Le partage de mots de passe sur Slack : une pratique risquée
Veillez à ce que vos collaborateurs adoptent les bons réflexes et partagent leurs mots de passe sur une plateforme sécurisée.
Partager un mot de passe en toute sécurité, ce n'est pas une mince affaire.
Les organisations qui appliquent une politique stricte en matière de mots de passe demandent bien souvent à un expert informatique de générer aléatoirement les identifiants de chaque employé. C'est une bonne initiative qui pose toutefois un problème de taille.
C'est bien beau de créer un mot de passe fort et aléatoire qui contient plus de 8 lettres majuscules et minuscules, mais aussi des chiffres et des caractères spéciaux... mais comment le communiquer de façon sûre à son utilisateur final ?
Bien entendu, l'écrire sur un bout de papier n'est pas une option.
Le plus souvent, les équipes informatique utiliseront pour cela un canal de communication éprouvé (à leurs yeux). Le choix se porte généralement sur Slack, que de nombreux employés utilisent déjà pour échanger entre eux.
Pourtant, Slack, WhatsApp et la grande majorité des plateformes de communication ne sont pas assez sécurisées pour y faire transiter des mots de passe. Les responsables informatique doivent veiller à la confidentialité des mots de passe de l'entreprise tout en améliorant l'expérience utilisateur des employés.
Proscrire le partage de mots de passe : une mauvaise idée
Dans un souci de sécurité, les responsables informatique peuvent avoir pour premier réflexe de proscrire le partage de mots de passe. En théorie, cela résout le problème. Mais en pratique, cela aura uniquement pour effet de pousser les employés à partager leurs identifiants sur des canaux externes, non officiels et non sécurisés.
Au final, quelles que soient les mesures appliquées, vos collaborateurs continueront toujours à partager leurs mots de passe. L'idéal est d'accepter ce constat pour réguler au mieux cette pratique.
D'ailleurs, une récente enquête commandée par Dashlane révèle que pour près d'un tiers des experts informatique, le partage de mots de passe entre employés dans un environnement non sécurisé est un phénomène qu'ils ont déjà observé dans leur entreprise.
En 2007, les équipes informatique devaient gérer en moyenne 25 comptes par collaborateur. D'après les études, ce chiffre s'établirait désormais à 200 comptes par employé. Cela revient à générer 200 suites aléatoires et uniques de chiffres, de lettres et de caractères spéciaux (si l'on suit les bonnes pratiques de sécurité).
Aucun employé ne saurait mémoriser un tel nombre de combinaisons. C'est tout simplement infaisable.
Il arrive aussi souvent que plusieurs employés se partagent l'accès à un même compte souscrit auprès d'une plateforme ou d'un service tiers. C'est une pratique dangereuse, car elle crée des conditions propices à une faille d'envergure qui pourrait affecter différents comptes dans plusieurs services de votre entreprise.
La solution à ce casse-tête informatique ? Utiliser un logiciel de gestion des mots de passe. Un tel outil vous aidera dans votre tâche, à savoir veiller à ce que chaque collaborateur emploie un mot de passe fort et unique pour chacun de ses comptes.
Un gestionnaire pour enrayer les partages non sécurisés
Les responsables informatique et les experts en cybersécurité seront les premiers à vous dire qu'il est primordial de ne jamais réutiliser un mot de passe... mais ce seront également les premiers à vous dire que cette règle est peu suivie : beaucoup de personnes utilisent un seul et même mot de passe pour accéder à plusieurs comptes et services.
Lorsque les employés partagent leurs mots de passe entre eux, les risques sont encore plus grands. Si un pirate venait à mettre la main sur un mot de passe réutilisé, il pourrait non seulement accéder à l'ensemble des comptes associés à celui-ci, mais aussi étendre son attaque à d'autres services en tentant de le saisir ailleurs.
Pour veiller à la confidentialité de vos mots de passe, vous devez utiliser un gestionnaire capable de générer des mots de passe complexes, mais aussi de les attribuer et de les communiquer de façon sécurisée. Une solution de ce type a pour grand avantage d'automatiser le processus de création et de mémorisation des mots de passe.
Les gestionnaires de mots de passe permettent également de limiter la casse en cas d'identifiant compromis. À la différence du scénario évoqué plus haut, un pirate éventuel pourra seulement accéder au compte qui est associé au mot de passe qu'il a dérobé. Il sera bloqué net car aucun identifiant n'est réutilisé, donc impossible pour lui d'accéder à une multitude de comptes au sein de l'entreprise.
En raison de leur robustesse, les mots de passe générés par un gestionnaire sont un rempart inviolable face aux attaques par force brute. Pourquoi ? Les cybercriminels auraient besoin de deviner correctement le mot de passe Maître d'un employé, ce qui est plus facile à dire qu'à faire.
Et si un mot de passe Maître est piraté ?
Imaginons un instant le pire scénario qui soit : un pirate met la main sur le mot de passe Maître d'un employé.
Les gestionnaires de mots de passe sont aussi d'une aide précieuse pour circonscrire les incidents. En effet, si le mot de passe Maître d'un employé est compromis, le service informatique peut immédiatement réinitialiser l'ensemble des identifiants associés à cet utilisateur. Un tel logiciel lui permettra également d'identifier de quelle façon (où, quand et comment) ce mot de passe s'est retrouvé entre de mauvaises mains.
Ne prenez pas cette menace à la légère : en contexte professionnel, un mot de passe compromis peut être très dommageable. En optant pour un gestionnaire de mots de passe, vous pourrez circonscrire la menace.
Sans solution de gestion digne de ce nom, un compte compromis suffit pour permettre aux cybercriminels d'en pirater une dizaine d'autres. En effet, ce sont bien souvent les utilisateurs qui se font dérober leurs identifiants qui utilisent un même mot de passe pour tous leurs comptes.
Utilisez un gestionnaire de mots de passe dernier cri pour protéger les comptes de votre entreprise et donner à vos collaborateurs une plateforme sécurisée où partager leurs mots de passe.
Inscrivez-vous pour connaître toute l'actualité de Dashlane