Vous avez probablement lu le titre de cet article et pensé “Pas moyen - mes utilisateurs ne partagent pas leurs mots de passe!” Il est raisonnable de penser cela. Après tout, vous connaissez mieux vos utilisateurs. Cependant, suspendons votre incrédulité pour un moment et considérons les conséquences si une telle activité se produit au sein de votre organisation.
L'un des plus grands risques pour une organisation aujourd'hui est la menace de violation de données. Les cybercriminels et les initiés sont tout à fait conscients de la valeur des données d'entreprise. Avec la répartition des acteurs de menace de violation de données étant 75% externe et 25% interne1, chaque scénario devient plus risqué lorsque le partage de mot de passe est ajouté à la combinaison.
Dans les attaques externes, les acteurs de la menace recherchent des informations d'identification (en anglais) à utiliser comme moyen d'étendre leur présence sur votre réseau. Si les utilisateurs partagent des mots de passe, l'acteur de la menace a accès à autant de jeux d’identifiants sur un point de terminaison donné, ce qui augmente leurs chances de réussite. Dans les scénarios de menaces internes, les initiés malveillants n'ont que l'accès que leurs propres informations d'identification leur fournissent. Mais s'ils sont les destinataires d'informations d'identification partagées, ils peuvent potentiellement augmenter la portée des données auxquelles ils ont accès pour commettre le vol de données, la fraude, etc.
Mais, le partage de mot de passe est-il vraiment une réalité chez les utilisateurs?
En un mot, oui. Dans une récente étude (en anglais) nous avons constaté que 49% des employés (des départements clés comme les services juridiques, les RH, les TI, les finances et d'autres) ont déclaré partager leurs identifiants avec leurs collègues2.
Ainsi, environ la moitié de vos utilisateurs partagent des mots de passe sans y réfléchir. Et, alors que vous pensez toujours “pas où je travaille”, je vous soumets que vous n'avez jamais vraiment demandé aux utilisateurs s'ils partagent des mots de passe, correct? Et même si vous l'avez fait, ils savent très bien que c’est mal vu - sinon carrément contre la politique de l'entreprise - alors ils ne vont pas vraiment vous dire "Oh oui! Je partage mon mot de passe avec Sally tout le temps! " Croyez-en les données - vos utilisateurs partagent leurs mots de passe.
Alors, comment mettez-vous un terme au partage de mot de passe?
Il y a quelques étapes à suivre:
Étape 1 – Mettre en œuvre et communiquer la politique de l'entreprise
La montée du Shadow IT au cours des années précédentes nous a appris que les utilisateurs laissés à eux-mêmes contourneront l'informatique pour faire leur travail. Cela peut inclure le partage de mot de passe. Ainsi, établir une politique d'entreprise interdisant le partage de mot de passe - et ensuite le communiquer aux utilisateurs - est la première étape nécessaire. Rappelez-vous, ce n'est pas mauvais jusqu'à ce que vous leur disiez que ça l’est.
Étape 2 – Renforcer les politiques par des contrôles
En supposant que vous travaillez dans un environnement Microsoft, Active Directory dispose d'un certain niveau de contrôle à partir de quels postes de travail et à quels moments de la journée un utilisateur donné peut se connecter au réseau. Bien que leur portée soit limitée au mieux (en réalité, AD ne parvient pas à fournir de vrais contrôles d'accès), vous devriez mettre quelque chose en place pour limiter quand et où le mot de passe de Sally peut être utilisé par un autre utilisateur.
Un ensemble de contrôles plus avancés, tels que la limitation des connexions simultanées et le forçage des déconnexions en dehors des heures autorisées, ne sont trouvés qu'en utilisant des solutions tierces.
Étape 3 – Surveiller les connexions
Les étapes 1 et 2 ont pour but de mettre en place un environnement peu favorable aux utilisateurs partageant des mots de passe. Mais pour être certain que ces politiques et contrôles fonctionnent, il est nécessaire de savoir qui se connecte où et quand. Rien ne permet de savoir si Sally s'est connectée à deux machines simultanément ou si elle se connecte de chez elle un dimanche à 3h du matin.
Malheureusement, Microsoft ne surveille pas de manière centralisée l'activité des connexions: c’est journalisée par système et nécessite, au minimum, la centralisation des journaux d'événements combiné avec une sorte d'analyse et d'alerte.
Ce que vous essayez d'obtenir ici, ce n'est pas seulement des informations - comme lorsque chaque utilisateur se connecte - mais une intelligence exploitable où vous êtes informé des anomalies qui sont potentiellement des violations de la politique de l'entreprise ou des signes avant-coureurs d'un comportement inapproprié.
Étant donné que les solutions centralisées sur les journaux d'événements n'ont généralement pas d'analyse (pour examiner plusieurs événements afin de déterminer si les ouvertures de session de Sally sont hors normes), vous devriez rechercher une solution tierce qui surveille spécifiquement l'activité des connexions..
Arrêter le partage de mot de passe
Au minimum, vous êtes au moins dans le camp “OK - donc le partage de mot de passe est une réalité” et vous réalisez que vous devez faire quelque chose à ce sujet. En prenant des mesures pour mettre en place la politique, les contrôles et la surveillance, vous pouvez minimiser - si ce n’est arrêter complètement - le partage de mot de passe. Cela permettra de réduire le risque de menaces internes et externes de votre organisation et de créer un environnement globalement plus sécurisé.
1 Verizon, Data Breach Investigations Report (2017)
2 IS Decisions, Insider Threat Persona Study (2017)