Comment gérer les comptes partagés entre les utilisateurs ?

François Poulet

|

Product Manager chez Youzer

09/2020

Articles
>
IAM - gestion des accès et des identités
Le partage d'identifiants est un fléau pour la sécurité informatique. Mais pour les utilisateurs c'est tellement pratique ! Quelques astuces pour que tout rentre dans l'ordre.

Sommaire

Les différents types de partage de comptes

Quand l'ensemble des membres d'une même équipe a besoin d'accéder à une application, on pratique souvent le partage de compte. On se retrouve à plusieurs à utiliser le même compte d'un collègue.

"C'est quoi ton mot de passe ?"

C'est la méthode traditionnelle de partage de compte : on demande à son collègue ses identifiants, pour pouvoir se connecter sur son compte et avoir accès ainsi au CRM ou aux outils marketing souhaités. C'est la méthode préférée des utilisateurs, car elle est la plus rapide, la plus conviviale. Évidemment, cette méthode n'est absolument pas du goût de l'équipe IT qui y voit une faille de sécurité : les mots de passe - parfois critiques quand il s'agit du CRM contenant les informations clients - sont échangés oralement, à disposition de l'open space et des autres utilisateurs et donnent donc accès à qui veut bien l'entendre aux informations de l'entreprise.

Le partage par gestionnaire de mot de passe

Cette méthode de partage nécessite que les utilisateurs concernés (celui qui partage son identifiant et celui qui l'utilise) soient équipés d'un gestionnaire de mot de passe. Les gestionnaires de mot de passe (comme Dashlane, 1Password ou LastPass) sont initialement conçus pour vous aider à stocker les mots de passe et à vous connecter automatiquement aux différentes applications à votre disposition sans avoir à saisir les mots de passe, le logiciel réalisant cette saisie pour vous de manière automatique. Ces logiciels permettent souvent également de partager les mots de passe entre utilisateurs sans que le mot de passe en lui-même ne soit diffusé à l'utilisateur qui reçoit le mot de passe partagé puisque c'est le gestionnaire de mot de passe qui va "saisir" le mot de passe directement.

Cette méthode a le mérite d'être un peu plus rigoureuse car elle bénéficie d'une bonne traçabilité. En revanche, elle comporte un point faible : l'utilisateur qui reçoit le mot de passe peut - s'il est un peu habile - voir le mot de passe en clair et en faire ensuite ce qu'il veut, par exemple le garder et donc toujours bénéficier de l'accès même si l'utilisateur initiateur du partage suspend le partage.

Le partage d'accès par autorisation

Cette méthode est la plus rigoureuse, car chaque utilisateur dispose de son propre accès, lui permettant d'accéder à une ressource partagée. Le meilleur exemple est le partage de boîtes mail sur Office 365 ou Google Workspace : chaque utilisateur a son propre mot de passe et ce sont les autorisations implémentées sur une boîte mail commune qui vont permettre aux utilisateurs d'accéder ou pas à la boîte mail partagée. Le gros avantage de cette méthode est qu'elle permet de retirer des accès rapidement, sans qu'il y ait une faille de sécurité, elle n'est donc pas concernée par les dangers de sécurité informatique comme les 2 précédentes méthodes.

Envie de voir une démo instantanée de Youzer ?  
Voir la démo

Les dangers du partage d'accès

Les raisons pour lesquelles les utilisateurs se partagent des comptes sont souvent peu nobles. Que ce soit pour éviter de payer des licences supplémentaires parce que "ça fait quand même cher alors que je ne l'utilise pas beaucoup", ou pour des raisons pratiques ("je ne vais quand même pas créer un compte pour chaque stagiaire !"), le partage de compte constitue un réel danger pour la sécurité des données en entreprise.

Dans les deux premières méthodes, c'est le mot de passe qui est purement et simplement diffusé à plusieurs personnes sans contrôle. Les stagiaires se succèdent avec le même identifiant / mot de passe et le stagiaire qui était présent il y a 3 ans peut encore s'il le souhaite accéder au CRM interne. En y accédant, il peut visualiser les données, donc potentiellement communiquer des informations sur les prospects de l'entreprise à un concurrent pour lequel il travaille maintenant. Il peut également altérer ou supprimer les données et ainsi perturber l'activité commerciale, financière ou technique de l'entreprise.

Le second danger est l'absence de traçabilité. Un compte partagé est un compte anonyme. Aucune des actions réalisées avec ce compte ne peut être attribuée à un utilisateur nominatif car elles ont pu être réalisées par plusieurs utilisateurs, parfois plusieurs dizaines d'utilisateurs.

Danger du partage d'accès

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

Quelles solutions pour éviter le partage d'accès ?

Il existe deux solutions très simples pour limiter ces partages d'accès entre utilisateurs qui compromettent la sécurité du SI.

Renforcer la sécurité des comptes

La première solution est la mise en place d'une authentification à double facteur (2FA ou MFA). Un SMS envoyé à chaque tentative de connexion avec un code que l'utilisateur doit saisir pour s'authentifier correctement. Le 2FA peut également être utilisé avec une application mobile comme Google Authenticator ou Auth0 Guardian.

Cette authentification plus complexe et plus individualisée ne peut pas interdire aux utilisateurs de s'envoyer les codes reçus par SMS ou de se communiquer les codes temporaires de Google Authenticator, mais ce système a au moins le mérite de limiter le partage (difficile d'envoyer 10 SMS chaque jour quand 10 personnes se partagent le compte) et de faire prendre conscience aux utilisateurs qu'ils sont en train de tordre un système de sécurité alors qu'un partage de mot de passe pouvait leur sembler anodin.

Authentification à double facteur

Faciliter la gestion des comptes : automatisation !

Pourquoi les utilisateurs partagent les comptes ? Très souvent parce qu'ils ne veulent pas attendre que les comptes soient créés par le service IT, parce qu'ils ne veulent pas créer et désactiver manuellement des comptes pour chaque stagiaire, 10 fois par semaine.

Alors l'automatisation a du bon : si le compte est créé et suspendu automatiquement en fonction des arrivées et des départs, tout le monde est content, et plus besoin de partager un même accès.

Certains systèmes d'automatisation permettent même l'envoi des identifiants par SMS au collaborateur qui vient d'arriver, ce qui lui permet d'avoir accès rapidement et de manière sécurisée aux outils de l'entreprise.

Récap'IT la newsletter de la DSI

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité informatique du mois.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée ! Vous recevrez votre prochain Récap'IT à la fin du mois 😊

Articles recommandés

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Hey ! Vous connaissez la chanson :) Nous utilisons des cookies d'analyse de données anonymes. En “Acceptant tous les cookies”, vous nous aidez à comprendre les pages vues (anonymes). En savoir plus sur notre politique de confidentialité.