Définir le cycle de vie des employés pour la gestion des mots de passe
De nouveaux types de défis de sécurité, ou d’exploits à atténuer, apparaissent chaque jour, ce qui entraîne une évolution constante de la pile informatique. Heureusement, certains outils de sécurité peuvent facilement s’intégrer à la pile existante de votre entreprise tout en améliorant la productivité et la sécurité des employés.
Lorsque vous ajoutez de nouveaux outils à votre liste, réfléchissez à la manière dont vous gérerez les accès tout au long du cycle de vie des employés. Par exemple, un nouvel employé doit accéder à certains systèmes dès le premier jour, tandis que d’autres pourront être introduits plus tard. À l’autre extrémité du spectre, les accès doivent être révoqués immédiatement pour un employé licencié.
Une gestion complète des mots de passe renforce la sécurité de l’entreprise et des individus, tout en favorisant la collaboration et une productivité accrue. Ce guide explique comment la gestion des mots de passe intervient à chaque étape du cycle de vie des employés.
Étapes du cycle de vie des employés
La gestion des mots de passe touche pratiquement toutes les composantes de votre entreprise et revêt une importance particulière à trois grandes étapes du cycle de vie d’un employé.
Intégration
Succession et promotion
Départ
Intégrer les nouveaux employés
Qu’il s’agisse d’accorder l’accès aux systèmes de l’entreprise et des services, de définir les objectifs des nouveaux employés ou de planifier des formations, une intégration efficace demande du temps et de l’attention. Intégrer efficacement les nouveaux employés accélère leur adaptation et aide l’entreprise à obtenir des résultats plus rapidement.
Dans les grandes entreprises, les équipes des ressources humaines et informatiques peuvent accorder l’accès à des systèmes à l’échelle de l’entreprise, y compris des options d’authentification unique (SSO) pour certains services. Cependant, l’univers des identifiants des employés va souvent bien au-delà de ceux gérés dans ces systèmes. De plus, les entreprises de taille moyenne n’ont pas toujours mis en place de système SSO et ont encore plus besoin que leurs employés adoptent dès le départ de bonnes pratiques de sécurité numérique.
Du point de vue du nouvel employé, accéder aux logiciels ou applications nécessaires et les configurer sans les bons outils peut créer des frictions et de la confusion, ce qui mène à de mauvaises pratiques. En l’absence d’un processus sécurisé, tel qu’un gestionnaire de mots de passe, le partage des identifiants de connexion avec les nouveaux employés se fait souvent par des méthodes à risque, comme l’e-mail ou les applications de messagerie.
La pression pour réussir au travail, tant pour l’individu que pour l’équipe, signifie souvent que les collègues partageront entre eux les informations de connexion nécessaires ; la seule question est de savoir s’ils disposent ou non des moyens de le faire en toute sécurité.
Une récente enquête auprès de décideurs informatiques a révélé que près de 60 % des équipes partageraient les mots de passe de l’entreprise avec des collègues par des méthodes non sécurisées, malgré les risques. Et 80 % des décideurs informatiques souhaitent imposer l’utilisation d’un gestionnaire de mots de passe à l’échelle de l’entreprise, la praticité étant une raison majeure. Un autre facteur essentiel est qu’un gestionnaire de mots de passe met l’accent sur la sécurité des données, car de meilleures pratiques en matière de mots de passe réduisent les comportements à risque.
Introduire un gestionnaire de mots de passe dès le début du processus d’intégration favorise son adoption et limite les frictions liées à l’accès à de nouveaux systèmes.
Succession et promotion
Faire évoluer votre entreprise exige également des technologies flexibles pour accompagner la croissance, y compris la gestion des mots de passe. L’expansion peut inclure l’augmentation de la taille des équipes, la création de nouveaux rôles ou services, ou des acquisitions.
Il arrive que des employés existants évoluent vers de nouveaux rôles, ce qui peut nécessiter un transfert de propriété des logiciels ou une mise à jour des niveaux d’accès utilisateur. Avec un système de gestion des mots de passe en place, déplacer les employés en transition vers de nouveaux groupes avec de nouveaux dossiers partagés ou mettre à jour les accès par rôle peut se faire en quelques clics.
Pour un cabinet d’avocats, RMWBH, Attorneys and Counselors at Law, cela se produit souvent lors de la gestion d’un grand nombre de dossiers entre avocats et assistants juridiques.
Si un assistant juridique travaille sur une affaire dont la date de procès approche rapidement, il peut la transmettre à l’assistant juridique suivant sans déranger l’utilisateur d’origine. La gestion de plus de 10 000 mots de passe est automatisée au moyen d’une série de dossiers partagés qui permettent une distribution automatique, réduisant la durée du processus de plusieurs jours à quelques heures seulement
Table des matières
Définir le cycle de vie des employés pour la gestion des mots de passe
Étapes du cycle de vie des employés
Intégrer les nouveaux employés
Succession et promotion
Départ des employés
Différents types de gestionnaires de mots de passe
Comprendre les différents types d’utilisateurs finaux de la gestion des mots de passe
Départ des employés
Lorsqu’un employé quitte une entreprise de sa propre initiative ou à la suite d’un licenciement, le processus de départ comprend la finalisation ou le transfert des projets et la désactivation des accès aux systèmes. Dans certaines entreprises qui ne disposent pas d’un système de gestion des mots de passe, quelqu’un peut changer les mots de passe de toutes les connexions partagées le dernier jour de l’employé. Cela inclut peut-être la mise à jour d’une feuille de calcul contenant les identifiants de connexion et son partage avec les autres membres de l’équipe ayant besoin d’un accès. Cette pratique peut présenter des risques, car les feuilles de calcul et documents partagés non chiffrés n’offrent pas la sécurité ni le contrôle d’accès granulaire nécessaires pour gérer les mots de passe. Les entreprises veulent préserver les connaissances institutionnelles en cas de transition d’un employé. Intesys, entreprise italienne de transformation numérique, était à la recherche d’une solution centralisée. « Nous avions besoin d’une solution centralisée pour gérer le provisionnement et le déprovisionnement des accès des utilisateurs aux identifiants », a déclaré Mirko Spezie, spécialiste système senior de l’entreprise. En s’appuyant sur des dossiers partagés appelés « collections » dans leur système de gestion des mots de passe, l’équipe Intesys pouvait réattribuer facilement et en toute sécurité les accès aux membres de l’équipe concernés.
Au-delà de ces exemples de gestion des mots de passe à chaque étape du cycle de vie des employés, il est important de noter que tous les systèmes de gestion des mots de passe ne se valent pas.
Étude de cas
Lire l’étude de cas Intesys ici
Différents types de gestionnaires de mots de passe
Les gestionnaires de mots de passe prennent de nombreuses formes et proviennent de différentes entreprises de l’écosystème technologique. Dans cet éventail de solutions, il est important de connaître les différences et ce qui convient le mieux à votre organisation lorsqu’il s’agit de choisir le bon gestionnaire de mots de passe.
Gestionnaires de mots de passe pour le lieu de travail | Fonctionnement | Inconvénients |
|---|---|---|
Proposés par les grands fournisseurs de systèmes d’exploitation | Microsoft, Apple et Google offrent une solution pratique lorsque vous utilisez leurs plateformes et appareils. | Pour des besoins véritablement multiplateformes, ces solutions n’offrent pas une couverture complète. Elles se concentrent en outre sur la gestion des identifiants individuels, et non sur leur partage entre équipes. |
Proposés par les fournisseurs de navigateurs | Les navigateurs invitent souvent les utilisateurs à enregistrer leurs mots de passe grâce à une fonction intégrée au navigateur. | De nombreux employés utilisent simultanément différents navigateurs sur plusieurs projets. Cependant, les mots de passe ne peuvent pas être synchronisés entre les navigateurs. |
Propriétaire | Un système propriétaire indépendant fournit la gestion des mots de passe sous forme de service. | Les gestionnaires de mots de passe propriétaires peuvent être plus coûteux et rigides, laissant peu de marge pour personnaliser les intégrations ou les options de déploiement. |
Open source | Un système open source indépendant offre de la flexibilité, peut être déployé dans le cloud ou en auto-hébergement, et est 100 % transparent en matière de sécurité puisque le code est ouvert. | Certaines entreprises découvrent encore les avantages de combiner sécurité et open source pour les solutions d’infrastructure. |
Intégration entre les gestionnaires de mots de passe, la gestion des identités et des accès et les fournisseurs d’identité
Les gestionnaires de mots de passe les plus utiles s’intègrent parfaitement aux stratégies existantes de gestion des identités et des accès des entreprises, ainsi qu’à leurs fournisseurs d’identité existants.
Gestion des identités et des accès (IAM)
Selon CSOonline.com, l’IAM fournit « ... aux responsables informatiques des outils et technologies pour contrôler l’accès des utilisateurs aux informations critiques au sein d’une organisation ». En général, l’IAM décrit les niveaux de parcours d’accès aux outils et systèmes à l’échelle de l’entreprise. Un logiciel de gestion des mots de passe est un élément fondamental d’une approche IAM globale, permettant aux membres de l’équipe de stocker et de partager des identifiants de connexion.
La gestion des mots de passe intègre des fonctionnalités en libre-service pour la sécurité et la collaboration, spécifiquement pour les identifiants de connexion et les informations sensibles. Par exemple, les utilisateurs peuvent conserver des abonnements à des sites web spécifiques, stocker des informations de carte bancaire ou des notes sécurisées documentant les procédures liées à certains identifiants. Donner aux employés les moyens de prendre en charge leur propre sécurité renforce la posture de sécurité globale de l’entreprise.
Fournisseurs d’identité (IdP)
Les fournisseurs d’identité (IdP) complètent encore les gestionnaires de mots de passe. Ils gèrent de manière centralisée les identifiants des employés, souvent avec une authentification à deux facteurs, le plus souvent sous la forme d’une authentification unique (SSO). Avec cette approche, les outils et systèmes utilisés à l’échelle de l’entreprise simplifient le processus de connexion des employés via l’IdP.
Dans une optique d’intégration aux solutions existantes, les gestionnaires de mots de passe qui utilisent le fournisseur d’identité existant d’une entreprise offrent une voie rapide vers la réussite. Les gestionnaires de mots de passe permettent aux employés de gérer et de partager des identifiants en toute sécurité, y compris ceux qui peuvent être propres à certains employés ou à certaines équipes.
Livre blanc technique
Intégration et succession des employés avec Bitwarden
Comprendre les types d’utilisateurs finaux de la gestion des mots de passe
Introduire un nouveau système de gestion des mots de passe dans votre organisation nécessite de comprendre tout un éventail d’expériences antérieures. Cela peut aller des utilisateurs déjà familiers des gestionnaires de mots de passe à ceux qui utilisent encore papier et stylo. Comprendre les types d’utilisateurs finaux, en particulier lors de l’intégration des employés, permet d’adapter l’approche de déploiement.
Le novice
Il stocke ses mots de passe dans un bloc-notes, sur des pense-bêtes ou dans une feuille de calcul. Son hygiène générale en matière de mots de passe pourrait être améliorée, avec de nombreux mots de passe réutilisés et partagés par des méthodes non sécurisées, comme des messages de chat ou des e-mails. Il peut avoir besoin d’être accompagné au début pour apprendre à utiliser un gestionnaire de mots de passe et à appliquer les bonnes pratiques de cybersécurité en général. Le convaincre tôt et lui fournir une formation seront essentiels pour qu’il continue à utiliser régulièrement le gestionnaire de mots de passe comme prévu.
L’adepte de la gestion des mots de passe
Il utilise le même gestionnaire de mots de passe gratuit depuis des années et connaît parfaitement le concept. Il en a peut-être même déjà parlé une ou deux fois à l’équipe informatique et l’utilise probablement pour stocker ses propres mots de passe professionnels. L’amener à utiliser un gestionnaire de mots de passe d’entreprise sera facile, et il pourrait même montrer à d’autres membres de l’équipe comment l’utiliser. Il pourrait être un excellent ambassadeur à intégrer à votre programme de formation.
Le chef d’équipe
Il a actuellement peu ou pas de visibilité sur la façon dont son équipe partage les mots de passe. Il veut fournir rapidement à son équipe un accès aux systèmes et aux informations sensibles, et gérer les mises à jour. Certains chefs d’équipe ont peut-être déjà utilisé un gestionnaire de mots de passe et ont une bonne compréhension générale du concept et de ses avantages. Ils peuvent avoir besoin d’aide pour organiser leur équipe et leurs mots de passe au sein même du système de gestion des mots de passe.
L’utilisateur dirigeant
Il peut avoir déjà utilisé un gestionnaire de mots de passe, ou non, mais son principal obstacle est le temps. Son emploi du temps est chargé, avec très peu de créneaux pour apprendre à utiliser un nouvel outil. S’il ne perçoit pas personnellement la valeur d’un gestionnaire de mots de passe dès le départ, il peut hésiter à en approuver l’utilisation continue à l’échelle de l’entreprise. En revanche, un dirigeant convaincu par une approche axée sur la sécurité peut devenir un utilisateur avancé et un ambassadeur de l’autonomisation des employés pour une gestion sécurisée des identifiants. Les modèles de partage sécurisé adaptés permettent facilement à un assistant de direction d’aider à gérer les identifiants d’un ou de plusieurs cadres dirigeants. Il peut avoir déjà utilisé un gestionnaire de mots de passe, ou non, mais son principal obstacle est le temps. Son emploi du temps est chargé, avec très peu de créneaux pour apprendre à utiliser un nouvel outil. S’il ne perçoit pas personnellement la valeur d’un gestionnaire de mots de passe dès le départ, il peut hésiter à en approuver l’utilisation continue à l’échelle de l’entreprise. En revanche, un dirigeant convaincu par une approche axée sur la sécurité peut devenir un utilisateur avancé et un ambassadeur de l’autonomisation des employés pour une gestion sécurisée des identifiants. Les modèles de partage sécurisé adaptés permettent facilement à un assistant de direction d’aider à gérer les identifiants d’un ou de plusieurs cadres dirigeants.
Évaluation des fonctionnalités de gestion des mots de passe
Tous les systèmes de gestion des mots de passe d’entreprise ne se valent pas. Parmi les incontournables à rechercher figurent :
Chiffrement de bout en bout Les données doivent être entièrement chiffrées avant même de quitter votre appareil.
Sécurité de niveau entreprise Recherchez des audits de sécurité réguliers par des tierces parties et vérifiez si le gestionnaire de mots de passe est conforme aux principales normes de confidentialité et de sécurité, telles que le RGPD, le CCPA, l’HIPAA et le SOC 2.
Options de déploiement flexibles Recherchez la possibilité de tirer parti d’un système basé sur le cloud pour démarrer rapidement, ainsi qu’une option d’auto-hébergement si cela correspond à vos besoins.
Approche personnalisable Vous devez pouvoir définir des exigences relatives aux mots de passe et des politiques d’administration qui permettront aux employés d’adopter une bonne hygiène des mots de passe.
Synchronisation et intégrations faciles Simplifiez l’intégration des utilisateurs et la gestion des accès à partir de votre service d’annuaire et de votre fournisseur d’identité existants.
Évolutivité à l’échelle de l’entreprise L’accès aux données critiques doit être disponible sur tous les sites, navigateurs et appareils, avec de nombreuses traductions pour un public international.
Bitwarden offre bon nombre de ces fonctionnalités et présente l’avantage d’être une plateforme open source. Des audits réguliers soutiennent cette base transparente, avec des améliorations continues pour renforcer la sécurité.
Quelle que soit la taille de votre entreprise, tout le monde gagne à utiliser un gestionnaire de mots de passe, en particulier s’il vous permet de couvrir chaque étape du cycle de vie des employés. Commencez dès aujourd’hui avec un essai gratuit pour votre entreprise.