Sécurité

A-t-on uniquement besoin d’un gestionnaire de mots de passe?

Avant de vous procurer une solution de gestion des mots de passe, votre entreprise doit se poser une question fondamentale : est-ce tout ce dont nous avons besoin? Étonnamment, la réponse risque fort bien d’être non.

Gabriel Caron Landry

En tant que gestionnaire des ventes, mon rôle est de rendre possible une expérience de qualité pour les clients de Devolutions. En mettant à profit mon énergie et mon expertise, je contribue grandement à la réalisation des plans de croissance globaux de l’entreprise. Je suis un grand amateur de la technologie, en particulier de son extraordinaire capacité à accélérer le rythme des affaires. D’ailleurs, mon mémoire de maîtrise en administration des affaires traitait de l'apport des technologies pour ce qui est du financement des INV, sujet qui me fascine depuis. J’ai fait quelques recherches dans ma région pour dénicher des entreprises qui pratiquaient ce modèle d’affaires, et c’est ainsi que j’ai découvert Devolutions! Mis à part ma passion pour les technologies, je clame haut et fort mon amour du golf et du long drive. Par chance, j’ai l’occasion d’allier le plaisir au travail en dirigeant un complexe de simulation de golf intérieur et en créant un programme de golf pour une municipalité de la région.

Afficher plus d'articles

Si votre entreprise est à la recherche d’une solution de gestion des mots de passe, alors il vous faut répondre aux questions essentielles avant d’effectuer un achat que vous pourriez regretter. Il n’est pas seulement question de coûts, de compatibilité et de conformité. La vraie question est celle-ci : a-t-on seulement besoin d’un gestionnaire de mots de passe? Croyez-le ou non, la réponse est très probablement non.

Une réponse à certains besoins des entreprises? Oui.

Voici l’essence du problème : le terme « gestionnaire de mots de passe » fut inventé il y a quelques années, dans un contexte strictement marketing, pour jouer sur les deux besoins fondamentaux des entreprises, à savoir la sécurité (sous-entendue par la dénomination « mots de passe ») et l’efficience (signifiée par « gestionnaire »).

Il est donc juste de dire que les gestionnaires de mots de passe servent d’abord les entreprises. En revanche, et contrairement à la croyance populaire, ils ne sont pas intrinsèquement sécurisés.

Dans les faits, un gestionnaire de mots de passe n’est qu’un moyen centralisé de gérer des données. On peut également considérer que l’on utilise un système de gestion des mots de passe dès que l’on partage et gère des données. Faut-il en conclure qu’une simple feuille Excel, aussi peu sécurisée soit-elle, constitue une forme de « gestionnaire de mots de passe »? En quelque sorte, oui! En fait, la plupart des gestionnaires de mots de passe sur le marché ne comprennent qu’un seul coffre partagé entre tous les utilisateurs (techniciens ou non) sans possibilité de contrôler les accès.

Encore une fois, les gestionnaires de mots de passe existent pour centraliser et gérer les données. Ils ne sont pas conçus pour être sûrs, mais bien pour faciliter la continuité des activités.

Sûrs? Pas du tout.

Les gestionnaires de mots de passe permettent aux utilisateurs finaux de partager des coffres contenant toutes sortes d’informations, parmi lesquelles : des identifiants Web, des informations de cartes de crédit et de connexions à distance, des documents, etc. Au cas où un utilisateur final quitte son entreprise, alors ses anciens collègues n’ont pas à fouiller partout dans ses feuilles de calcul, ses blocs-notes, ses dossiers, etc. À la place, ils peuvent trouver facilement et rapidement ce qu’ils cherchent dans un coffre partagé. Cette façon de faire est certes expéditive, mais elle n’est pas sûre. En effet, il est aisé pour un utilisateur final de copier-coller des identifiants dans un autre fichier et l’emporter avec lui.

Malheureusement, les gestionnaires de mots de passe actuellement sur le marché sont incapables de régler cette situation, et ce, encore qu’ils soient considérés comme « sûrs ». La seule manière connue de les rendre sûrs est de changer tous les mots de passe à chaque fois qu’un utilisateur quitte son emploi. Inutile de préciser que cette solution n’est pas réaliste. Serait-il possible de réinitialiser les mots de passe automatiquement après chaque utilisation? Cette fonctionnalité est presque impossible pour les applications tierces et les mots de passe Web. Concrètement, la seule option qui allie efficacement sécurité et pratique est de cacher les mots de passe et de pratiquer l’injection d’identifiants. Les détails de cette méthode seront expliqués davantage plus loin dans cet article.

Qu’est-ce que ça signifie pour votre entreprise? Voici la choquante réalité : si vous vous procurez seulement un gestionnaire de mots de passe, alors vous vous assurez bel et bien de la continuité des activités, mais pas leur sécurité. C’est ce que vous choisissez de faire avec les mots de passe, et comment vous vous y prenez, qui détermine votre niveau de sécurité.

Les « fonctionnalités réactives » des gestionnaires de mots de passe

Alors que vous examinez différents gestionnaires de mots de passe, et il y en a plus d’un, vous découvrirez des produits munis de fonctionnalités telles que :

  • Le contrôle d’accès basé sur les rôles (RBAC);
  • La vérification des mots de passe piratés;
  • Des politiques de mots de passe;
  • Des modules complémentaires;
  • La journalisation.

Ces fonctionnalités appartiennent généralement à la catégorie « sécurité », telle que décrite par les vendeurs. Cependant, elles ne rendent pas votre entreprise plus sûre! Nous devrions plutôt les désigner par l’appellation « fonctionnalités réactives » puisqu’elles servent à signaler des problèmes potentiels. Ces fonctionnalités ne constituent donc pas le fin mot de la sécurité au sein de votre entreprise.

Le rôle des gestionnaires de mots de passe

Malgré leurs importantes limitations, les gestionnaires de mots de passe ont mérité leur place dans le paysage des affaires (bien qu’il s’agisse plus d’outils pour assurer la continuité des activités). Ils sont particulièrement utiles pour les utilisateurs professionnels (mais non-techniciens) qui ont de la difficulté à mémoriser une interminable liste de mots de passe forts et uniques. D’ailleurs, les chercheurs affirment que l’utilisateur professionnel moyen dispose maintenant d’un impressionnant total de 191 mots de passe!

Par contre, c’est tout ce qu’indiquent les cas d’utilisation pour les gestionnaires de mots de passe. Les techniciens (ex. : les administrateurs système et le personnel de soutien technique) travaillent dans des zones où le risque est bien réel et où la sécurité se doit d’être à son maximum. Pour eux, un gestionnaire de mots de passe n’est pas suffisant en lui-même. Par chance, il existe une manière concrète ayant fait ses preuves pour remédier à ce problème de sécurité.

Suppléer les gestionnaires de mots de passe avec la gestion des sessions privilégiées (PSM) ou la gestion des accès privilégiés (PAM)

Un gestionnaire de mots de passe qui fonctionne également comme une solution de sécurité robuste et viable, et non seulement comme un outil de continuité des activités, prend en charge des fonctionnalités telles que :

  • L’injection sécurisée des identifiants;
  • La détection de compte;
  • La rotation automatique des mots de passe;
  • Des alertes et des notifications;
  • Un processus d’approbation des demandes de réservation.

Dès que vous vous concentrez sur ces fonctionnalités de sécurité essentielles, un gestionnaire de mots de passe cesse d’être l’unique solution envisageable. Vous pénétrez alors dans le domaine de la gestion des sessions privilégiées (PSM) ou de la gestion des accès privilégiés (PAM).

Une manière simple de déterminer quels sont vos besoins

Comment savoir si vous avez besoin d’un gestionnaire de mots de passe doté de fonctionnalités PSM ou d’un gestionnaire renforcé par des fonctionnalités PAM? Voici une liste utile pour arriver à départager ces deux possibilités :

Vous avez probablement besoin d’un gestionnaire de mots de passe + PSM si :

  • La solution sera utilisée par des techniciens;
  • Vous désirez lancer des connexions automatiquement;
  • Vous voulez faire en sorte que les utilisateurs finaux ne voient pas leurs mots de passe.

Vous avez probablement besoin d’un gestionnaire de mots de passe+ PAM si :

  • Vous souhaitez que vos mots de passe soient changés ou réinitialisés;
  • Vous voulez disposer d’options de détection de compte;
  • Vous êtes intéressés pas un processus d’approbation des demandes de réservation.

Et bien sûr, si vous vous reconnaissez dans la liste entière, alors vous avez besoin d’un gestionnaire de mots de passe avec des fonctionnalités PSM et PAM.

Le mot de la fin

Les gestionnaires de mots de passe ne sont pas problématiques en soi. Ils ont un rôle à jouer et offrent des options de convivialité et d’efficience intéressantes. Toutefois, les gestionnaires de mots de passe ne constituent pas une solution de sécurité viable en eux-mêmes puisqu’ils ne disposent pas de fonctionnalités TI avancées, et ce, malgré la publicité mensongère qui leur est associée.

Pour assurer à la fois l’efficience et la sécurité de ses méthodes, votre entreprise doit se munir d’un gestionnaire de mots de passe doublé de fonctionnalités PSM ou PAM (voire les deux). Avec cette démarche et cette infrastructure, les utilisateurs de votre entreprise demeureront productifs et efficaces, et votre personnel TI disposera du contrôle, de la visibilité et des capacités de rapport dont il a besoin pour assurer la sécurité et la conformité de votre entreprise.

Articles similaires

Lire plus d'articles dans la section Sécurité