Selon la grande majorité des RSSI, la plus grande menace à laquelle ils font face est l’être humain. Dans le même temps, ils affirment à l’unanimité, ou presque, pratiquer la sécurité sur la base de la gestion des risques. On peut donc s’attendre à ce que l’être humain soit la base de leur programme de sécurité et leur principale attention.
Or, trop souvent, leurs seules actions concrètes restent uniquement le programme de sensibilisation à la sécurité dont l’efficacité me parait bien discutable vu le nombre de mots de passe que l’on retrouve dans les documentations, documents bureautique ainsi que sur le bon vieux Post-it… Et je ne parle pas de la complexité de ces mots de passe !
sensibiliser les employés aux risques est-il une bonne solution ?
Mon avis est catégorique : NON.
Avez-vous fait une recherche dans vos outils de partage de connaissance (ou serveurs de fichiers) avec les mots clés « mot de passe » et « admin » ? Autant prévenir ceux qui ne l’ont pas fait : vous risquez d’être affligés et vous allez vous demander à quoi ça sert d’expliquer depuis des années que l’on n'écrit pas son mot de passe, ni sur papier, ni dans un document bureautique...
Pour les autres, j’espère que vous n’êtes pas trop abattu et que vous n’avez pas déjà baissé les bras. Dans ce contexte, est-ce que la folie ne serait pas de continuer de faire la même chose, en espérant un résultat différent ?
et si nous changions nos méthodes ?
L’un des principes fondamentaux de notre société est « traite les autres comme tu aimerais être traité ». Autant le dire de suite, je n’y crois pas et en tout cas il ne marche pas avec moi. Je pense qu’il devrait être modifié pour devenir : « traite les autres comme ils aimeraient être traités ». Cette subtile nuance change tout : il faut désormais se mettre à la place des employés, des utilisateurs de systèmes d’informations et comprendre pourquoi ils continuent à créer des mots de passe simplistes et les écrire partout, ou presque.
Lorsqu’on se met à la place de ses collègues, on constate de suite qu’ils sont soumis à beaucoup de pression : il faut livrer vite et, si possible, mieux (remarque : comme nous). Créer un mot de passe complexe leur prend du temps, surtout qu’il faut trouver un moyen mnémotechnique pour s’en rappeler (puisque je n’ai pas le droit de l’écrire). Un mot de passe avec des caractères spéciaux crée des problèmes dans les multinationales : en effet, lorsque je me connecte avec une machine dans un autre pays, le caractère n’existe potentiellement pas sur le clavier… (et comme je n’ai pas les droits administrateurs sur la machine, pour des raisons de sécurité, si ça se trouve je ne peux même pas changer les paramètres internationaux du clavier… de toute façon encore faut-il avoir réussi à se connecter pour le changer).
Utiliser des mots de passes complexes complexifie la vie de personnes qui doivent être efficaces… Bref, on leur pourrit la vie.
que puis-je faire, sans budget supplémentaire ?
Personnellement, j’ai retiré les mots de passe du programme de sensibilisation. J’en parle plus.
Je fais une démonstration d’un outil de gestion des mots (gratuit). Pour entrer un mot de passe, vous appuyer simultanément sur CTRL – ALT – A, et c’est fait. C’est plus rapide que les sténographes, l’utilisateur est ravi. "Pour créer un mot de passe complexe et s’en rappeler, tu cliques sur ce bouton et celui-là, un copier-coller dans ton application et c’est fait". Alors là, ils sont aux anges…
Ensuite, je m’assure qu’ils ont cet outil installé sur leur machine. Il existe de nombreux logiciels de ce type, parmi ceux-ci je citerai KeePass (www.keepass.info), un logiciel Open Source, gratuit, multi-plateforme, dont les fonctionnalités de synchronisation me permettent d'avoir mes mots de passe à jour sur plusieurs machines. Mais ce n'est évidemment pas le seul et je vous invite à les tester avant de faire votre choix.
Mon travail désormais n’est plus que de m’assurer que cet outil ne présente pas de vulnérabilité. En gros, je l’inclus dans le programme de gestion des vulnérabilités.
conclusion
Voilà un risque humain résolu simplement et sans budget supplémentaire. Bien sûr, il existe de multiples autres solutions, l’objectif demeurant le même : aider l’utilisateur à être plus efficace.
Je suis certain que vous vous dites : "oui mais ce n’est qu’un seul risque lié à l’être humain, il y en a d’autres". Dans un post à venir, je vous présenterai ma vision de la gestion des risques pour prendre en considération l’être humain et ses faiblesses.
Johny
PS : d'autres articles de ce blog relatifs aux mots de passe :
- vos mots de passe : une clé pour garder vos secrets bien au chaud (lien)
- la grande mascarade des mots de passe (lien)
- robustesse de vos mots de passe (lien)
- un nouveau générateur de password (lien)
crédit photo : © khosrork - Fotolia.com
Après avoir passé des années en tant qu’auditeur informatique auprès de KPMG, le besoin de résoudre les problèmes a été le plus fort. C’est assez naturellement que j’ai rejoint le groupe des consultants sécurité d’Orange Business pour la région EMEA.
J’officie depuis plusieurs années en tant que Responsable de la sécurité des systèmes d’informations pour des multinationales clientes d’Orange Business.