IAM - 1. Vers une sécurité vraiment efficace

Nous allons donc aborder les thèmes relatifs à l'identité dans l'entreprise. L'identité se réfère à tout ce qui caractérise l'individu, tout ce qui le représente. Nous évoquerons les thèmes de la sécurité, de l'accès à l'information sur les individus, des processus en entreprise...
Venez les découvrir dans les semaines à venir.

Aujourd'hui, l'article démontre qu'une politique de mots de passe, aussi sévère soit-elle, peut s'avérer être totalement inefficace...

Discussion sur mon entrée dans le monde du travail.

- Bonjour Sophie, comment ça se passe dans ta nouvelle entreprise ? - J’y suis depuis 6 mois, ça se passe bien, mais j’avoue que je n’arrive toujours pas à me faire à toute cette sécurité. C’est d’un compliqué... - Comment ça ? La sécurité, c’est obligatoire, avec tous ces virus et ces pirates... - Je t’explique : il a d’abord fallu que je change mon mot de passe Windows. Je devais le créer en mettant au moins une majuscule, un chiffre et une minuscule. Et puis, en plus, il fallait qu’il fasse au moins 8 caractères ! C’était dur de m’en souvenir, surtout que j’ai du appeler l’administrateur plusieurs fois parce que je l’avais oublié. - Oui, moi aussi ça m’est arrivé. - Attends ! C’est pas tout. Ensuite j’ai eu une messagerie, avec un autre mot de passe. On m’a dit de l’enregistrer dans l’ordinateur. Mais quand il a fallu le changer, 3 mois après, impossible de m’en souvenir ! - Chez nous, on ne le change jamais. - C’est la même histoire pour tous mes logiciels. Je dois choisir un mot de passe tordu à chaque fois que je dois changer au bout de 3 mois. Je ne m’en sors plus. Je peux te dire que l’administrateur commence à me connaître. - J’ai la solution ! Tu n’as qu’à faire comme moi : note tous tes mots de passe sur des post’it que tu mets sous le clavier et à chaque fois que tu en as besoin, tu l’as sous la main…

Une politique rigoureuse n’est pas toujours synonyme d’efficacité.

Une politique de mots de passe aussi rigoureuse entraîne des failles de sécurité là où on ne s’y attend pas. La politique appliquée ici protège inefficacement le SI. Certes, les mots de passe sont compliqués et donc difficiles à casser pour un hacker, mais les utilisateurs ne s’en souviennent pas. Donc, soit les utilisateurs notent les mots de passe en clair sous leur clavier, sur leur écran ou encore sur une feuille de papier qui traîne sur le bureau, soit ils ne s’en souviennent plus et le helpdesk passe 50% de son temps à réinitialiser les mots de passe pour chaque utilisateur de l’entreprise.

Contraindre les utilisateurs à créer des mots de passe compliqués pour protéger le SI, ne les obligera jamais à se souvenir de leurs multiples mots de passe.

Il existe toujours la série de « questions / réponses » qui permet de retrouver un mot de passe oublié. Cette solution est efficace pour un mot de passe, mais fait perdre beaucoup de temps si elle s’applique à plus de deux mots de passe.

Une solution, à ne surtout pas envisager aujourd’hui serait d’assouplir la politique de mots de passe. C’est revenir en arrière et de plus cela faciliterait le travail des hackers.

Comment faire alors ? Existe-t-il des solutions pour verrouiller efficacement l’accès au SI ?

Il existe, en effet, des solutions pour verrouiller efficacement l’accès au SI et éviter les fuites des mots de passe par les utilisateurs. Il est possible de renforcer d’avantage sa politique de mots de passe tout en facilitant l’accès aux applications du SI par les utilisateurs.

Choisir d’implémenter une politique de mots de passe efficace permet de gagner

• en sécurité – le Système d’Informations est mieux protégé.
• en productivité - les utilisateurs seront plus productifs.
• en retour sur investissement - le temps perdu pour les interventions sur les mots de passe du helpdesk ou des administrateurs système deviendra négligeable.