Un compte utilisateur regroupe toutes les ressources d’un utilisateur (ou d’un périphérique). Son accès est donc la porte d’entrée aux données de l’organisation. Il faut qu’elle soit bien gardée pour contrer toute malveillance. Certaines attaques visent d’abord un compte non sensible (ex. : un compte utilisateur lambda), pour ensuite accéder à un compte sensible (ex. : un compte administrateur). En effet, même si un compte sensible est protégé au maximum, il existe toujours un risque de mouvement latéral. C’est pourquoi la sécurisation de tous les comptes, utilisateur ou autre, est essentielle.
Le mot de passe est important, mais…
Le piratage des comptes utilisateur est très fréquent. Le mot de passe étant le mécanisme d’identification le plus fréquent, de nombreuses attaques (comme la force brute) visent à l’obtenir. Beaucoup de hackers profitent de la négligence ou de la méconnaissance de certains utilisateurs pour voler leurs données.
Les utilisateurs n’ont pas forcément conscience des risques. Certains choisissent un mot de passe trop simple ou largement usité (ex. : 123456). D’autres utilisent le même pour leurs comptes utilisateur personnel et professionnel. D’ailleurs, il arrive fréquemment qu’un utilisateur prenne le même mot de passe pour toutes les authentifications. Un autre exemple : quelqu’un de peu méfiant peut cliquer sur un lien reçu par e-mail et entrer des informations sensibles sur un « faux » site.
Pour éviter ce genre de situations, il faut donc, en plus de l’adoption d’un mot de passe fort, accompagner les collaborateurs de votre organisation, les conseiller et les former.
Comment choisir un mot de passe pour sécuriser les comptes utilisateur ?
L’agence nationale de la sécurité des systèmes d’information (ANSSI) recommande de choisir un mot de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux), pour chaque login. Pour compliquer la tâche des pirates, il est déconseillé d’intégrer des données liées à soi dans un mot de passe (date de naissance, nom de la société…). En respectant cela, les attaquants, qui agissent à l’aide d’outils automatisés, auront beaucoup plus de mal à « cracker » un compte. La difficulté sera la même pour une personne malveillante en interne, comme un collaborateur sur le départ.
De son côté, Microsoft conseille de faire une liste de mots de passe à proscrire, de déployer une authentification à plusieurs facteurs et de faire appel à des services conçus pour détecter les tentatives de connexion anormales.
Comment accompagner les utilisateurs ?
Tout utilisateur doit savoir quels comportements éviter, comment choisir un mot de passe fort, pourquoi respecter certaines règles de sécurité et pourquoi certaines actions ne sont pas autorisées. Mieux on comprend, plus on applique. Les collaborateurs, mais également les externes (prestataires, consultants…) doivent tous être accompagnés et formés afin de réduire les risques au minimum.
Pour vos collaborateurs, il peut être utile de préparer une communication via une campagne interne, un webinar ou lors d’une réunion de société. Donnez-leur accès à des conseils et à des bonnes pratiques via le canal le plus adapté (intranet, affiches, ateliers…). N’hésitez pas à impliquer les directions métier pour que le message soit largement diffusé. Cela peut demander une communication régulière, au fur et à mesure de l’arrivée des nouveaux membres. Ce travail d’équipe contribuera efficacement à la protection de votre organisation.
Pour les personnes extérieures à l’organisation, communiquez par le biais d’un document d’information sur la politique interne, voire un paragraphe à insérer dans tout contrat par exemple.
Le tout est de communiquer et d’accompagner !
Pour aller plus loin, nous vous conseillons de lire notre article sur la gestion des identités et des droits de vos collaborateurs.