou Teams lorsqu'un employé déclenche un schéma à risque. Des quiz en répétition espacée renforcent le réflexe sécurisé. C'est de la surveillance continue plus du changement comportemental, sur une seule plateforme — à distinguer des autres acteurs partageant le nom Engarde.

Tags

#passwords#authentication#mfa#behavior-change#credential-hygiene

Share this post

Share on Twitter Share on LinkedIn
Quentin F. - CEO & Founder of EnGarde

Quentin F.

CEO & Founder, EnGarde

Building behavior-centered cybersecurity. Believes training doesn't work - real-time guidance does.

LinkedIn

Related Posts

Back to Blog