18 % des professionnels IT utilisent du papier pour gérer l'accès aux comptes privilégiés dont ils sont responsables
Indique One Identity

Le , par Olivier Famien, Chroniqueur Actualités
Lorsque vous êtes chargé de la gestion de l’accès aux comptes administratifs ou privilégiés au sein d’une entreprise, plusieurs méthodes sont offertes pour mener à bien cette mission. One Identity qui est une entreprise qui propose aux particuliers et aux entreprises un ensemble de solutions pour gérer efficacement les mots de passe de divers types de comptes au sein d’un réseau a souhaité savoir quelles sont les difficultés rencontrées dans la gestion de l’accès d’identité et des comptes privilégiés.

Pour ce faire One Identity a ordonné un sondage qui a été mené par l’entreprise Dimensional Research auprès de 913 professionnels IT ayant des responsabilités dans la sécurité ainsi que dans la gestion de bases de données. Après avoir analysé les différentes réponses fournies par les personnes interrogées, One Identity rapporte que 36 % des professionnels IT interrogés utilisent le tableur Excel pour gérer les comptes d’administrateur et d’autres comptes privilégiés. Si cela vous étonne, alors sachez que vous êtes encore loin du compte, car environ 18 % des personnes interrogées avouent qu’elles utilisent des notes écrites sur du papier pour gérer ces mêmes types de comptes dotés de privilèges élevés.

Parmi les personnes qui utilisent du papier pour assurer le suivi des comptes privilégiés, nous avons 26 % des professionnels provenant de l’Allemagne, 23 % proviennent du Royaume-Uni, 22 % sont de Singapour, 18 % de Hong Kong, 18 % de la France et 17 % d’Australie.

Pour ce qui concerne l’usage d’Excel et des feuilles de calcul pour gérer ces comptes, nous avons 40 % des professionnels venant des États-Unis qui utilisent ce moyen pour gérer les comptes privilégiés dans les entreprises. 40 % proviennent de l’Allemagne et 38 % de la France. 34 % des professionnels faisant usage de cette pratique proviennent de l’Australie et de Singapour.

Une chose rassurante au moins, c’est que ce même sondage révèle que plus de la moitié des professionnels (54 %) utilise des coffres-forts numériques pour gérer l’accès à ces comptes privilégiés.

En dehors de ce problème, le rapport révèle que 35 % des personnes interrogées utilisent deux outils pour gérer les comptes administratifs et d’autres comptes privilégiés, là où 19 % en utilisent trois et 13 % font usage de quatre ou plus d’outils. À l’opposé des personnes utilisant plusieurs outils pour gérer les comptes privilégiés, nous avons 30 % des professionnels interrogés qui utilisent un seul outil et 3 % qui n’utilisent aucun outil.

À côté de ce volet, One Identity indique également que 95 % des professionnels surveillent l’accès à ces comptes administratifs et privilégiés tandis que 5 % des professionnels ne surveillent pas du tout les accès à ces comptes.

Pour ce qui concerne la fréquence de changement des mots de passe liés à des privilèges élevés, 14 % des personnes interrogées affirment qu’elles le font après chaque utilisation du mot de passe sur le compte en question. 53 % des personnes interrogées procèdent au changement de mots de passe tous les 30 à 60 jours et 22 % le font moins fréquemment. 9 % ne changent les mots de passe qu’en cas de problème de sécurité rapporté et 2 % ne changent jamais les mots de passe.

Selon John Milburn, président directeur général de One Identity, « lorsqu’une entreprise n’implémente pas les processus de base de sécurité et de gestion des comptes privilégiés, elle s’expose à un risque important. De plus, les failles liées à des comptes privilégiés piratés ont conduit à des coûts d’atténuation astronomiques, ainsi qu’à un vol de données et des marques ternies ». Il ajoute que « ces résultats d’enquête indiquent qu’il y a un pourcentage d’entreprises qui n’ont pas de procédures appropriées en place. Il est crucial pour les organisations de mettre en œuvre les meilleures pratiques en matière de gestion des accès privilégiés sans créer de nouveaux obstacles au travail à accomplir. »

Source: Rapport One Identity (PDF), Market Wired

Et vous ?

Gérez-vous des comptes administratifs ou des comptes privilégiés ?

Comment faites-vous pour gérer l’accès à ces comptes privilégiés ? Utilisez-vous du papier ou des outils dédiés ? Combien d’outils utilisez-vous ?

À quelle fréquence changez-vous les mots de passe des comptes privilégiés que vous utilisez ?

Voir aussi

40 % des entreprises sauvegardent les mots de passe administrateur dans un document Word, d'après une étude
Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty, quels sont selon vous les pires mots de passe à bannir ?
59 % des consommateurs américains réutilisent leurs mots de passe sur la toile, selon Password Boss, et 43 % préfèrent les noter sur du papier


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Chauve souris Chauve souris - Membre émérite https://www.developpez.com
le 09/11/2017 à 5:14
Surtout pas "d'outils dédiés" qui communiqueraient tout ça à la NSA. Non, j'utilise un bête petit cahier spirale où tout est noté, pas seulement le password et qui est juste sous le moniteur. Comme il ne quitte jamais cette place je suis sûr de le retrouver.
Sinon j'ai un password passe-partout que j'utilise sur des sites marchands car il n'y a rien de confidentiel dans les commandes que j'ai passées et ma carte VISA m'est demandée à chaque fois.
Avatar de koyosama koyosama - Membre confirmé https://www.developpez.com
le 09/11/2017 à 5:39
Vous savez, j'ai dans ma ville une des meilleurs universités du monde et le truc c'est qu'aucun étudiant ne sait que c'est un gestionnaire de mot de passe. Ils savent par contre faire des AI, du deep learning, des algos de fous et des maths de fous, sauf protéger son PC. Quand je vois des professionnels utiliser des utilisés des word comme gestionnaire de tâche à faire, ils ont tous appris sauf la bureautique. Je pensais que j'avais l'air con avec reminder (surtout qu'il y a mieux) à utiliser le système de notification et tout, mais en fait non.

Alors je ne suis pas supris du tout, le moins du monde. Et je trouve que c'est pas mal.
Avatar de RyzenOC RyzenOC - Membre expert https://www.developpez.com
le 09/11/2017 à 9:23
Citation Envoyé par Chauve souris Voir le message
Surtout pas "d'outils dédiés" qui communiqueraient tout ça à la NSA. Non, j'utilise un bête petit cahier spirale où tout est noté, pas seulement le password et qui est juste sous le moniteur. Comme il ne quitte jamais cette place je suis sûr de le retrouver.
Sinon j'ai un password passe-partout que j'utilise sur des sites marchands car il n'y a rien de confidentiel dans les commandes que j'ai passées et ma carte VISA m'est demandée à chaque fois.
je fais pareil, je note tous dans un cahier.
J'ai plus confiance dans mes collègues que dans un gestionnaire de mots de passe.

La papier n'a aucune faille de sécurité (si ce n'est un collaborateur mal intentionné qui le vole mais je doute que cela arrive la ou je suis). Cela fais des années que les pc portables ou des smartphones haut de gamme sont posé sur le bureau pendant la pose déjeuner y'a jamais eu de vol de la part d'un salarié.
Avatar de forthx forthx - Membre confirmé https://www.developpez.com
le 09/11/2017 à 9:42
C'est bien le papier, ça résiste a toutes les attaques numériques !
Avatar de fenkys fenkys - Membre éprouvé https://www.developpez.com
le 09/11/2017 à 9:50
Le cahier n'est pas piratable à distance, ni effaçable. Une consultation indésirée est facile à vérifier. On peut même chiffrer son contenu. Et il n'y aucun bug dans son fonctionnement. Le seul problème qui peut se poser à son utilisation se situe entre la chaise et le clavier.
En utilisant un gestionnaire de mot de passe, tu dois faire confiance à toute la chaîne : fabriquants du PC, de l'OS, du logiciel de gestion, du réseau internet. Peut on garantir que dans cet chaîne tous sont honnêtes, fiables et sécurisés ?
Avatar de droper droper - Nouveau membre du Club https://www.developpez.com
le 09/11/2017 à 9:53
Personnellement, je n'ai pas confiance, ni dans les gestionnaires de mots de passe ni dans l'humain (mon cerveau inclus). Du coup, j'ai développé une méthode hybride.
Je ne connais que 5 ou 6 mots de passe plus ou moins forts par eux même, et je les concatène plus ou moins uniquement selon le degré de sensibilité du système sur le quelle je me log. Évidemment, si j'ai le moindre doute sur un mdp, je le change.
Avatar de altga altga - Candidat au Club https://www.developpez.com
le 09/11/2017 à 10:04
Même chose, j'ai plus confiance dans le papier .. au moins j'ai plus de chances d'être au courant en cas de vol.
En revanche je note qu'une partie du mot de passe, le reste est composé d'un "mot de passe maître" commun à tous. Ce qui limite la casse en théorie si je me fais voler.

Exemple :
pattern : [motDePasseMaitre][nomDeDomaine][motsRandom]

[motDePasseMaitre] : il est le même pour tous les mots de passe.
[nomDeDomaine] : permet d'être sûr de ne pas avoir la même signature dans les bases de données lors du hash du mot de passe.
[motsRandom] : histoire de rajouter de la longueur en cas de brut force ..

[nomDeDomaine] et [motsRandom] sont notées
[motDePasseMaitre] est à retenir

Site Developpez.com :
[friteKetchup][Developpez][arbresucrechat]
(pas la peine d'essayer, ce n'est pas ça le miens :p)

EDIT :
Le [motDePasseMaitre] sert à se protéger physiquement du vol
Le [nomDeDomaine] + [motsRandom] sert à se protéger virtuellement
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 09/11/2017 à 11:24
Citation Envoyé par RyzenOC Voir le message
J'ai plus confiance dans mes collègues que dans un gestionnaire de mots de passe.
Et le jour où tu as un collègue malhonnête... tu es fichu.

Les personnes malhonnêtes ne se baladent pas avec un post-it "je suis malhonnête" sur la tête. Et c'est justement parce que les personnes malhonnêtes paraissent honnêtes qu'elles peuvent abuser de la confiance qu'on place en eux.

Citation Envoyé par RyzenOC Voir le message
La papier n'a aucune faille de sécurité
Difficile d'avoir des failles de sécurités quand on n'a aucune sécurité.

Citation Envoyé par RyzenOC Voir le message
Cela fais des années que les pc portables ou des smartphones haut de gamme sont posé sur le bureau pendant la pose déjeuner y'a jamais eu de vol de la part d'un salarié.
Les vols de données sont peut-être plus intéressantes et plus discrètes...

Citation Envoyé par fenkys Voir le message
Une consultation indésirée est facile à vérifier.
Ah ? Ton cahier conserve un historique de ses accès ?

Citation Envoyé par fenkys Voir le message
On peut même chiffrer son contenu.
Bon courage pour faire les calculs à la main avec une clé de 128bits

Citation Envoyé par fenkys Voir le message
En utilisant un gestionnaire de mot de passe, tu dois faire confiance à toute la chaîne : fabriquants du PC, de l'OS, du logiciel de gestion, du réseau internet. Peut on garantir que dans cet chaîne tous sont honnêtes, fiables et sécurisés ?
Et ton mot de passe, tu ne le saisis jamais sur l'ordinateur ?

Citation Envoyé par altga Voir le message
En revanche je note qu'une partie du mot de passe, le reste est composé d'un "mot de passe maître" commun à tous. Ce qui limite la casse en théorie si je me fais voler.
Il suffit de connaître un de tes mots de passes, e.g. via fishing, ou un site malhonnête et l'astuce se dévoile très facilement. Les mots de passes ne semblent d'ailleurs ne pas être très solides, casser les autres mots de passes à partir d'un mot de passe connu ne semble pas difficile.

De même, même sans connaître de mots de passes, juste avec le cahier, on peut avec un peu de chance en casser quelques uns par brute force.

Vous êtes tous sérieux ou certains d'entre vous sont en train de troller ? Vous avez un jour d'avance.
Avatar de altga altga - Candidat au Club https://www.developpez.com
le 09/11/2017 à 11:58
Citation Envoyé par Neckara Voir le message

Il suffit de connaître un de tes mots de passes, e.g. via fishing, ou un site malhonnête et l'astuce se dévoile très facilement. Les mots de passes ne semblent d'ailleurs ne pas être très solides, casser les autres mots de passes à partir d'un mot de passe connu ne semble pas difficile.

De même, même sans connaître de mots de passes, juste avec le cahier, on peut avec un peu de chance en casser quelques uns par brute force.

Vous êtes tous sérieux ou certains d'entre vous sont en train de troller ? Vous avez un jour d'avance.
Grâce au fishing tu vas connaitre mon mot de passe maître mais tu ne sera toujours pas en possession du carnet de note ... et donc du reste des mots de passe.
Le [motDePasseMaitre] sert à se protéger physiquement du vol
Le [nomDeDomaine] + [motsRandom] sert à se protéger virtuellement
Pour la question de solidité, j'ai donné un exemple.. à toi de complexifier à ta guise..

L'avantage de cette technique c'est que Madame Michu peut l'appliquer assez facilement. Là où un gestionnaire de mot de passe est l'étape de trop. Ce sera toujours plus efficace qu'une grande quantité de personnes saisissant le même mot de passe pour tous leurs comptes (pour question de facilité).

Concernant l'argument de l'historique. C'est là la faille du papier .. Mais tu n'as pas non plus l'historique des intrusions sur ton gestionnaire de mot de passe ou même ton pc.. Tu as plus de chance de voir la tentative de vol de carnet en revanche (ou son "emprunt").

Je pense que le papier est une vrai question à se poser .. même si ça parait d'un autre temps. Je ne dis pas que c'est la meilleure solution, mais je suis loin de dire que c'est la pire. Un tableur Excel est pour moi la pire des méthodes.. contrairement à l'article qui semble classer la papier après.
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 09/11/2017 à 12:29
Citation Envoyé par altga Voir le message
Grâce au fishing tu vas connaitre mon mot de passe maître mais tu ne sera toujours pas en possession du carnet de note ... et donc du reste des mots de passe.
Pas besoin de connaître le reste des mots de passes.

La partie "nom de domaine" se déduit presque instantanément. La partie "mots random" s'attaque par simple brute force.
Le mot de passe entier ne devant pas être trop long (sinon trop enquiquinant à taper), la partie "mots random" sera très certainement faible.

Une fois qu'on connaît la méthode de construction du mot de passe, ou qu'on a quelques à priori sur sa construction, on peut utiliser des heuristiques pour la brute force. En ce rien ne vaut un vrai mot de passe généré aléatoirement, et donc utiliser un gestionnaire de mot de passe.

Là où un gestionnaire de mot de passe est l'étape de trop.
Il ne faut pas exagérer, au pire du pire, on peut choisir "se rappeler du mot de passe" dans le navigateur et lui donner un mot de passe maître.
C'est toujours mieux que de laisser son carnet de mot de passes à côté de l'ordinateur...

Mais tu n'as pas non plus l'historique des intrusions sur ton gestionnaire de mot de passe ou même ton pc..
Ce n'est pas impossible à mettre en place.
Sachant que contrairement à un carnet, le gestionnaire est protégé contre l'intrusion via un mot de passe maître (ou une clé).

Un tableur Excel est pour moi la pire des méthodes.. contrairement à l'article qui semble classer la papier après.
Je ne sais pas si c'est pire ou non, mais en effet utiliser un tableur Excel est ridicule, quitte à stocker les mots de passes sur ordinateur, autant utiliser un outil adapté.
Contacter le responsable de la rubrique Accueil