Modèle de maturité de la gestion des mots de passe

Les organisations de niveau 1 n’ont pas déployé de gestionnaire de mots de passe à l’échelle de l’entreprise. L’absence de système centralisé de gestion des mots de passe augmente le risque de mots de passe compromis, car les employés peuvent utiliser des mots de passe faibles ou réutilisés sans supervision appropriée. À la place, les employés adoptent une approche cloisonnée et ponctuelle pour sécuriser les mots de passe de l’entreprise. Cela peut inclure l’utilisation de , de feuilles de calcul Excel, le partage de mots de passe via Slack, ou leur inscription sur papier et post-it. Cet environnement est peu susceptible de favoriser une culture de sécurité solide ou de mettre l’accent sur les bonnes pratiques de sécurité. La formation à l’échelle de l’entreprise est rare, voire inexistante. Sur le plan de la maturité technique globale, il est très probable que les données sensibles ou critiques, lorsqu’elles sont partagées, ne soient pas chiffrées et soient exposées à des risques.

• Déploiement du gestionnaire de mots de passe : Une organisation de niveau 1 n’a mis en place aucun processus de gestion des mots de passe, laissant les employés s’en remettre à leurs habitudes individuelles.

• Culture de sécurité : Une organisation de niveau 1 ne met pas l’accent sur les bonnes pratiques de sécurité et présente une sensibilisation minimale à la sécurité.

• Maturité technique : Une organisation de niveau 1 partage des informations sensibles de manière non sécurisée, souvent sans chiffrement.

Les organisations de niveau 1 partent de zéro et disposent de nombreuses possibilités d’amélioration rapide grâce à des actions simples pouvant renforcer immédiatement la sécurité. La prochaine étape prioritaire pour qu’une entreprise améliore sa sécurité consiste à imposer l’utilisation d’un gestionnaire de mots de passe à une équipe, généralement l’IT, puis à établir un plan de déploiement à grande échelle.

Le niveau 2 indique une approche un peu plus mature, mais encore en développement, de la sécurité renforcée des mots de passe et de leur gestion. Les organisations à ce stade n’utilisent pas de gestionnaire de mots de passe à l’échelle de l’entreprise, et les sont décentralisées, les employés s’appuyant sur une combinaison de gestionnaires de mots de passe intégrés aux navigateurs et d’autres outils de gestion des mots de passe intégrés. Certaines organisations peuvent commencer avec un gestionnaire de mots de passe gratuit avant de passer à une solution plus centralisée. Les bonnes pratiques de sécurité ne font l’objet que d’une attention superficielle lors de l’intégration des employés, sans constituer un axe constant pour l’organisation. À ce niveau, la maturité technique se caractérise par des pratiques de chiffrement variables : certaines informations sont chiffrées, d’autres non, et l’authentification à deux facteurs est utilisée avec parcimonie pour renforcer la vérification de l’identité. Les organisations souhaitant passer du niveau 2 au niveau 3 doivent se concentrer sur une sensibilisation et une formation accrues afin d’établir, au moins ponctuellement, des pratiques fondamentales de sécurité des informations d’identification.

• Déploiement du gestionnaire de mots de passe : Les entreprises de niveau 2 présentent une gestion décentralisée des mots de passe ou une utilisation ponctuelle de gestionnaires de mots de passe intégrés, comme le Trousseau Apple ou ceux intégrés aux navigateurs.

• Culture de sécurité : Les entreprises de niveau 2 accordent une importance limitée aux bonnes pratiques de sécurité des mots de passe.

• Maturité technique : Les entreprises de niveau 2 ont des approches incohérentes du partage d’informations chiffrées et de l’utilisation de l’authentification multifacteur (2FA).

Les entreprises de niveau 2 accordent un peu plus d’importance à la sécurité des données, mais les pratiques globales restent décentralisées. La prochaine étape immédiate pour améliorer la sécurité consiste à choisir un gestionnaire de mots de passe centralisé et multiplateforme, qui fonctionne sur tous les appareils des employés, puis à lancer un déploiement progressif.

Le passage du niveau 2 au niveau 3 représente une étape importante vers la sécurisation de votre entreprise. Des équipes limitées au sein de l’organisation s’appuient sur un gestionnaire de mots de passe autonome, mais le déploiement global reste minimal. Les formations à la sécurité sont plus fréquentes et plus régulières, et les employés reçoivent plus souvent des alertes lorsqu’ils adoptent des pratiques de sécurité manifestement risquées. Sur le plan de la maturité technique, les employés qui utilisent collectivement une solution de gestion des mots de passe bénéficient d’une prise en charge sur tous les appareils fournis par l’entreprise et peuvent partager en toute sécurité des mots de passe ainsi que d’autres informations sensibles. L’utilisation d’un coffre de mots de passe chiffré peut renforcer considérablement la sécurité en stockant de manière sécurisée les informations sensibles. La capacité à partager des données en toute sécurité entre collègues marque une rupture avec le niveau 2.

• Déploiement du gestionnaire de mots de passe: Les entreprises de niveau 3 disposent d’une certaine gestion centralisée des mots de passe, avec une ou deux équipes qui utilisent des gestionnaires de mots de passe autonomes plutôt que des outils intégrés.

• Culture de sécurité: Les entreprises de niveau 3 accordent une importance accrue à la culture de sécurité, mais ne disposent pas d’outils ni de systèmes permettant une responsabilisation concrète.

• Maturité technique: Les équipes de niveau 3 qui utilisent un gestionnaire de mots de passe centralisé bénéficient d’une couverture multiplateforme sur tous les appareils et .

Les entreprises de niveau 3 évoluent vers une approche plus centralisée de la sécurité des données, bien qu’encore inégale. La prochaine étape pour améliorer la sécurité consiste à élargir la couverture de la gestion des mots de passe, en passant d’un déploiement par phases à un déploiement à l’échelle de l’entreprise.

Le niveau 4 se caractérise par l’adoption généralisée d’un gestionnaire de mots de passe à l’échelle de l’entreprise, avec un déploiement lancé dans toute l’organisation. Il est essentiel de créer un mot de passe principal fort pour sécuriser le gestionnaire de mots de passe. Tous les employés sont encouragés à utiliser le gestionnaire de mots de passe de l’entreprise pour créer, stocker et partager des mots de passe avec les autres membres de l’équipe. De plus, la formation à la sécurité devient la norme et est acceptée par toute l’organisation, la direction suivant et encourageant la participation au moyen de modules de formation détaillés. La maturité technique de niveau 4 correspond à une gestion des mots de passe à l’échelle de l’entreprise, avec intégration aux services d’annuaire et authentification unique. L’intégration aux services d’annuaire (qui peuvent inclure Active Directory/Entra, Google Workspace ou OneLogin) synchronise les utilisateurs et les groupes d’un annuaire externe avec le gestionnaire de mots de passe. L’intégration à l’authentification unique permet aux organisations de tirer parti de leur fournisseur d’identité existant pour authentifier les utilisateurs auprès de leur gestionnaire de mots de passe d’entreprise. 

• Déploiement du gestionnaire de mots de passe: Les entreprises de niveau 4 ont déployé un gestionnaire de mots de passe autonome dans toute l’organisation, les équipes étant fortement encouragées à abandonner complètement les outils intégrés et les pratiques ponctuelles. 

• Culture de sécurité: Les entreprises de niveau 4 proposent des formations régulières à la sécurité et encouragent la participation au moyen d’indicateurs de présence. 

• Maturité technique: Les entreprises de niveau 4 ont intégré les gestionnaires de mots de passe aux workflows informatiques, notamment aux services d’annuaire et à l’authentification unique.

Les entreprises de niveau 4 ont adopté une approche beaucoup plus uniforme et concrète de la sécurité des données, axée sur une couverture universelle. La prochaine étape pour améliorer la sécurité consiste à rendre obligatoire la gestion des mots de passe à l’échelle de l’entreprise dans toute l’organisation. Une fois cette démarche engagée, activez l’authentification sans mot de passe et exigez l’authentification multifacteur (2FA) pour toutes les équipes.

À ce stade, une organisation a adopté à grande échelle un gestionnaire de mots de passe d’entreprise intégré à ses workflows organisationnels. Ce coffre de mots de passe sert à stocker et gérer en toute sécurité les informations sensibles, notamment les mots de passe, les informations de carte bancaire et les données personnelles. L’adoption de la gestion des mots de passe à l’échelle de l’entreprise est obligatoire, avec des restrictions concernant les autres méthodes de stockage des mots de passe. À ce stade, les entreprises proposent aux employés des offres familiales de gestion des mots de passe afin de cultiver une culture de sécurité à 360°, mettant l’accent sur de bonnes habitudes de gestion des mots de passe, tant personnelles que professionnelles. La formation à la sécurité est obligatoire pour toute l’organisation, et les employés sont encouragés à signaler les activités de cybersécurité suspectes. La maturité technique se caractérise par une couverture et des rapports complets. Le gestionnaire de mots de passe à l’échelle de l’entreprise offre des options sans mot de passe, de la biométrie auxIntegration with single sign-on, tandis que les développeurs utilisent des API pour l’intégration avec d’autres outils, tels que les SIEM, afin de garantir une pile de sécurité efficace. L’automatisation par scripts avec des API est utilisée pour renforcer le contrôle administratif et simplifier les workflows complexes.

• Déploiement du gestionnaire de mots de passe: Les entreprises de niveau 5 exigent que tous les employés utilisent un gestionnaire de mots de passe autonome.

• Culture de sécurité: Les entreprises de niveau 5 ont instauré une formation à la sécurité obligatoire, les employés prenant l’initiative de signaler toute activité suspecte au service informatique. 

• Maturité technique: Les entreprises de niveau 5 ont adopté un gestionnaire de mots de passe à l’échelle de l’entreprise qui propose l’authentification sans mot de passe, exige l’authentification multifacteur (2FA) et encourage les développeurs à utiliser des API pour l’intégration avec d’autres outils.

Les entreprises de niveau 5 disposent d’un système de gestion des mots de passe complet, sophistiqué et déployé à l’échelle de l’entreprise. Les entreprises qui souhaitent aller plus loin devraient explorer qui sécurisent l’infrastructure et les secrets machine.

At this stage, an organization has undergone full-scale adoption of an enterprise-wide password manager integrated into organizational workflows. This password vault is used for securely storing and managing sensitive information, including passwords, credit card details, and personal data. Company-wide password management adoption is mandated, with restrictions on alternative password storage methods. Enterprises at this stage offer employees password management family plans to cultivate a 360° security culture, emphasizing personal and professional password management habits. Security training is required for the entire organization, and employees are encouraged to report suspicious cybersecurity activities. Technical maturity is characterized by comprehensive coverage and reporting. The enterprise-wide password manager enables passwordless options from biometrics to passkeys, while developers use APIs for integration with other tools, such as SIEM, in order to ensure an effective security stack. Automated scripting with APIs is utilized to enhance administrative control and simplify complex workflows.

• Password Manager Deployment: Level 5 companies require all employees to use a stand-alone password manager.

• Security Culture: Level 5 companies have instituted mandatory security training, with employees taking the initiative to flag suspicious activity to the IT department. 

• Technical Maturity: Level 5 companies have embraced an enterprise-wide password manager that offers passwordless authentication, requires multifactor authentication (2FA), and encourages developers to utilize APIs for integration with other tools.

Level 5 companies have a comprehensive, sophisticated, enterprise-wide password management system in place. Companies interested in progressing beyond this point should explore secrets management tools that secure infrastructure and machine secrets.