Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Est-ce que les RSSI sont schizophrènes ?

Est-ce que les RSSI sont schizophrènes ?
2013-03-132013-03-13bonnes pratiquesfr
J'ai toujours été frappé par le décalage qu'il existe entre les discours des RSSI et les mesures qu'ils prennent. Le facteur humain est la plus grande menace perçue. Comme ils pratiquent la sécurité basé sur les risques, on s'attend à ce que leur priorité soit l'être humain, mais...
Publié le 13 Mars 2013 par Johny Gasser dans bonnes pratiques
computer guy looking stupid

Selon la grande majorité des RSSI, la plus grande menace à laquelle ils font face est l’être humain. Dans le même temps, ils affirment à l’unanimité, ou presque, pratiquer la sécurité sur la base de la gestion des risques. On peut donc s’attendre à ce que l’être humain soit la base de leur programme de sécurité et leur principale attention.

Or, trop souvent, leurs seules actions concrètes restent uniquement le programme de sensibilisation à la sécurité dont l’efficacité me parait bien discutable vu le nombre de mots de passe que l’on retrouve dans les documentations, documents bureautique ainsi que sur le bon vieux Post-it… Et je ne parle pas de la complexité de ces mots de passe !

sensibiliser les employés aux risques est-il une bonne solution ?

Mon avis est catégorique : NON.

Avez-vous fait une recherche dans vos outils de partage de connaissance (ou serveurs de fichiers) avec les mots clés « mot de passe » et « admin » ? Autant prévenir ceux qui ne l’ont pas fait : vous risquez d’être affligés et vous allez vous demander à quoi ça sert d’expliquer depuis des années que l’on n'écrit pas son mot de passe, ni sur papier, ni dans un document bureautique...

Pour les autres, j’espère que vous n’êtes pas trop abattu et que vous n’avez pas déjà baissé les bras. Dans ce contexte, est-ce que la folie ne serait pas de continuer de faire la même chose, en espérant un résultat différent ?

et si nous changions nos méthodes ?

L’un des principes fondamentaux de notre société est « traite les autres comme tu aimerais être traité ». Autant le dire de suite, je n’y crois pas et en tout cas il ne marche pas avec moi. Je pense qu’il devrait être modifié pour devenir : « traite les autres comme ils aimeraient être traités ». Cette subtile nuance change tout : il faut désormais se mettre à la place des employés, des utilisateurs de systèmes d’informations et comprendre pourquoi ils continuent à créer des mots de passe simplistes et les écrire partout, ou presque.

Lorsqu’on se met à la place de ses collègues, on constate de suite qu’ils sont soumis à beaucoup de pression : il faut livrer vite et, si possible, mieux (remarque : comme nous). Créer un mot de passe complexe leur prend du temps, surtout qu’il faut trouver un moyen mnémotechnique pour s’en rappeler (puisque je n’ai pas le droit de l’écrire). Un mot de passe avec des caractères spéciaux crée des problèmes dans les multinationales : en effet, lorsque je me connecte avec une machine dans un autre pays, le caractère n’existe potentiellement pas sur le clavier… (et comme je n’ai pas les droits administrateurs sur la machine, pour des raisons de sécurité,  si ça se trouve je ne peux même pas changer les paramètres internationaux du clavier… de toute façon encore faut-il avoir réussi à se connecter pour le changer).

Utiliser des mots de passes complexes complexifie la vie de personnes qui doivent être efficaces… Bref, on leur pourrit la vie.

que puis-je faire, sans budget supplémentaire ?

Personnellement, j’ai retiré les mots de passe du programme de sensibilisation. J’en parle plus.

Je fais une démonstration d’un outil de gestion des mots (gratuit). Pour entrer un mot de passe, vous appuyer simultanément sur CTRL – ALT – A, et c’est fait. C’est plus rapide que les sténographes, l’utilisateur est ravi. "Pour créer un mot de passe complexe et s’en rappeler, tu cliques sur ce bouton et celui-là, un copier-coller dans ton application et c’est fait". Alors là, ils sont aux anges…

Ensuite, je m’assure qu’ils ont cet outil installé sur leur machine. Il existe de nombreux logiciels de ce type, parmi ceux-ci je citerai KeePass (www.keepass.info), un logiciel Open Source, gratuit, multi-plateforme, dont les fonctionnalités de synchronisation me permettent d'avoir mes mots de passe à jour sur plusieurs machines. Mais ce n'est évidemment pas le seul et je vous invite à les tester avant de faire votre choix.

Mon travail désormais n’est plus que de m’assurer que cet outil ne présente pas de vulnérabilité. En gros, je l’inclus dans le programme de gestion des vulnérabilités.

conclusion

Voilà un risque humain résolu simplement et sans budget supplémentaire. Bien sûr, il existe de multiples autres solutions, l’objectif demeurant le même : aider l’utilisateur à être plus efficace.

Je suis certain que vous vous dites : "oui mais ce n’est qu’un seul risque lié à l’être humain, il y en a d’autres". Dans un post à venir, je vous présenterai ma vision de la gestion des risques pour prendre en considération l’être humain et ses faiblesses.

Johny

PS : d'autres articles de ce blog relatifs aux mots de passe :

  1. vos mots de passe : une clé pour garder vos secrets bien au chaud (lien)
  2. la grande mascarade des mots de passe (lien)
  3. robustesse de vos mots de passe (lien)
  4. un nouveau générateur de password (lien)

crédit photo : © khosrork - Fotolia.com

3 Commentaires

  • 24 Mars 2013
    2013-03-24
    par
    C23
    Ouais m'enfin il a aussi été demontré que un mot de passe fort n'est pas forcement un mot de passe mixé min/maj, chiffres et carac spéciaux : les utilisateurs n'étant pas trs friands non-lus des pwds à la MRMAFP5KG ("Mon Regime M'A Fait Perdre 5Kg"), il vaut mieux les diriger vers des mots de passe tres longs mais composés de mots du dico, de type "mangercinqfruitsparjour", tout en minuscules. Ils sont beaucoup plus facile à retenir et limite les fautes de frappes, et en brute force, ils sont ultra difficile à casser, le nombre de combinaisons étant gigantesque meme avec une attaque par dictionnaire. D'ailleurs, je ne comprends pas qu'iul existe encore des sites web sur cette planete, qui n'autorisent parfois que des pwds composés de chiffres, ou bien qui imposent un pwd de 8 à 13 caractères (vu une quantité énorme de fois sur la toile...)
  • 15 Mars 2013
    2013-03-24
    par
    Johny
    Tout à fait Nicolas, Il est certain qu'il faut mettre un "vrai" mot de passe. Personnellement, je conseille de partir depuis une phrase, avec la ponctuation, les espaces, les accents, ne pas écrire les nombres avec des lettres mais des chiffres, etc. Lorsqu'on explique à l'utilisateur qu'en contrepartie de n'avoir plus que deux mots de passe à connaître (ouvrir sa session et Keepass) et d'être plus efficace, il faut avoir un mot de passe très complexe, il adopte des mots de passe très complexe avec plaisir et ne se plaint pas.
    Et nous, notre but est atteint: un utilisateur de moins qui met en péril nos systèmes de sécurité en moins.
  • 13 Mars 2013
    2013-03-24
    par
    Nicolas
    Assez d'accord sur le sujet et aussi utilisateur et évangéliste de Keepass.
    Il faut quand même juste dire que pour ouvrir Keepass il faut un mot de passe FORT! K.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage