Mettre en place un gestionnaire de mots de passe

Sécurité PME étape 1 : gestionnaire de mots de passe

J’ai réalisé plusieurs diagnostics informatiques en PME ces derniers mois, ponctuellement ou pour préparer une prestation récurrente de Directeur Informatique externalisé.

Ce qui ressort malheureusement encore souvent, c’est l’absence de gestionnaire de mots de passe ! Si vous en êtes au point 0, c’est par là qu’il faut commencer.

Entre mots de passe réutilisés, fichiers excel partagés, et identifiants faciles à deviner, le risque de compromission est élevé. Et en tant qu’hébergeur web (ma seconde casquette), des boites mails ou administrations de sites web compromis car le mot de passe est trop simple ou utilisé sur plusieurs applications, c’est presque chaque semaine, avec des effets graves ! : étiquette spammeur : des mails qui n’arrivent plus pendant des semaines, fuites de données vers les hackeurs, données corrompues ou perdues…

Je ne saurais trop insister sur l’importance d’une stratégie de gestion des mots de passe robuste. Et la pierre angulaire de cette stratégie pour une PME est sans conteste la mise en place d’un gestionnaire de mots de passe. Etudions cela de plus près.

Pourquoi un gestionnaire de mots de passe est-il indispensable pour votre PME ?

Loin d’être un simple gadget, un gestionnaire de mots de passe centralisé offre des avantages considérables pour votre sécurité et votre productivité :

1. Sécurité renforcée : Il permet de générer et de stocker des mots de passe uniques, complexes et longs pour chaque service. Fini les mots de passe faibles ou réutilisés.
2. Prévention du phishing : Les gestionnaires de mots de passe ont des fonctionnalités qui permettent de vérifier que vous êtes bien sur le site légitime avant de renseigner les identifiants, réduisant ainsi les risques de phishing.
3. Contrôle des accès : Tous les accès sont centralisés. Ainsi, pas de création en doublon, pas d’impossibilité de se connecter quand le collaborateur créateur du compte est absent, meilleure gestion des absences et départs. Et vous avez une vision globale des services utilisés.
4. Partage granulaire et sécurisé : Fini le partage d’identifiants par email ou post-it ! Les gestionnaires permettent de partager de manière sécurisée les accès à des collaborateurs spécifiques, et sans révéler le mot de passe lui-même. Vous avez une vue d’ensemble des accès et pouvez révoquer rapidement les droits d’un collaborateur qui quitte l’entreprise.
5. Productivité accrue : Vos collaborateurs n’ont plus à mémoriser des dizaines de mots de passe, ni à les réinitialiser constamment. L’auto-remplissage des formulaires de connexion est un gain de temps appréciable.
6. Conformité RGPD : En garantissant des mots de passe robustes et une gestion plus structurée des accès aux données, vous renforcez votre conformité avec le Règlement Général sur la Protection des Données (RGPD). Une bonne gestion des accès est un pilier de la protection des données personnelles.

Point TOTP : la plupart des gestionnaires de mots de passe intègrent la fonctionnalité TOTP : le code aléatoire généré chaque minute. Habituellement vous utilisez Google Authenticator, mais ce n’est pas partageable. A la place, saisissez à l’initialisation la clé dans le gestionnaire de mot de passe et toutes les personnes autorisées pourront copier coller le code aléatoire directement.

Comment choisir son gestionnaire de mots de passe pour PME ?

Le marché propose plusieurs solutions, avec des spécificités différentes. Voici les critères essentiels à considérer pour votre PME en France :

• Sécurité et Chiffrement : Assurez-vous que la solution utilise un chiffrement fort (ex: AES-256) et que le “coffre-fort” est accessible uniquement avec un mot de passe maître que vous seul connaissez.
• Facilité d’Utilisation : L’adoption par vos équipes dépendra grandement de son ergonomie. Optez pour une interface intuitive et des extensions de navigateur performantes.
• Fonctionnalités Collaboratives : La capacité à créer des groupes, à partager des mots de passe de manière sécurisée et à gérer les droits d’accès est cruciale pour une PME.
• Hébergement des Données : Pour des raisons de souveraineté numérique et de conformité RGPD, privilégiez si possible une solution hébergée en Europe, voire en France. Si l’hébergement est hors UE, assurez-vous que le fournisseur applique les Clauses Contractuelles Types de la Commission Européenne.
• Coût : Comparez les offres en fonction du nombre d’utilisateurs et des fonctionnalités incluses.

Parmi les solutions populaires et fiables pour les entreprises, on retrouve souvent des noms comme Passbolt (open-source, européen, auto-hébergeable utilisé chez ETHERSYS), Bitwarden (open-source, très polyvalent), 1Password Business ou encore Dashlane Business. Chacun a ses spécificités, et une démonstration est souvent utile pour se faire une idée. Proton, la société Suisse célèbre pour sa messagerie sécurisée, propose une suite entreprise incluant Proton Pass.

A titre personnel en usage gratuit Proton Pass est très intéressant.

Les étapes clés de la mise en place

La mise en place d’un gestionnaire de mots de passe n’est pas un simple acte technique, c’est aussi un projet d’accompagnement du changement :

1. Désigner un Responsable : Une personne au sein de l’entreprise doit être le référent du projet et l’administrateur du gestionnaire.
2. Définir une Politique de Mots de Passe : Le gestionnaire facilitera l’application de votre politique (longueur minimale, caractères spéciaux, etc.).
3. Choix de la Solution : Après une analyse de vos besoins et des critères ci-dessus, sélectionnez le gestionnaire le plus adapté.
4. Formation et Sensibilisation : C’est l’étape la plus critique. Organisez des sessions de formation pour tous vos collaborateurs. Expliquez les bénéfices, montrez comment l’utiliser au quotidien, et insistez sur l’importance du mot de passe maître. Sensibilisez-les aux risques liés aux mots de passe faibles.
5. Migration Progressive : Ne cherchez pas à tout migrer en une seule fois. Commencez par les services critiques, puis étendez l’utilisation progressivement.
6. Vérification Régulière : Mettez en place des processus pour vérifier que les mots de passe sont bien stockés dans le gestionnaire et que les politiques sont respectées.
7. Verrouillage : Supprimez la possibilité d’utiliser le gestionnaire intégré dans les navigateurs, et les moyens alternatifs (Fichier excel partagé, post-its, etc…)
8. Gestion des Accès : Mettez à jour (ou créez) vos procédures d’entrée et sortie de collaborateur en incluant les accès au gestionnaire de mot de passe.

Sécuriser son entreprise : étape 1 faite !

Investir dans un gestionnaire de mots de passe pour votre PME, c’est investir dans la sécurité de vos données, la productivité de vos équipes et votre tranquillité d’esprit. C’est une mesure essentielle pour protéger votre patrimoine numérique et répondre aux exigences sécuritaires ainsi que du RGPD.

N’hésitez pas à me contacter si vous souhaitez être accompagné dans le choix et la mise en place de votre solution.