Ce moment où la cybersécurité tient à un post-it

François Poulet

|

Product Manager chez Youzer

11/2021

Articles
>
Cybersécurité
Quelle sécurité mettre en place pour la transmission des mots de passe en entreprise ? Comment éviter les failles de sécurité ?

Sommaire

Un scénario malheureusement classique

Imaginez la scène : un nouveau collaborateur arrive dans l’entreprise, c’est son premier jour. Et le service IT qui est là pour lui donner ses outils de travail (PC, téléphone…) lui donne son mot de passe d’ouverture de session… sur un bout de papier (je pourrais dire “post-it” mais il paraît qu’il ne faut pas citer de marques…).

Alors ça peut faire sourire : le budget de plusieurs dizaines, voire centaines de milliers d’euros consacrés chaque année à la cybersécurité, en achats de firewalls dernier cri, en pen-testing, en mises à jour antivirus, en suivis des mises à jour critiques des systèmes… tout ça fragilisé par un mot de passe inscrit sur un petit papier.

Évidemment ce n’est pas aussi simple : vous gérez évidemment correctement les paramétrages de sécurité sur votre infrastructure Active Directory ou LDAP, donc l’utilisateur devra changer son code d’accès à la première connexion, l’identifiant inscrit sur le post-it est donc un mot de passe à usage unique, ce qui limite le risque de fuite de ce dernier.

Des conséquences lourdes en termes de risque IT

Il n’empêche que malgré les précautions prises, ce mode de fonctionnement pose 2 problèmes :

  • L’utilisateur perçoit un message dramatique sur le niveau de sécurité. Même si le risque est faible, ça le fait bien marrer de se voir communiquer ce mot de passe sur un petit bout de papier. Ne connaissant pas les finesses techniques, il n’aura aucun scrupule à transmettre lui aussi des mots de passe par post-it tout simplement parce que “même l’IT le fait”.
  • Si jamais “quelqu’un” (une personne de votre service IT) a décoché la case “exiger le changement de mot de passe à la prochaine connexion” sur votre Active Directory, c’est toute la chaîne de sécurité qui est en danger : l’utilisateur gardera son code d’accès inscrit sur son post it, et comme il est complexe, il est impossible à retenir donc le petit bout de papier rose restera sur le bureau de l’utilisateur (ou plutôt sur son écran parce que c’est plus facile à lire le matin)…

On peut faire une petite étude rapide : passez le soir après le départ de tout le monde et jetez un œil sur les bureaux des utilisateurs : je parie que vous retrouvez un “papier-password” collé sur un écran sur dix.

Envie de voir une démo instantanée de Youzer ?  
Voir la démo

On se rassure : des solutions de transmission de mot de passe existent

J’ai beau demander à tous les DSI que je rencontre, personne n’a de solution “miracle” pour communiquer un mot de passe de manière sécurisée. Chacun est à la recherche de solutions de sécurité informatique pour son entreprise mais il n’y a pas de réponse évidente à cette problématique.

Écrire (ou imprimer) un identifiant sur papier n’est vraiment pas le meilleur moyen pour communiquer un mot de passe. Certains services IT ont donc mis en place plusieurs stratégies :

  • L’envoi par mail : problème, comme le collaborateur n’a pas encore accès à sa boîte mail professionnelle, il faut lui envoyer sur sa boîte mail personnelle. Mais le jour de l’arrivée du collaborateur, soit il n’a pas accès à sa boîte mail personnelle, soit il a imprimé le mail contenant le mail, donc retour au post-it…
  • L’envoi par SMS : si l’utilisateur dispose d’un portable personnel et que l’IT dispose du numéro, c’est une des méthodes les plus sécurisées pour transmettre un mot de passe. Évidemment, il faut que l’utilisateur soit obligé de changer son mot de passe à la première connexion. C’est, par exemple, la solution que nous avons choisie chez Youzer.
  • Le mot de passe unique temporaire : tout le monde le connaît, il est facilement communicable oralement et il permet à l’utilisateur de se connecter facilement. Là encore, la modification à la première connexion est impérative
  • Le mot de passe généré sur la base de données personnelles de l’utilisateur (date de naissance, n° de sécurité sociale…). L’avantage de ce type de mot de passe, c'est que sa transmission est protégée : c’est le mode de génération du mot de passe qui est transmis et pas le mot de passe lui-même, il faut donc connaître des données personnelles de l’utilisateur pour “reconstituer” le mot de passe (relativement facile mais nécessite un petit travail de recherche).
  • La transmission d’un code d’accès indirect : le service pwpush permet ainsi de transmettre un code/lien permettant lui-même d’avoir accès au réel mot de passe avec quelques restrictions : par exemple, après 2 ou 3 visualisations ou 48 heures, le mot de passe devient définitivement inaccessible.

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

Alors, comment gérer au mieux cette communication des identifiants ?

Je rappelle l’importance de respecter les principes suivants :

  1. Utiliser le téléphone mobile de l’utilisateur pour communiquer l’identifiant principal (celui pour se connecter à la messagerie).
  2. Utiliser la messagerie professionnelle pour communiquer les identifiants suivants.
  3. Ne pas utiliser des identifiants partagés (ça paraît évident mais c’est toujours important de le préciser).

Et bien sûr, il faut éduquer, former, sensibiliser… car c’est l’utilisateur final qui est le propre garant de ses identifiants. La sensibilisation à la sécurité des mots de passe est aussi l’affaire de tous mais c’est à l’entreprise d’introduire les bonnes pratiques, et ce, dès le premier jour.
Et vous, quelles sont vos méthodes de transmission du mot de passe aux nouveaux arrivants dans votre entreprise ?
Avez-vous mis en place un guide ou une sensibilisation à la sécurité informatique ?

Récap'IT la newsletter de la DSI

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité informatique du mois.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée ! Vous recevrez votre prochain Récap'IT à la fin du mois 😊

Articles recommandés

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Hey ! Vous connaissez la chanson :) Nous utilisons des cookies d'analyse de données anonymes. En “Acceptant tous les cookies”, vous nous aidez à comprendre les pages vues (anonymes). En savoir plus sur notre politique de confidentialité.