Comment nous avons éliminé pratiquement tous les identifiants à risque chez Dashlane.

Date de publication :
How We Eliminated Virtually All Risky Credentials at Dashlane
Découvrez comment Dashlane a testé les fonctionnalités pour obtenir des informations réelles avant le lancement.

Chez Dashlane, nous sommes nos propres premiers utilisateurs. Chaque fonctionnalité que nous développons passe par des phases de test internes rigoureuses, y compris de vastes tests chez les employés connus sous le nom de « dogfooding ». Cette approche garantit non seulement la qualité, mais nous donne également un aperçu réel sur le fonctionnement de notre produit.

Au cours de l'année écoulée, nous avons activement testé les nouvelles fonctionnalités de protection des identifiants qui comprennent la plateforme Dashlane Omnix™ avant de les lancer auprès des clients.

Vous pourriez supposer qu'une entreprise de sécurité qui développe un gestionnaire de mots de passe aurait déjà une configuration parfaite : une hygiène des mots de passe à 100 % à tous les niveaux. Mais la réalité est plus nuancée.

Alors que notre Score de sécurité moyen, qui prend en compte les identifiants faibles, réutilisés et compromis stockés dans les coffres-forts des employés, reste constamment supérieur à 95 %, il y a toujours place pour l'amélioration.

Mettez en lumière les identifiants fantômes

L'année dernière, nous avons lancé la détection des risques liés aux identifiants, qui surveille et détecte en permanence l'activité liée aux identifiants en temps réel sur l'ensemble du personnel. Lorsque nous avons commencé à déployer les premières versions de la solution en interne à l'été 2024, notre équipe de sécurité a découvert un comportement surprenant.

Bien que chaque employé utilise activement Dashlane en interne (nous le déployons le jour 1 lors de l'intégration des employés), nous avons trouvé un nombre important d'identifiants « shadow » compromis, des identifiants utilisés par les employés pour accéder à diverses applications, certaines professionnelles et d'autres personnelles.

Ceux-ci n'étaient pas stockés dans les coffres-forts Dashlane, ce qui signifiait qu'ils n'étaient pas surveillés ou protégés correctement. C'est là que les approches traditionnelles de la gestion des mots de passe ne sont pas efficaces : elles ne peuvent pas prendre en compte les identifiants qui ne sont pas enregistrés dans le coffre-fort, laissant les entreprises aveugles au Shadow IT dans l'ensemble de leur environnement.

Au même moment, nous avons lancé Nudges : des rappels contextuels en temps réel livrés via des plateformes telles que Slack pour alerter les employés sur les mots de passe faibles, réutilisés ou compromis. Par exemple, si un employé tente de se connecter à un service avec un identifiant compromis, il sera alerté immédiatement, ce qui l'incitera plus à agir.

Nous avons également suivi manuellement les individus, non seulement les encourageant à mettre à jour leurs identifiants, mais également à promouvoir de meilleures habitudes de sécurité dans l'ensemble.

Les résultats ont été frappants. Comme l'indique la capture d'écran expurgée ci-dessous, notre utilisation interne de Dashlane Omnix a conduit à une réduction de 75 % des identifiants compromis utilisés dans l'ensemble de l'entreprise au cours du premier mois de déploiement.

En l'espace de sept mois, nous avions pratiquement éliminé tous les identifiants compromis, faibles et réutilisés de notre environnement d'entreprise.

A screenshot of the Dashlane password manager shows the number of compromised, weak, and reused credentials for all Dashlane employees.

Améliorez la sécurité des risques liés aux identifiants grâce à un apprentissage constant.

Cette initiative n'a pas seulement amélioré la propre posture de sécurité de Dashlane ; elle nous a également aidés à mieux comprendre comment rendre Omnix encore plus précieux pour les équipes informatiques et de sécurité. 

Comme Dashlane est « zero-knowledge », nous n'avons pas accès aux tableaux de bord client tels que celui ci-dessus, ce qui fait de notre utilisation interne un terrain d'essai précieux pour façonner le produit.

Nous avons également entendu des histoires similaires de la part de clients. Une entreprise cliente a découvert que son PDG utilisait à son insu des identifiants compromis sur des sites personnels, un moment révélateur qui a incité sa direction à agir rapidement. Une grande entreprise de soins de santé a découvert qu'un quart de ses utilisateurs utilisaient des mots de passe compromis et faibles pour accéder aux applications d'entreprise après avoir déployé Dashlane pour des milliers d'employés.

Ce ne sont que quelques exemples de la façon dont les entreprises ont réduit les risques liés aux identifiants avec Dashlane, mais il y en a beaucoup plus. Et ce n'est que le début.

Nous élargissons activement la portée d'Omnix : nous augmentons les types de risques que nous détectons, améliorons les options d'auto-correction pour les employés et permettons aux équipes informatiques et de sécurité d'orchestrer les réponses automatisées. Nous investissons également lourdement dans l'IA pour accélérer et faire évoluer ces capacités.

Si vous n'avez pas encore exploré Dashlane Omnix, c'est le moment. Essayez-le vous-même et restez à l'écoute. Nous avons une feuille de route passionnante à l'horizon.

Inscrivez-vous pour connaître toute l'actualité de Dashlane