Entreprise : Comment sécuriser le partager de mots de passe

Dans un monde idéal, les mots de passe sont à titre nominatif et individuel. Cependant, les entreprises sont souvent confrontées à des situations qui imposent le partage d'identifiants entre les membres d’une équipe. Cette pratique représente ainsi un défi majeur en matière de sécurité, car elle augmente les risques de piratage ou d’accès à des fichiers sensibles. Sans parler des attaques de phishing ni du vol d’informations sur le Net qui devient de plus en plus sophistiqué. Dans ce genre de contexte, l’usage d'un générateur et d’un gestionnaire de mots de passe est recommandé. Alors, ne prenez pas de risques inutiles et découvrez dans cet article nos conseils afin de protéger votre business. 

Les mauvaises pratiques et les risques encourus

La réalité et la perception des choses sont deux concepts différents. En effet, un moyen d'authentification a pour vocation de reconnaître de manière fiable l'identité d'un utilisateur afin de lui accorder l'accès à un système, à une application ou à des données. Dans cette optique, l'authentification doit être individuelle. Il est alors normal que chacun des collaborateurs dispose d'un compte personnel associé à un mot de passe unique s'il veut accéder aux ressources auxquelles il est autorisé. Pourtant, de multiples situations exigent le partage d’identifiants entre collègues sur le lieu de travail. Ce phénomène devient d’ailleurs une pratique courante au sein de nombreuses entreprises.

Le partage d’identifiants au sein d’une société : un sujet qui suscite la réflexion

Sur un lieu de travail, le laxisme autour de la gestion des mots de passe est un phénomène réel. En effet, presque la moitié des employés au sein d’une entreprise partage leur mot de passe avec leurs collègues. Sur 1 008 salariés interrogés, 42 % d’entre eux ont recours à cette pratique selon l’enquête menée par Beyond Identity, une société américaine. Ce chiffre est également appuyé par le rapport d’un éditeur de gestionnaire de mots de passe en 2022 qui indique un pourcentage de 43 % sur 2 000 agents sondés. 
En outre, le partage de mots de passe est nécessaire dans le milieu professionnel pour de nombreuses raisons. On retrouve entre autres : 

Les comptes partagés

Tel est le cas lorsque plusieurs employés doivent utiliser un compte commun dans un but collaboratif. En réalité, l’accès à certaines applications requiert un seul identifiant, d’où la nécessité de le partager.
Les réseaux sociaux d’une entreprise (Linkedin, Twitter, Facebook par exemple) sont souvent gérés par plusieurs personnes. Un gestionnaire de mots de passe permet de partager les identifiants de ces différents comptes simplement mais également d’avoir de la traçabilité sur qui à fait quoi et à quel moment !

Les situations d'urgence 

Par exemple, si un membre de l’équipe est absent ou indisponible, alors le partage d’identifiants permettra à une autre personne de prendre en charge ses fonctions. C’est donc une manière de ne pas freiner la productivité et de fluidifier le travail dans l’ensemble.

Les audits de sécurité 

Il est courant que les auditeurs demandent des informations sur les comptes (mots de passe y compris) afin de vérifier la conformité des politiques liées à la sécurité.

Les prestataires de service tiers 

La plupart du temps, les entreprises engagent des services tiers afin de gérer une part de leurs activités (tenue de la comptabilité, management des comptes sur les réseaux, etc.). Cela implique le partage d’identifiants entre les parties prenantes.

À noter que plus la diffusion d'identifiants se fait à grande échelle, plus les possibilités d’attaque malveillante augmentent. D’ailleurs, l’absence de méthode officielle mise en place par le département informatique incite les utilisateurs à transmettre les mots de passe comme bon leur semble. Ils ont tendance à les envoyer via WhatsApp, Slack ou même par SMS. 

Partage d'identifiants : les risques à ne pas ignorer

Même si l’accès partagé d’un compte est pratique et justifié par de multiples motifs professionnels, il peut mettre en péril la sécurité globale de l'entreprise. Afin de vous donner une idée de la gravité de cette pratique, ci-dessous les problèmes auxquels votre compagnie est exposée.

Des problèmes au niveau de la conformité réglementaire

Le partage d'identifiants rend les audits complexes, car il est difficile de suivre les accès et les modifications effectuées sur les données. Dans le cadre des réglementations comme le RGPD, il est essentiel de prouver que les informations sont protégées et traitées en toute sécurité. En cas de violation d’accès, l’entreprise sera la première sur la sellette. 

Difficultés à suivre l’activité des utilisateurs

Lorsque plusieurs collaborateurs ont accès à un même identifiant, il devient compliqué de savoir qui l’a utilisé et quand. Cela rend la détection de comportements inhabituels ou suspects très complexe. De plus, il est possible que certains employés partagent cet identifiant avec des tiers, sans que l'on en soit informé. Dans ce cas, les risques que les fichiers sensibles soient compromis sont doublés, voire triplés. 

Risque accru d'attaque de phishing

À titre d’information, le phishing (ou hameçonnage en français) est une technique frauduleuse employée par des personnes malveillantes afin d’obtenir des informations confidentielles telles que :

• Des numéros de sécurité sociale ;
• Des mots de passe ;
• Des numéros de carte de crédit ;
• Des renseignements bancaires en se faisant passer pour une entité de confiance.

En général, les messages de phishing sont souvent rédigés de manière très convaincante pour inciter les utilisateurs à fournir les données demandées. Si les salariés ont tendance à s'échanger leurs identifiants et sont inconscients des risques qui y sont liés, alors ils sont plus susceptibles de tomber dans le piège. Cela entraînera, dans de nombreux cas, des pertes financières importantes.

Il est donc indispensable d’adopter des politiques de sécurité informatique strictes et de sensibiliser les collaborateurs sur les dangers du partage d’identifiants. Ainsi il vous est possible de réduire considérablement les risques d’attaques réussies. Cependant, l’usage d’un gestionnaire centralisé de mots de passe reste l'une des méthodes les plus efficaces.

La solution du gestionnaire centralisé de mots de passe

Le partage d’identifiants est une faille de sécurité que les cybercriminels affectionnent particulièrement. Néanmoins, si vous utilisez un gestionnaire de mots de passe, vous aurez une longueur d’avance sur ce genre d’attaque. Notez tout de même que les modèles de gestionnaire gratuits ou présents dans les différents navigateurs web ne bénéficient pas d’une protection renforcée. De plus, les options mises à votre disposition sont très limitées et loin d’être pratiques, surtout pour une entreprise.

Concrètement, le gestionnaire de mots de passe est un programme informatique qui aide les utilisateurs à gérer leurs mots de passe. Ces derniers peuvent provenir d’un navigateur, d’un outil ou de tout autre support. Il est ainsi capable de générer des mots de passe forts et complexes, puis de les sauvegarder en toute sécurité dans une base de données hautement protégée.

LockPass est une solution certifiée par l’ANSSI qui permet la gestion centralisé des mots de passe de votre entreprise.

Par ailleurs, le gestionnaire de mots de passe permet :

La centralisation et la gestion des accès

Tous les mots de passe sont sauvegardés dans un coffre-fort crypté qui est, à son tour, protégé par un mot de passe maître. Le gestionnaire de mots de passe remplit automatiquement les informations de connexion que vous avez enregistrées sur différents sites web ou applications. De ce fait, tous les utilisateurs ne sont plus contraints de mémoriser des identifiants pour chaque compte en ligne ou de les saisir manuellement à chaque connexion. Cela constitue un avantage considérable en termes de gain de temps et donne l’occasion de se focaliser sur des activités plus productives.

De plus, si un membre de l'équipe quitte votre entreprise, il vous sera facile de supprimer son compte et de changer en deux ou trois clics les identifiants auxquels il avait accès. En effet, les gestionnaires de mots de passe intègrent souvent un générateur de mots de passe. C’est un logiciel qui utilise des algorithmes sophistiqués afin de créer des codes d’accès robustes, et ce, en quelques secondes seulement. Pour toute personne soucieuse de la sécurité de ses informations en ligne, cet outil est un indispensable.

Le partage sécurisé

Le partage d’identifiant ou de tout autre élément est encodé grâce au gestionnaire de mots de passe. Cela évite d’écrire les informations sensibles sur un carnet ou un bloc-notes, ou encore de les envoyer via des courriers électroniques, des pratiques hautement risquées. 

Le partage via les groupes utilisateurs

Le gestionnaire de mots de passe offre la possibilité de partager des identifiants de manière ciblée en fonction de différents critères (secteurs d'activité, types de ressource, etc.). Si vous possédez un annuaire dans votre entreprise, alors chacun de vos collaborateurs peut accéder aux bons mots de passe en temps réel. Par exemple, un employé qui change de poste ou de département voit ses droits d'accès mis à jour automatiquement en fonction de son groupe dans le répertoire.

Sachez d’ailleurs que si le partage de documents sensibles et volumineux est courant dans votre entreprise, alors notre solution LockTransfer est faite pour vous. Avec une protection chiffrée AES ou « Advanced Encryption Standard », l’envoi et la réception de vos fichiers sont hautement sécurisés. C’est en effet l’un des algorithmes de cryptage les plus sûrs et les plus puissants au monde. De plus, il vous est possible de modifier à tout moment les paramètres du transfert selon vos besoins. Vous avez ainsi la possibilité de :

• Désactiver l’accès au document que vous avez envoyé ;
• Restreindre le nombre de téléchargements autorisés ;
• Inclure une date d’expiration du lien ;
• etc.

Le choix vous appartient, car vous aurez un contrôle total sur vos données. D’ailleurs, il est aussi possible de transférer en toute sécurité des éléments stockés dans le coffre-fort à une personne ne disposant pas de LockTransfer.

Au-delà du partage, la traçabilité !

La possibilité de s'échanger des informations en toute sécurité est un atout appréciable, mais il est encore plus avantageux d'avoir un système de traçabilité intégré. En effet, un bon gestionnaire de mots de passe en possède un et vous offre la possibilité de : 

Avoir une traçabilité pointue sur les accès

Toute action est enregistrée dans le système chaque fois qu'un mot de passe est employé pour accéder à un compte ou à une application. Ceci donne aux gérants la possibilité de suivre les activités des utilisateurs et de détecter rapidement toute opération suspecte ou non autorisée. Qui a ajouté, supprimé ou modifié tel ou tel accès ou fichiers À quelle date ? Depuis quelle adresse IP ? L'ensemble de ces informations est visible depuis le tableau de bord de l’administrateur. De plus, cette traçabilité pointue sur les accès aide à répondre aux exigences de conformité et de réglementation autour de la gestion de mots de passe. 

Avoir des rapports de droit disponibles pour chaque collaborateur

Avec un bon logiciel de sécurité, les administrateurs peuvent facilement générer des rapports détaillés. Ces derniers indiquent en général les comptes de chaque employé, les applications auxquelles ils ont accès ainsi que les privilèges qui y sont associés. Cela offre la possibilité de maintenir un contrôle efficace sur l'accès aux informations sensibles de l'entreprise. Sans compter sur l’assurance que chacun des usagers dispose uniquement des autorisations nécessaires pour effectuer son travail. D’un autre côté, les rapports de droits aident à simplifier le processus de gestion des accès. Ils octroient la possibilité aux administrateurs de mettre à jour les privilèges des utilisateurs ou de supprimer les identifiants inutilisés.

À noter d’ailleurs que la possibilité de remonter tout cela dans un SIEM (Security Information and Event Management) est également prise en compte par certains gestionnaires de mots de passe. Pour rappel, c’est un système de sécurité informatique qui collecte, stocke et analyse les données générées par les différents équipements d'un réseau informatique. Les informations recueillies sont ensuite agrégées, étudiées et corrélées afin de détecter les menaces potentielles. Elle permet aussi d’apporter une vue d'ensemble des événements de sécurité sur l'ensemble du réseau.

Grosso modo, cette technologie fournit des fonctionnalités de :

• Surveillance en temps réel ;
• Alertes ;
• Rapport de sécurité.

Combiné avec un gestionnaire de mots de passe, le SIEM renforce considérablement la protection des données ainsi que les ressources d’une entreprise contre les cyberattaques.

Notre suite LockSelf 100 % française vous permet de profiter de toutes ces fonctionnalités. Nul besoin d’une compétence avérée en technologie, nous avons conçu notre plateforme dans le souci d’être accessible à tous, quel que soit le niveau. Vous avez ainsi la possibilité de consulter vos données n'importe où et à tout moment, que ce soit depuis votre ordinateur portable ou votre Smartphone (iOS & Android). En plus de cela, notre solution intègre une authentification à deux facteurs (2FA) pour vous garantir que seules les personnes autorisées accèdent à vos données.