< Retour

Gestionnaires de mots de passe : le réflexe de sécurité que toute PME devrait avoir

Expertise

Un gestionnaire de mots de passe est un outil qui permet de centraliser l’ensemble des accès d’une entreprise dans un seul endroit sécurisé, et surtout de générer automatiquement des mots de passe complexes sans avoir à s’en souvenir.

Il y a des risques qu’on connaît et qu’on accepte. Et il y en a d’autres qu’on découvre le jour où un collaborateur quitte l’entreprise en emportant, sans le vouloir, les accès à une dizaine d’outils critiques.

Un gestionnaire de mots de passe, c’est précisément ce qui évite ce genre de situation. Et pourtant, dans bon nombre de PME, les mots de passe sont encore stockés dans un fichier Excel, dans la tête d’une personne, ou sur un Post-it sous le clavier.

Mais c’est quoi exactement ?

« Le gros avantage, c’est que cela te permet de générer des mots de passe qui peuvent être très compliqués, dont tu ne te souviens pas, mais que tu peux facilement ressaisir dans un navigateur »

Un gestionnaire de mots de passe est un outil qui permet de centraliser l’ensemble des accès d’une entreprise dans un seul endroit sécurisé, et surtout de générer automatiquement des mots de passe complexes sans avoir à s’en souvenir. « Le gros avantage, c’est que cela te permet de générer des mots de passe qui peuvent être très compliqués, dont tu ne te souviens pas, mais que tu peux facilement ressaisir dans un navigateur », explique Stéphane Perrenoud, consultant chez UDITIS.

Le problème des mots de passe aujourd’hui, c’est bien connu : ils sont trop courts, trop simples, et souvent identiques d’un service à l’autre. Ce comportement, compréhensible du point de vue de l’utilisateur, représente une faille de sécurité évidente. Avec un gestionnaire dédié, chaque service dispose de son propre mot de passe unique et complexe, sans effort supplémentaire de la part des équipes.

Le vrai risque que les PME sous-estiment

On pense souvent au risque de piratage en premier. Mais dans la réalité des PME, le problème le plus fréquent est plus banal. « Le risque, c’est que tu perds des accès à un outil et que tu dois te battre avec l’éditeur parce qu’il était détenu par une personne qui n’est plus là, qui ne te donne pas l’information, ou qui ne le peut pas parce que c’est le même mot de passe que son compte personnel », résume Stéphane Perrenoud.

Récupérer un accès perdu, c’est du temps, des échanges avec les éditeurs, des procédures de vérification d’identité. Dans certains cas, c’est simplement impossible. Un gestionnaire de mots de passe d’entreprise élimine ce risque en faisant appartenir les accès à l’organisation, et non aux individus.

Une technologie SaaS comme les autres, avec les mêmes garanties

La question revient souvent : n’est-il pas risqué de centraliser tous ses mots de passe dans un seul outil ? Le risque existe, comme pour tout service SaaS. Mais il est à mettre en perspective.

« Celui qui fournit un service SaaS s’occupe uniquement de la sécurité de son produit. Toi, tu vas gérer des dizaines d’outils dans ton entreprise, et la sécurité du gestionnaire de mots de passe ne sera pas forcément ta priorité », explique Stéphane Perrenoud. Les fournisseurs spécialisés investissent massivement dans le chiffrement, la disponibilité et la conformité, notamment les certifications ISO 27001 qui constituent aujourd’hui un critère de sélection sérieux.

Ce qu’il faut regarder pour bien choisir

Les solutions du marché se valent globalement en termes de fonctionnalités de base. Les différences se jouent sur quelques critères clés. L’intégration SSO (Single Sign-On) est devenue incontournable : elle permet de lier le gestionnaire à l’identité centrale de l’entreprise, Microsoft 365 ou autre, de sorte qu’un seul compte bien sécurisé donne accès à l’ensemble des services. « Si cette identité est compromise, tous les accès sont coupés dans tous les services. Et c’est beaucoup plus facile à gérer qu’un nombre infini d’accès séparés », souligne Stéphane Perrenoud.

La gestion des droits est l’autre fonctionnalité à ne pas négliger. Dans une organisation, tout le monde ne doit pas avoir accès à tous les mots de passe. Un bon gestionnaire permet de définir des zones et des niveaux d’accès par équipe ou par rôle.

Certaines solutions permettent également aux entreprises de partager des accès avec leurs prestataires IT de manière sécurisée et réversible. Chez UDITIS, c’est un usage courant avec les clients qui souscrivent au même outil. « Ils peuvent nous donner accès à leurs mots de passe pour qu’on puisse intervenir chez eux. Et si notre collaboration s’arrête, ils repartent avec leurs accès. Tout reste chez eux », précise Stéphane Perrenoud.

UDITIS accompagne ses clients dans le choix, le déploiement et la configuration de ces outils, en assurant une intégration cohérente avec l’ensemble de leur environnement IT.

Stéphane Perrenoud, KAM et consultant chez UDITIS

Stéphane s’intéresse à tout ce qui fait évoluer les environnements IT, de la sécurité des accès aux nouvelles solutions cloud.
La veille technologique est un réflexe quotidien chez lui, et il partage ses observations avec ses clients comme avec ses collègues. 
Il accompagne les entreprises dans leurs choix IT avec un souci constant de pragmatisme.