Made in France
UpSignOn Pro
UpSignOn Pro

Pourquoi utiliser un gestionnaire de mots de passe ?

La question de la sécurité informatique est désormais prise à bras le corps dans la grande majorité des PME. Les services IT mettent en place des stratégies de cybersécurité de plus en plus élaborées pour éviter toute faille de sécurité et notamment : 

Garantir l’intégrité et la confidentialité des données

Maintenir le bon fonctionnement du système d'information

Assurer l’accès aux ressources aux seules personnes autorisées

Ceci dit, il faut garder en tête que la première faille de sécurité des PME reste entre les mains des salariés.

0 %
d’entre eux avouent ouvrir régulièrement des e-mails de sources inconnues
0 %
admettent utiliser des applications sans l’aval du service informatique
0 %
sont conscients d’adopter des pratiques peu sécurisées pour leurs mots de passe

Aussi, les responsables de la sécurité IT auront beau sécuriser au maximum les instances et les outils, difficile de contrôler le comportement de tous les collaborateurs…

Heureusement, tout n’est pas totalement hors de contrôle ! Les responsables informatiques peuvent (et doivent autant que possible !) encadrer certaines pratiques. C’est notamment le cas des mots de passe des collaborateurs !

Qu’est-ce qu’un gestionnaire de mot de passe ?

Un gestionnaire de mots de passe (ou coffre-fort de mots de passe) est un outil numérique qui centralise l’ensemble des identifiants et mots de passe d’un utilisateur dans une même base de données. Celui-ci y accède via un mot de passe maître (qui sera donc le seul à retenir). La solution permet de gérer et mémoriser les mots de passe, et surtout d’en renforcer la sécurité en générant très facilement des mots de passe robustes et uniques pour chaque compte.

Les principales fonctionnalités

Stockage de mots de passe dans des coffres-forts (partagés ou non).
Génération automatique de mots de passe robustes.
Saisie automatique des identifiants et mots de passe sur les formulaires web.
Partage sécurisé de certains mots de passe avec gestion de droits d’accès
Supervision de la sécurité des mots de passe à l’échelle de l’entreprise.

Gestionnaire de mots de passe :
de forts enjeux de sécurité dans les PME

Au début des années 2000, les salariés n’avaient que quelques mots de passe à retenir pour accéder aux systèmes et logiciels de l’entreprise. Aujourd’hui, les outils numériques s’étant allègrement multipliés, les mots de passe à mémoriser se comptent par dizaines. Si ce n’est plus.

Faute d’autre solution, les utilisateurs se sont d’abord tournés vers des gestionnaires de mots de passe simples et accessibles : ceux proposés par les navigateurs web. À la réserve près que les mots de passe enregistrés sur les navigateurs sont vite devenus une cible privilégiée des pirates informatiques.

Et il y a de quoi attirer les hackers : bien que conscients des risques encourus, la plupart des salariés des PME privilégient la simplicité et la praticité en ce qui concerne leurs mots de passe. 

64 % d’entre eux préfèrent conserver un mot de passe facile à retenir plutôt qu’un code plus sécurisé. Les études autour des mots de passe des employés révèlent d’autres chiffres alarmants :

0 %
utilisent le même code pour tous leurs comptes
0 %
n'ont pas changé leur mot de passe au cours des 12 derniers mois
0 %
utilisent un mot de passe professionnel et personnel identique

De leur côté, les hackeurs ont affiné leurs techniques pour dérober les données confidentielles des entreprises, et en particulier les mots de passe. Parmi les méthodes de piratage les plus efficaces, on retrouve le hameçonnage (ou phishing), qui consiste à créer un faux site web reprenant l’apparence d’un service légitime, et à inciter l’utilisateur à s’y connecter. Son mot de passe, en clair, peut alors être volé sans aucune difficulté. Les hackers utilisent également l’attaque par force brute (ou bruteforce) consistant à tester automatiquement des milliers de mots de passe par seconde. Les mots de passe courts et sans caractères spéciaux sont ainsi percés en un rien de temps. On peut aussi citer l’attaque par l’homme du milieu (ou man-in-the-middle), très utilisée pour glaner les mots de passe saisis sur le web. Le principe est simple : les hackers compromettent par exemple un point d’accès Wifi public et observent le trafic qui passe par celui-ci. Enfin, les fuites de données — qui n’ont jamais coûté aussi cher aux entreprises d’après un récent rapport d’IBM Security — sont particulièrement redoutées dans les PME.

Au fil de l’intensification des cyber-attaques, les PME ont pris conscience de l’importance de sécuriser les mots de passe à l’échelle de l’entreprise. Ceci dit, elles ne savent pas toujours comment procéder ni par où commencer. Utiliser un gestionnaire de mots de passe partagé par tous apparaît comme la solution la plus fiable et la plus sécurisée.

Pourquoi utiliser un
gestionnaire de mots de passe ?

Personne n’a envie de gérer des mots de passe. Ce n’est pas un but en soi. Le but est d’avoir des mots de passe forts et uniques sur chaque site web, et ça, c’est impossible sans outil. Un gestionnaire de mots de passe ne sert qu’à ça : avoir des mots de passe forts et uniques. Le coffre-fort de mots de passe ne sert pas à vous simplifier la vie. Il n’y a rien de plus simple que d’utiliser toujours le même mot de passe.  Bien entendu, l’outil fait tout pour rendre l’usage aussi simple que possible, y compris dans les cas de secrets partagés.

N’oubliez pas que les hackers s’en prennent d’abord aux cibles les moins protégées. C’est bien parce qu’ils voient une porte ouverte qu’ils y entrent. C’est beaucoup plus rentable que d’essayer de défoncer une porte blindée. Utiliser un gestionnaire de mots de passe est donc l’un des moyens les plus efficaces pour ne pas devenir la première cible des  hackers.  C’est un outil fondamental d’une bonne politique de cyber-sécurité en entreprise.

L’outil seul bien sûr ne fait pas tout. Aussi simple soit-il, l’adoption d’un coffre-fort de mots de passe par tous les collaborateurs reste un enjeu fort. Les personnes les moins à l’aise avec le numérique auront toujours un peu d’appréhension à adopter un nouvel outil. Elles peuvent avoir le sentiment de perdre le contrôle de leurs mots de passe et avoir peur de ne plus savoir se connecter sur leurs sites et applications. C’est pourquoi l’accompagnement initial à la prise en main de l’outil reste très important pour ces personnes. Dans tous les cas, un effort initial doit être fait par chacun pour importer tous ses mots de passe dans son coffre-fort. Par la suite, la possibilité pour le responsable informatique de superviser l’usage de l’outil et de suivre la robustesse des mots de passe devient un facteur clé de succès.

Gestionnaire de mots de passe :
quels bénéfices en attendre ?

UpSignOn Pro

Pour les utilisateurs

Le gestionnaire de mots de passe est aujourd’hui le seul outil fiable pour générer et mémoriser des mots de passe robustes, aléatoires et jamais utilisés par ailleurs. Il apporte aux collaborateurs des PME un réel confort grâce à la saisie automatique des mots de passe. Exit donc les mots de passe conçus par les équipes et enregistrés dans des fichiers hébergés dans le Cloud ou écrits sur des post-it. Un seul mot de passe est à retenir — le mot de passe maître — qui permet d’accéder à la solution. La bonne nouvelle, c’est que celui-ci peut se permettre d’être moins sécurisé car l’application intègre des mécanismes de sécurité (c’est son métier) qui permettent de rendre le tout sécurisé même en cas de mots de passe un peu faibles.

Le partage est lui aussi sécurisé via le coffre fort, ce qui permet de tourner définitivement la page des  données confidentielles divulguées en clair entre collègues sur le chat de l’entreprise ou par e-mail.

Enfin, dans un gestionnaire de mots de passe, les données stockées sont chiffrées, ce qui les protègent des cyber-risques. 

Pour les responsables de la sécurité IT

La mise en place d’un outil dédié permet aux responsables de la sécurité informatique des PME de clarifier et de partager la politique de sécurité des mots de passe en interne. Ils pourront ainsi veiller à ce que les bonnes pratiques soient comprises et appliquées par tous. La solution leur permettra de suivre efficacement le renforcement des mots de passe à l’échelle de l’entreprise. 

Les responsables IT peuvent également espérer gagner du temps, en limitant les demandes des collaborateurs quant à la gestion de leurs passwords (mots de passe oubliés, non renouvelés, etc.). Ils pourront de cette façon accorder plus de temps à la sensibilisation des salariés les moins impliqués dans la démarche commune initiée.

Enfin… tout ceci est uniquement possible en choisissant un gestionnaire de mots de passe permettant le pilotage et la supervision. La fonctionnalité de supervision permet aux administrateurs de s’assurer de l’adhésion des utilisateurs et du renforcement effectif de la sécurité.

UpSignOn Pro

Comment choisir le
bon gestionnaire de mots de passe ?

Pour garantir une sécurité optimale, les responsables IT doivent prendre en compte un certain nombre de critères. Si la plupart des gestionnaires de mots de passe proposent des fonctionnalités similaires (génération, mémorisation, saisie automatique de passwords…), il est pertinent de s’attarder sur les caractéristiques spécifiques des solutions et de leurs éditeurs.

L’hébergement

Selon vos habitudes et votre sensibilité à la question de la souveraineté des données, vous aurez peut-être besoin d’un hébergement On-Premise (auto-hébergement). Cela peut vous prémunir contre la diffusion de certaines attaques, vous permet de contrôler les sauvegardes de votre base de données, et surtout vous évite de tomber sous le coup des lois extra-territoriales américaines (Cloud Act).

La souveraineté numérique

À l’heure où les réglementations autour des données personnelles se durcissent en Europe (notamment en réaction aux abus des lois extra-territoriales américaines), la nationalité de l’éditeur est un paramètre crucial à prendre en compte. Choisissez un éditeur français ou européen pour limiter les risques et assurer la conformité de la solution avec le RGPD.

La certification CSPN (ANSSI)

La certification de premier niveau (CSPN) délivrée par l’agence nationales de la sécurité de systèmes d’information (ANSSI) apporte une garantie de sérieux. Une solution certifiée a été auditée avec de très hauts standards de sécurité et son modèle de protection des données a été validé au niveau théorique et pratique par l’ANSSI.

L’authentification

Le gestionnaire de mots de passe doit imposer une double authentification pour accéder au coffre fort. L’utilisateur devra se connecter via un appareil autorisé (premier facteur) avec son mot de passe maître (deuxième facteur) pour renforcer la sécurité de son coffre-fort.

La tarification

Souvent, les PME n’ont pas forcément prévu de budget pour mettre en place un gestionnaire de mots de passe. Le coût mensuel par utilisateur doit donc être raisonnable.

La simplicité d’utilisation

Il est important que tout le monde soit capable de se servir de l’application sans difficulté pour garantir une adhésion totale de la part des utilisateurs, y compris ceux qui sont les moins initiés à l’informatique. L’adoption de l’outil est indispensable pour atteindre l’objectif de renforcement de la sécurité globale.

 

Comparatif des principales solutions
de gestionnaire de mot de passe

Hébergement Solution Française ou Open-Source Supervision Tarification
Keepass
Cloud
Oui (open source)
Non
Version gratuite
LastPass
Cloud
Non
Non
3,90€ par utilisateur / mois
Dashlane
Cloud
Non
Non
8 € par licence / mois
LockPass
Cloud
Non
Non
7,80€ / mois
UpSignOn
On-Premise
Oui (Française)
Oui
0,50€ par utilisateur / mois

S’il y a quelques années, l’utilisation d’un gestionnaire de mots de passe pouvait semblait accessoire dans les PME (et plutôt réservée aux grands comptes), les responsables informatiques ont compris, face à l’intensification des cyberattaques de ces derniers temps, qu’ils ne pouvaient plus laisser la porte ouverte aux hackers. Utiliser un gestionnaire de mots de passe est désormais indispensable. Le tout est de choisir le bon !