Le Centre de vol spatial Goddard de la NASA prend son envol avec Bitwarden

Lorsque Mark Miller, ingénieur systèmes LINUX, a rejoint le Centre de vol spatial Goddard de la NASA, le centre NASA Goddard gérait les mots de passe avec un outil appelé Cryptvault. Bien que « suffisant », cet outil était écrit en ColdFusion (CFML), datait de plus de 15 ans et avait été créé par un développeur qui avait depuis longtemps quitté l’organisation. Il était également limité à un seul système et son chiffrement associé avait été écrit pour une base de code 32 bits restreinte. Lorsque le moment est venu pour NASA Goddard de délaisser d’autres systèmes hérités, l’équipe informatique a commencé à chercher une solution de gestion des mots de passe de remplacement. 

Trouver un moyen sûr et global de partager des informations sensibles et des mots de passe était une mission essentielle pour les équipes de NASA Goddard. Si les agences gouvernementales ont toujours été des cibles de la cybercriminalité, en particulier de la part d’acteurs étatiques, le Rapport SonicWall 2022 sur les cybermenaces a montré une forte hausse de toutes les formes de cyberattaques contre le gouvernement américain. Et le lien entre mots de passe faibles et violations de données est indéniable, comme le souligne une série de rapports Verizon sur les violations de données mettant ce lien en évidence. Les exemples concrets sont également parlants : il suffit de regarder SolarWinds et Colonial Pipeline pour plus de preuves.

L’équipe de Mark à la NASA Goddard recherchait un site capable de prendre en charge plusieurs utilisateurs, doté d’une interface Web intuitive et facile à partager. Une plateforme permettant le stockage local des données était également essentielle. Si la technologie cloud offre de nombreux avantages, elle ne donne pas aux organisations le contrôle de leurs propres données locales. Le besoin de stockage local a écarté de nombreux candidats, car beaucoup de fournisseurs de gestion de mots de passe ne sont disponibles que dans le cloud.

Bien que l’équipe ait envisagé de créer un outil de gestion des mots de passe en interne, elle ne disposait pas de l’expérience en sécurité ni de l’expertise en codage nécessaires pour mettre au point une solution. De plus, l’équipe de développement était déjà engagée sur des projets existants et n’avait pas la capacité d’en prendre davantage. Le coût était également un critère majeur. C’est là qu’intervient Bitwarden.

Bitwarden répondait à toutes les exigences de la NASA. Il offrait de nouvelles fonctionnalités inattendues, comme la recherche et un générateur de mots de passe/générateur de phrases de passe/générateur de noms d’utilisateur, ainsi qu’un stockage chiffré et une interface d’administration. 

En cas de départ d’un membre de l’organisation, Bitwarden offre un excellent moyen de transférer les informations à son remplaçant. Il a également instauré une culture du « processus », un atout majeur pour l’équipe informatique. Intégrer un processus à la gestion des mots de passe en fait une seconde nature pour l’équipe, qui prend l’habitude de saisir ses mots de passe dans le gestionnaire de mots de passe de manière cohérente et organisée. Cela a également supprimé la nécessité d’enregistrer les identifiants dans différents systèmes et navigateurs.

À l’avenir, l’équipe est impatiente d’utiliser l’intégration SSO Entreprise de Bitwarden. Elle étudie également si les appareils de l’organisation, tels que les téléphones utilisés sur site, peuvent être éligibles à Bitwarden. Enfin, elle envisage des possibilités d’extension à d’autres divisions de la NASA. 

« Les mots de passe sont là pour durer », a déclaré Miller. « Ils ne vont pas disparaître. Il y a tout simplement trop de comptes de service, de clés d’API ou d’autres identifiants sécurisés qui doivent être partagés au sein d’une organisation afin d’assurer son fonctionnement. »

Rendez-vous sur opensourcesecuritysummit.com pour en savoir plus sur cette conférence annuelle.

Prêt à commencer avec Bitwarden ? Créez un compte Bitwarden gratuit, ou inscrivez-vous à un essai gratuit de 7 jours de nos offres professionnelles pour contribuer à protéger votre entreprise et votre équipe en ligne.