La problématique de la sécurité informatique dans l’entreprise est franchement compliquée car elle concerne non seulement les services informatiques mais aussi tous les salariés en contact direct avec le système d’information interne ainsi que les personnes de l’extérieur en charge des services et moyens externalisés chez un hébergeur.

Chaque utilisateur dispose généralement d’un nom de connexion (login) et d’un mot de passe qui sont habituellement créés par le service informatique. Ce même service gère en parallèle les droits d’accès permettant de hiérarchiser individuellement les autorisations de connexion sur tel ou tel domaine du système d’information de l’entreprise.

La règle veut que les mots de passe soient changés régulièrement pour éviter tout risque. Cette création peut s’effectuer de façon artisanale ou s’appuyer sur une application qui les génère automatiquement (parfois ces règles sont faciles à déceler).

Il faut ensuite mémoriser, stocker ces mots de passe dans une base de données. Cet espace de stockage de données doit à la fois être très accessible (sous peine de bloquer le fonctionnement de l’entreprise) et bien protégé des tentatives de pénétrations agressives.

Si l’accès au système d’information repose sur un mot de passe, il est nécessaire que son titulaire fasse l’effort de la mémoriser à chaque fois qu’il est changé ce qui est loin d’être évident. Il n’est alors pas rare de trouver cet assemblage de lettres et de chiffres plus ou moins intelligibles retranscris sur un « post-it » collé n’importe où, ou caché sous un sous main :o)

La prolifération des mots de passe

Le problème devient complexe lorsqu’il existe un mot de passe pour ouvrir chaque poste de travail, un autre pour donner accès aux différentes applications métier, que celles-ci soient internes (gestion des commandes, des documents, des stocks, des paiements) et des interfaces externes (gestion commandes chez un fournisseur ou un prestataire, encore un troisième pour la mise à jour de sites internet hébergés, etc.)

Le nombre de mots de passe à utiliser (par facilité ces mots de passe ne sont pas toujours différents) devient rapidement un souci et peu d’entreprises, surtout de taille moyenne ou modeste, gèrent cet aspect de leur sécurité de façon simple et efficace, ne serait-ce que le renouvellement régulier des précieux sésames !

Le recours au contrôle électronique (badge) ou à la biométrie (prise d’empreinte, reconnaissance faciale) n’est pas à la portée de toutes les entreprises mais, surtout, n’est pas à l’abri des défaillances humaines. Il n’est en effet pas si rare de voir un employé quitter une société (en bon ou en mauvais terme) et que l’on se rende compte, quelques mois plus tard, que son nom de connexion (login) et son mot de passe sont toujours opérationnels ! Problème de communication entre la DRH et la DSI ? Défaillance dans la synchronisation des bases de données d’effectifs et de contrôle d’accès ? De tels dysfonctionnements peuvent s’avérer effectivement dangereux si l’on n’y prend pas garde et il convient évidement de vérifier très régulièrement la liste nominative des salariés et leur niveau d’accréditation dans le système d’information de l’entreprise.

La gestion des mots de passe personnels devient un véritable casse-tête lorsque l’on utilise le web pour faire ses courses, acheter des billets de train ou d’avion, consulter son compte en banque, etc.

A cela s’ajoutent le code PIN du smartphone, celui de la ou des cartes bancaires et des différents comptes de réseaux sociaux et autres newsletters. Certes, les mots de passe peuvent être mémorisés dans un « trousseau » ou par une fonction du logiciel de navigation utilisé pour aller sur le web mais ce mode de conservation n’est pas vraiment protégé contre les intrusions et que se passe-t-il si le disque dur défaillit ? On peut évidemment noter les codes dans un fichier crypté sur une clé USB cachée au fond d’un tiroir ou utiliser toujours le même mot de passe, ce qui est une aubaine pour les hackers.

Prendre la sécurité au sérieux

Une des solutions pour diminuer les risques consiste à mettre en place une vraie politique de gestion des codes et mots de passe utilisés en imposant un code de « bonnes pratiques » à tous les collaborateurs. Mais il faut également communiquer et expliquer aux salariés de tous niveaux le pourquoi de ces mesures qui sont parfois vécues comme des contraintes. Il faut leur expliquer les risques encourus et les dangers qui peuvent peser sur la vie même d’une entreprise qui ne prend pas au sérieux sa sécurité informatique et celle de ses locaux.

Patricia

@patriciaponcy