Le 2 mai dernier était la journée mondiale du mot de passe. Vous l’avez raté ? Nous aussi, elle était ce samedi.
Journée pourtant idéale pour penser à la sécurisation de ces mots de passe ou de songer à ajouter des mécanismes d’authentification forte.
Vous avez peut être du SSO (single sign on) : Ce mécanisme qui vous facilite la tâche en permettant une connexion à certaines de vos applications de manière transparente lorsque vous vous êtes authentifié une première fois sur votre session utilisateur ou une console centralisée.
Son intérêt principal côté utilisateur est de ne pas avoir à vous authentifier à chaque fois que vous accédez à l’interface de chacune de vos applications (ERP, CRM, etc.). Le point faible est que votre compte est d’autant plus critique à sécuriser.
Si vous n’avez pas de SSO vous avez à vous authentifier avec un compte sur chaque application. Il est plus que recommandé à minima d’avoir un gestionnaire de mot de passe et de ne surtout pas utiliser le même mot de passe partout..
Que vous soyez dans l’un ou l’autre des cas, la conservation, l’utilisation d’un mot de passe robuste ainsi qu’une politique de cycle de vie du mot de passe sont de rigueur..
À ce propos, La CNIL a développé un outil qui vous permet de générer des mots de passe ici :
https://www.cnil.fr/fr/generer-un-mot-de-passe-solide
Problème, la croissance des applications en mode SaaS ouvre davantage d’horizons aux hackers qui peuvent accéder à l’interface de connexion initiale de vos applications et compromettre vos données.
Pour apporter une couche supplémentaire de protection, certains mécanismes d’authentification existent et permettent de renforcer la sécurité de vos comptes à l’image du SMS que vous pourriez recevoir de votre banque lorsque vous faites des achats en ligne. (Ce SMS vous fourni en règle général un code à 8 chiffres que vous avez à rentrer dans une fenêtre avant validation définitive du paiement).
Ou de certains gros sites web ou GAFA qui vous permettent d’avoir un aperçu de la date, l’heure, du système d’exploitation et de la localité géographique de votre dernière connexion à votre compte (voire d’activer une authentification double facteur) afin d’autoriser sur votre smartphone pendant que votre navigateur est en attente comme sur les images ci-dessous (à droite navigateur, à gauche smartphone).
N’oubliez pas de vous inquiéter avant d’apprendre qu’une tentative de connexion a eu lieu de l’autre côté du globe ! 🙂
Nous utilisons un mécanisme similaire pour protéger nos applications métiers. L’outil que nous avons décidé d’utilisé s’appelle AuthPoint est est fourni par Watchguard.
Pour ceux qui connaissent déjà la société, nul besoin d’avoir du matériel Watchguard pour utiliser cette fonctionnalité, elle est dissociée des UTM ou de DNS WatchGO.
3 types d’authentifications sont proposés : Via notification push, via QR code ou par code unique.
L’application fait office de console centralisée vous permettant un accès via un simple clic (vous évitant une authentification supplémentaire) et garantissant un accès à l’ensemble (ou presque) de vos applicatifs une fois connecté.
Une explication un peu plus détaillée est disponible ici :
https://www.watchguard.com/wgrd-products/test-drive-authpoint
L’application est disponible sur iOS et Android et est non intrusive.
Pour plus d’informations et/ou détail technique, n’hésitez pas à nous solliciter.
Responsable Projets Innovants et Délégué à la Protection des Données chez Soluceo