Utilisé par une grande majorité des DSI française, Keepass présente pourtant des limites fortes, notamment sur la gestion des accès.
Créé en 2003 par un ingénieur allemand (Dominik Reichl), Keepass s’appuie sur une communauté engagée permettant à la solution de garantir un haut niveau de transparence…et de sécurité !
C’est d’ailleurs l’un des seuls gestionnaires de mots de passe certifiés par l’ANSSI aux côtés de… LockPass 🙂 Cette certification lui permet de rassurer les utilisateurs sur la robustesse de l’application et l’utilisation des mécanismes de chiffrement à l’état de l’art.
Au-delà de la sécurité et de l’attrait de l’open source, l’un de ses points forts est sa gratuité. Et même si open source et gratuité vont souvent de pair, ce n’est pas toujours le cas !
Pendant très longtemps, les DSI ont dû batailler pour débloquer du budget afin de limiter les mauvaises pratiques liées à la gestion des mots de passe. Keepass fût donc un excellent moyen de sécuriser les accès d’une DSI à moindre coût.
Avoir ses mots de passe stockés directement sur votre device peut poser question en termes d’accessibilité, notamment en cas de ransomwares par exemple.
Cependant, ce client lourd présente l’avantage de pouvoir gérer l’accès à des applications lourdes ou des clés spécifiques type clés SSH. Un vrai plus pour les administrateurs Systèmes par exemple.
Les mots de passe d’une équipe et notamment ceux de la DSI sont des assets très sensibles.
Ils constituent en fait les portes d’entrées vers de nombreuses ressources d’une organisation et leur récupération par un tiers ou leur perte peut entraîner un arrêt pur et simple de l’activité.
Ainsi, certaines DSI font le choix de privilégier un hébergement en interne, en On-Premise.
En effet, de par la criticité de certaines infrastructures gérées ou parfois pour des raisons légales, le stockage des mots de passe sur le cloud est tout simplement proscrit.
C’est l’une des faiblesses récurrentes de Keepass : la gestion des accès et le partage des mots de passe.
L’outil permet de chiffrer les mots de passe et limite donc les portes d’entrées au sein de l’organisation mais il omet tout un pan d’une SSI béton, à savoir le cloisonnement des accès.
La question du “Qui a accès à quoi ?” étant de plus en plus centrale dans la mise en place de bonnes pratiques et de process SSI, il devient donc indispensable de pouvoir définir de manière granulaire à quel mot de passe peut accéder quelle ressource à quel moment.
L’alternative ? La création de plusieurs bases Keepass partagées qui viennent s’ajouter aux bases individuelles et permettent d’assurer ce fameux cloisonnement…de manière court-termiste !
On vous en dit plus juste en dessous 👇
En effet, Keepass ne permet pas de mettre en place une approche centralisée.
Une multiplication des bases Keepass va donc avoir plusieurs effets :
Perte de contrôle sur la qualité de vos mots de passe : Mots de passe pas à jour.
Pas de vision globale sur les mots de passe partagés pour les profils ADMIN.
Un bon gestionnaire de mots de passe doit permettre à une DSI de (re)prendre le contrôle sur l’ensemble des mots de passe et de mettre en place une politique de mots de passe et de cloisonnement à l’échelle de l’organisation.
Autre faiblesse liée à la décentralisation, le manque de traçabilité et de suivi sur les actions effectuées par les équipes (utilisation, création, modification, suppression).
Sécuriser et gérer de manière structurée les mots de passe de la DSI constitue l’une des premières briques d’une protection cyber réussie.
Cependant, la plupart des équipes / directions d’une organisation gère et partage des mots de passe.
Est-ce que Keepass est adaptée à leurs usages ? Ce n’est évidemment pas le cas.
Est-ce que leurs mots de passe sont critiques ? On vous partage quelques exemples :
En effet, avec Keepass, vos mots de passe sont directement stockés en local, sur votre device.
Posez-vous donc bien la question du niveau de sécurité de votre device vs le niveau de sécurité d’un cloud provider ou de vos serveurs dans le cadre d’un hébergement On-Premises.
Même si une approche cloud n’est pas la réponse ultime, la question des back-up doit être centrale dans votre stratégie de protection des mots de passe entreprise.