Le gestionnaire de mots de passe de votre entreprise est-il assez efficace?

Un gestionnaire de mots de passe d'entreprise ou « stockage de mots de passe » constitue souvent la première étape engagée par les entreprises pour gérer et sécuriser les mots de passe tout en simplifiant la tâche de leurs employés. Néanmoins, chaque solution est différente. Voici toutes les fonctionnalités que ce type d'outil doit proposer, ainsi que les fonctions supplémentaires parfois nécessaires à votre entreprise, toutefois seulement disponibles sur certains produits.

Le gestionnaire de mots de passe d'entreprise de base

Tous les gestionnaires de mots de passe d'entreprise du marché assurent une fonction de base consistant à stocker les mots de passe des utilisateurs dans une base de données de mots de passe sécurisée, généralement hébergée sur le cloud. Les gestionnaires de mots de passe de bonne qualité chiffrent les données à l'aide d'algorithmes de chiffrement tels qu'AES-256 afin de les sécuriser. La plupart de ces outils disposent par ailleurs d'un générateur de mots de passe aléatoires afin de faciliter la création de mots de passe sécurisés.

Lors du choix d'une solution de stockage de mots de passe d'entreprise, il convient de sélectionner un outil capable d'assurer l'accès des employés à partir de différents dispositifs en les synchronisant. En effet, les employés ont tendance à beaucoup utiliser leur téléphone et leur ordinateur portable personnel pour travailler. Les meilleurs gestionnaires de mots de passe d'entreprise prennent en charge tous les principaux navigateurs et systèmes d'exploitation mobiles du marché.

Venons-en maintenant aux extras.

Gestionnaires de mots de passe d'entreprise : options de sécurité supplémentaires

Deux caractéristiques parmi les plus utiles d'un gestionnaire de mots de passe sont la possibilité de réinitialiser automatiquement les mots de passe et celle d'appliquer des règles relatives aux mots de passe via l'outil. Ces deux fonctionnalités renforcent la sécurité tout en minimisant le recours au service informatique ou d'assistance.

En termes de sécurité, il est important que le gestionnaire de mots de passe d'entreprise prenne en charge l'authentification à deux ou plusieurs facteurs. Un gestionnaire de mots de passe constitue un premier pas utile pour renforcer la sécurité des mots de passe, mais il est rarement suffisant à lui seul. Des gestionnaires de mots de passe ont été piratés et différents types d'attaques peuvent intercepter et capturer un mot de passe lors de sa saisie. Veillez à ce que la solution de stockage de mots de passe soit compatible avec votre solution d'authentification à plusieurs facteurs ou intègre ce type d'outil, afin que les utilisateurs soient invités à fournir des facteurs d'authentification supplémentaires lors de leur connexion, par exemple le code PIN d'une application pour téléphone, une empreinte digitale ou une reconnaissance faciale.

Gestionnaire de mots de passe d'entreprise : fonctions supplémentaires améliorant l'usabilité

Afin qu'un gestionnaire de mots de passe d'entreprise fonctionne, les employés doivent l'utiliser. Et pour qu'ils l'utilisent, il doit être simple. Soyez à l'affût des fonctionnalités suivantes :

• Remplissage des formulaires en ligne : la plupart des gestionnaires de mots de passe d'entreprise offrent la possibilité de détecter un site Web afin de récupérer et renseigner automatiquement son dialogue de connexion. La qualité et le succès de cette opération varient cependant grandement en fonction de la solution.
• Mots de passe des applications : les sites Web ne sont pas tout. Les employés ne différentient pas les sites Web des applications, car il s'agit simplement d'outils de travail. Tous les gestionnaires de mots de passe ne prennent pas en charge les applications. Recherchez une solution qui offre cette fonction. Vous éviterez ainsi les réclamations des employés et contribuerez à l'adoption de l'outil.
• Compatibilité avec les applications sur site : encore moins de gestionnaires de mots de passe d'entreprise prennent en charge les applications hébergées sur site. À nouveau, les utilisateurs ne font pas réellement de différence entre les sites Web et les systèmes internes. Ils désirent simplement se connecter rapidement pour effectuer leurs tâches. Un gestionnaire de mots de passe qui ne prend pas en charge vos applications sur site n'apporte qu'une réponse partielle au problème des mots de passe.

Ce que les gestionnaires de mots de passe d'entreprise ne vous proposent généralement pas

Certains gestionnaires de mots de passe d'entreprise fournissent des rapports de base, mais rarement les outils d'audit nécessaires à la conformité aux normes de type PCI ou SOX. Ils ne vous fournissent pas non plus les informations dont vous avez besoin pour déceler les tentatives d'attaque.

Les gestionnaires de mots de passe d'entreprise offrent une synchronisation de base avec les annuaires tels qu'Active Directory. Si vous désirez mettre en place des politiques de sécurité en fonction notamment du poste ou de l'emplacement de l'utilisateur avec des permissions granulaires, vous devez recourir à un véritable système d'authentification unique (SSO) et non à un gestionnaire de mots de passe. De même, si vous effectuez le provisionnement et le déprovisionnement des utilisateurs via AD, Workday ou d'autres annuaires (voire différents annuaires dans certaines entreprises), un gestionnaire de mots de passe se révèlera peu pratique et deviendra un simple système de plus à gérer.

Déployer le gestionnaire de mots de passe d'entreprise idéal peut constituer le premier pas adéquat pour renforcer la sécurité de votre entreprise. Néanmoins, pour préserver la sécurité des mots de passe et satisfaire vos employés, il vous sera probablement nécessaire de migrer vers une solution SSO. Il suffira ensuite à vos utilisateurs de se connecter une seule fois pour accéder à l'ensemble des applications et des sites Web cloud ou sur site dont ils ont besoin quotidiennement sans se reconnecter. Seul un mot de passe leur sera demandé. Par ailleurs, une solution SSO intègrera vos annuaires afin d'assurer le niveau granulaire de permission et de contrôle qui vous a incité à recourir à l'origine à un annuaire de type AD.

Nous vous conseillons d'acquérir un gestionnaire de mots de passe d'entreprise, qui constituera un premier pas (mais pas le dernier) vers la sécurisation de votre entreprise.