IAM – 1. Vers une sécurité vraiment efficace

Voici le premier article d’une série sur le sujet de la Gestion d’identité ou IAM (Identity and Access Management). Nous allons donc aborder les thèmes relatifs à l’identité dans l’entreprise. L’identité se réfère à tout ce qui caractérise l’individu, tout ce qui le représente. Nous évoquerons les thèmes de la sécurité, de l’accès à l’information sur les individus, des processus en entreprise…

Venez les découvrir dans les semaines à venir.

Aujourd’hui, l’article démontre qu’une politique de mots de passe, aussi sévère soit-elle, peut s’avérer être totalement inefficace…

Discussion sur mon entrée dans le monde du travail.

– Bonjour Sophie, comment ça se passe dans ta nouvelle entreprise ?
– J’y suis depuis 6 mois, ça se passe bien, mais j’avoue que je n’arrive toujours pas à me faire à toute cette sécurité. C’est d’un compliqué…
– Comment ça ? La sécurité, c’est obligatoire, avec tous ces virus et ces pirates…
– Je t’explique : il a d’abord fallu que je change mon mot de passe Windows. Je devais le créer en mettant au moins une majuscule, un chiffre et une minuscule. Et puis, en plus, il fallait qu’il fasse au moins 8 caractères ! C’était dur de m’en souvenir, surtout que j’ai du appeler l’administrateur plusieurs fois parce que je l’avais oublié.
– Oui, moi aussi ça m’est arrivé.
– Attends ! C’est pas tout. Ensuite j’ai eu une messagerie, avec un autre mot de passe. On m’a dit de l’enregistrer dans l’ordinateur. Mais quand il a fallu le changer, 3 mois après, impossible de m’en souvenir !
– Chez nous, on ne le change jamais.
– C’est la même histoire pour tous mes logiciels. Je dois choisir un mot de passe tordu à chaque fois que je dois changer au bout de 3 mois. Je ne m’en sors plus. Je peux te dire que l’administrateur commence à me connaître.
– J’ai la solution ! Tu n’as qu’à faire comme moi : note tous tes mots de passe sur des post’it que tu mets sous le clavier et à chaque fois que tu en as besoin, tu l’as sous la main…

Une politique rigoureuse n’est pas toujours synonyme d’efficacité.

Une politique de mots de passe aussi rigoureuse entraîne des failles de sécurité là où on ne s’y attend pas. La politique appliquée ici protège inefficacement le SI. Certes, les mots de passe sont compliqués et donc difficiles à casser pour un hacker, mais les utilisateurs ne s’en souviennent pas. Donc, soit les utilisateurs notent les mots de passe en clair sous leur clavier, sur leur écran ou encore sur une feuille de papier qui traîne sur le bureau, soit ils ne s’en souviennent plus et le helpdesk passe 50% de son temps à réinitialiser les mots de passe pour chaque utilisateur de l’entreprise.

Contraindre les utilisateurs à créer des mots de passe compliqués pour protéger le SI, ne les obligera jamais à se souvenir de leurs multiples mots de passe.

Il existe toujours la série de « questions / réponses » qui permet de retrouver un mot de passe oublié. Cette solution est efficace pour un mot de passe, mais fait perdre beaucoup de temps si elle s’applique à plus de deux mots de passe.

Une solution, à ne surtout pas envisager aujourd’hui serait d’assouplir la politique de mots de passe. C’est revenir en arrière et de plus cela faciliterait le travail des hackers.

Comment faire alors ? Existe-t-il des solutions pour verrouiller efficacement l’accès au SI ?

Il existe, en effet, des solutions pour verrouiller efficacement l’accès au SI et éviter les fuites des mots de passe par les utilisateurs. Il est possible de renforcer d’avantage sa politique de mots de passe tout en facilitant l’accès aux applications du SI par les utilisateurs.

Implémenter une politique de mots de passe efficace permet de gagner

  • en sécurité – le Système d’Informations est mieux protégé.
  • en productivité – les utilisateurs seront plus productifs.
  • en retour sur investissement – le temps perdu pour les interventions sur les mots de passe du helpdesk ou des administrateurs système deviendra négligeable.

Thierry ALBAIN

    2 Responses to “IAM – 1. Vers une sécurité vraiment efficace”


    1. 1 Frédéric Tu 22/04/2008 à 09:53

      Bonne mise en bouche, mais on attend la suite!! :)Il existe aussi une logique amont qui est le fait de créer des zones de différentes confiances (afin qu’un mot de passe cracké puisse être confiné dans une zone réduite ET de même niveau de confidentialité). Cela passe aussi par la limitation des droits dans une application aux opérations qu’il lui sont nécessaires…Je m’impatience là, allez j’attend la suite..

    2. 2 Guillaume 21/05/2008 à 18:12

      Effectivement, bonne mise en bouche. Mais ce n’est qu’une infime partie du projet iam. il faut définir l’identité de la personne, et ensuite lui affecter des droits, et enfin les mots de passe, on peut lui faciliter la vie en lui mettant en place un SSO, un facile à mettreen place le SSO Web, un plus difficile le SSO poste qui lui doit être concu dès le début.


    Laisser un commentaire

    Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

    Logo WordPress.com

    Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

    Photo Google+

    Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

    Image Twitter

    Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

    Photo Facebook

    Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

    Connexion à %s




    Mises à jour Twitter

    Erreur : Twitter ne répond pas. Veuillez patienter quelques minutes avant d'actualiser cette page.

    Entrer votre adresse e-mail pour vous inscrire a ce blog et recevoir les notifications des nouveaux articles par e-mail.

    Rejoignez 29 autres abonnés

    Catégories

    Statistiques

    • 64 124 hits

    %d blogueurs aiment cette page :