[En pratique] Cas de changements réguliers de mots de passe et comportements de contournement
Nous avons rencontrés plusieurs entreprises qui avaient mis en place des politiques de sécurisation des mots de passe en demandant leur modification à intervalle régulier (une fois par mois ou tous les 90 jours).
C’est une bonne pratique pour réduire les risques de piratage de comptes puisqu’un mot de passe, s’il est compromis, ne le sera pas longtemps.
En revanche, la mise en application par les salariés a produit l’effet inverse.
Description de la situation
Comportements de contournement
Face à ce nouvel automatisme, les salariés ont eu plusieurs comportements de contournement :
- Ecrire les mots de passe sur un post-it ou un fichier sur leur ordinateur pour s’en souvenir
- Mettre en place des mots de passe faciles à mémoriser sous forme de suite. Exemple : Janvier, Février, Mars etc. ou Lundi, Mardi, Mercredi etc.
- Utiliser toujours le même mot de passe en ajoutant un chiffre à la fin
- Demander à chaque fois la réinitialisation du mot de passe auprès de l’équipe support qui croulait sous les tickets de ce type.
- Utiliser 2 mots de passe différents en alternance d’une fois sur l’autre
Etat d'esprit
Les salariés ne comprenaient pas pourquoi la DSI (Direction des Systèmes d’Information) avait mis en place ça. Ils étaient agacés car ils perdaient du temps à mémoriser et modifier leurs mots de passe.
Face à leurs comportements de contournement, la DSI ripostait en mettant des contraintes supplémentaires sur les mots de passe pour obliger les salariés à ne pas utiliser un mot de passe antérieur mais bien en créer un nouveau à chaque fois. Ils obligeaient à créer des mots de passe avec majuscule, minuscule, caractères spéciaux pour renforcer la sécurité des mots de passe.
De plus en plus de salariés écrivaient leurs mots de passe quelque part pour s’en souvenir.
Les salariés et la DSI ne se comprenaient pas et s’agaçaient du comportement de l’autre.
Préconisations
Après avoir analysé la situation de blocage, nous avons défini le plan d’actions suivant :
- Mettre en place un logiciel de gestion de mots de passe ou communiquer sur le logiciel existant. Certaines entreprises avaient déjà un logiciel de gestion des mots de passe mais ce logiciel n’était pas connu ou utilisé par les salariés.
- Déployer une stratégie d’accompagnement au changement comprenant des formations, du support, des mises en situation et de la communication.
Résultats
Au bout de quelques mois, la majorité des salariés avaient adopté le logiciel de gestion des mots de passe et les mots de passe étaient sécurisés puisque le logiciel générait des mots de passe robustes.
La stratégie de la DSI était comprise par les salariés. Les salariés trouvaient que ce nouveau logiciel leur faisait gagner du temps car ils préremplissaient les champs de connexion.
Ce qui est important à retenir c’est qu’une stratégie de cybersécurité, si elle n’est pas comprise et adoptée, elle peut être contre-productive à causes de comportements de contournements.
Pour aller plus loin
Comment l'agence Quelle Vie Tranquille peut vous aider ?
→ Si ne savez pas si vous avez mis en place les bons gestes de cybersécurité, nous pouvons réaliser un diagnostic afin d’identifier les failles de sécurité et de définir un plan d’actions pour y remédier.
→ Si vous ne savez pas quel gestionnaire de mots de passe choisir, nous pouvons réaliser une analyse du besoin pour vous aider à choisir celui qui vous correspondra la mieux.
→ Si vous avez des failles de sécurité, nous vous mettons en relation avec des experts de la cybersécurité afin de résoudre rapidement votre problématique.
→ Si vous constatez de nombreux comportements de contournements de la part de vos salariés suite à la mise en place d’une nouvelle politique de cybersécurité, nous pouvons analyser la situation pour vous apporter une solution via notamment l’accompagnement au changement.
→ Nous mettons à disposition des tutos sur les bons gestes en cybersécurité ainsi que des articles de veille, des événements …etc. sur notre site internet (Blog), ainsi que dans notre newsletter mensuelle.
