Au travail, vous êtes nombreux à partager vos comptes et vos mots de passe. 50% déclarent ne pas en parler avec les services IT lorsqu’ils partagent leurs identifiants. Le partage d'accès est une action très répandue en entreprise.
Pourtant, dans le même temps, si on vous demande : partagez-vous votre code de téléphone, celui de votre banque ou même celui de vos réseaux sociaux préférés ? La réponse est un grand NON !
Et pour cause, ceux qui l'ont fait se sont parfois heurtés à cette mésaventure : ils se sont fait pirater leur compte par un ex-petit ami vengeur ou une ancienne meilleure copine...
Quelles sont les raisons qui poussent un collaborateur à partager son mot de passe ?
Lors d'une étude réalisée par ISDecisions on a demandé aux employés de donner des raisons qui les poussaient à partager leur mot de passe ou à demander un accès :
🔸 32.3% un manager qui le demande
🔸 27.7% donner des accès lors d'une absence
🔸 22.3% l'IT l'a demandé
🔸 18.3% déléguer du travail
🔸 13.4% un collègue a demandé
🔸 8.8% je l'ai donné un accès à quelqu'un
🔸 4.2% j'ai demandé un accès à quelqu'un parce que je n'avais pas l'accès autrement
🔸 1.3% j'ai oublié mon mot de passe et j'emprunte celui de quelqu'un
Ce qui ressort et qui est très surprenant, c'est la raison n°1 du partage d'accès qui vient d'une demande d'un manager. Ce qui montre que le management n'est pas du tout sensibilisé à la question de la cybersécurité.
On peut aussi se poser la question autrement. Pourquoi autant de collaborateurs sont poussés à utiliser les accès d'autrui ? Le problème vient en bonne partie de l'IT.
- Les contrats courts nécessitent autant de créations de comptes qu'un contrat long sauf que les contrats courts sont plus nombreux. Ces actions répétitives prennent du temps à l'IT qui préfèrent ne faire qu'un seul compte non nominatif et favoriser le partage.
- Les processus de demande de créations de comptes sont mal connus ou complexes ce qui décourage les collaborateurs et les managers de faire des demandes officielles.
- La sensibilisation aux risques de partage de mots de passe n'est pas réalisée. Selon l'étude, 52% des interrogés ne voient pas de risques à partager ses accès, ils sont 54% chez les séniors managers.
Une trop grande confiance est accordée aux collègues et la situation de partage des mots de passe en entreprise n'est pas du tout comparée à des situations de partages d'accès dans le cadre privé.
Par exemple :
▶️ Partager son mot de passe de messagerie professionnel VS partager son mot de passe de messagerie personnelle.
▶️ Partager son mot de passe d'un logiciel professionnel VS partager son mot de passe Instagram.
On peut aussi se pencher sur le 13.4% : un collègue me l’a demandé ! Cela montre parfaitement, la confiance aveugle dans les collègues et surtout la non-sensibilisation au partage de mot de passe.
Ce chiffre montre bien le désintérêt total dans les risques liés à ce partage, car cela concerne l’entreprise et non une personne physique. Il est principalement là, le problème. On ne touche pas une personne mais une entité et on n’a pas la même approche, empathie dans les deux cas.
Si on interrogeait, ces mêmes personnes et qu’on leur demandait si elle partagerait les accès d’un collègue, je pense que ce chiffre chuterait drastiquement.
Quels risques y a-t-il, à partager ses accès ?
Si 52% des employés ne voient pas de risques au partage des mots de passe, il est pourtant bien réel.
- Donner ses accès à un manager ou son manager, c'est donner encore plus de données à quelqu'un qui est déjà en position de force (un grand accès à des données par son statut). Il peut aussi y avoir conflit d'intérêt en partageant certaines données avec un manager d'un autre service par exemple.
- Lors d'un accès à un compte par plusieurs personnes, qui est responsable en cas d'incident ? Il est fort probable (et même logique) que ce soit le détenteur de l’accès et celui-ci paiera des conséquences qu’il n’avait pas envisagées. Dans le cas, où l’accès est partagé au sein d’un service et que cela est ‘officiel’ les tords pourront difficilement être attribués à une personne en étant formel. Le mouton noir est difficile à écart avec un accès partagé.
- La personne qui demande des accès n'est peut-être pas habilitée à voir, visionner certaines données. Il n'y a plus de gestion des droits d'accès. Si la personne n'a pas de bonnes intentions, elle peut facilement nuire à l'entreprise.
À ce propos, la sécurité des entreprises est probablement à revoir car 82% des personnes interrogées déclarent qu'il le serait facile d'avoir accès à des informations sensibles auxquelles ils ne seraient pas habilités. Cela signifie que les personnes connaissent des gens qui pourraient leur montrer des informations sensibles ou elles ont directement connaissance d’accès permettant de voir ces informations sensibles.
- Dans ce cadre, quelle est la place de la gestion des habilitations quand l’entreprise ne maîtrise pas vraiment ses accès. On pourrait parler dans ce cas d’accès visibles et d’accès cachés. La gestion des accès cachés est infaisable et les services IT se heurtent à ce moment-là à une contradiction majeure : pourquoi passer du temps à déterminer qui a accès à quoi quand de toute façon chacun fera ce qu’il voudra.
- Lorsqu'on partage ses mots de passe, il n'y a plus de maîtrise de gestion des habilitations, ce qui favorise la détention d'accès à des comptes actifs par des collaborateurs qui sont partis. Vous savez, ce collègue qui part mais qui a accès à un logiciel qui était bien pratique pour toute l’équipe. Il y a un historique, tout est paramétré, déjà en place, alors pourquoi fermer ce compte pour en ouvrir un nouveau avec tous les inconvénients que cela implique ? Donc, on laisse le compte ouvert.
Imaginez ce qui pourrait arriver si ces comptes donnent accès à des informations sensibles utilisables par la concurrence. Imaginez ce qu'un ex-collaborateur en colère pourrait faire de certains accès. Selon l'étude, 36% d'anciens employés ont toujours des accès actifs après leur départ.
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Quelles solutions pour éviter le partage des maux de passe 🙃 ?
Ces pratiques de partage de mot de passe créent ce qu’on appelle des utilisateurs fantômes ou du shadow IT en anglais.
❌ aux actions punitives
Afin d’éviter les actions punitives qui n’auront pas un impact positif sur la démarche et qui pourraient même aggraver la situation, il est préférable de partir du constat de base, la moitié des utilisateurs partagent au moins un accès avec un collègue et ne voient pas en quoi cela peut être un problème, il faut alors, les sensibiliser. Plutôt que de parler des ‘obligations’, parlons des risques et des conséquences concrètes dans la vie du collaborateur.
Un discours ouvert
Un discours ouvert des services informatiques envers les utilisateurs aura, sur le moyen et long terme, des répercussions bien plus positives. La facilitation des créations de comptes, une ouverture du dialogue sur des besoins de logiciels évitera le shadow IT.
La sensibilisation aux risques est donc bien le maître mot de la lutte.
Simplification des procédures
En revanche, côté IT il est crucial de mettre en place des solutions de simplification de créations et suspensions de comptes. Se tourner vers une solution d'IAM est pertinent. L'IAM c'est la gestion des utilisateurs et de leurs comptes. Une plateforme d'Identity & access Management vous permettra entre autres d'automatiser vos créations et suspensions de comptes à l'aide de workflows et d'une connexion entre votre SIRH et votre Active Directory (ou autre annuaire). Les informations d'arrivées et de départs sont traitées automatiquement par la solution et l'IT ne sera plus dans le flou.
Ainsi, les créations de comptes ne seront plus une charge pour les services informatiques et l'application d'une politique de sécurité informatique sera plus facile à mettre en place.
Une solution de gestion des identités et des accès permettra aussi à l'IT de maîtriser les droits d'accès de chaque utilisateur et de mettre en place des monitorings de certains groupes sensibles.
Réinitialisation des mots de passe
Le self reset des mots de passe est aussi une excellente solution pour parer aux demandes de partage de mots de passe dû aux oublis. L’utilisateur sera gêné d’admettre son oubli au service informatique, il sait que ça va lui prendre du temps, peut-être que cela va engendrer une procédure écrite, une demande à son manager, etc.
Une solution qui permet une réinitialisation des mots de passe par les utilisateurs offrira deux énormes avantages :
- une autonomie pour les utilisateurs et donc une baisse des demandes de partage
- un gain de temps pour les services informatiques qui se suppriment une tâche avec aucune valeur ajoutée.
Rappel, voici quelques règles en matière de mots de passe.