Comment gérer les comptes partagés entre les utilisateurs ?

Articles
>
IAM - gestion des accès et des identités
>
Comment gérer les comptes partagés entre les utilisateurs ?

Les différents types de partage de comptes

Quand l'ensemble des membres d'une même équipe a besoin d'accéder à une application, on pratique souvent le partage de compte. On se retrouve à plusieurs à utiliser le même compte d'un collègue.

"C'est quoi ton mot de passe ?"

C'est la méthode traditionnelle de partage de compte : on demande à son collègue ses identifiants, pour pouvoir se connecter sur son compte et avoir accès ainsi au CRM ou aux outils marketing souhaités. C'est la méthode préférée des utilisateurs, car elle est la plus rapide, la plus conviviale. Evidemment cette méthode n'est absolument pas du goût de l'équipe IT qui y voit une faille de sécurité : les mots de passe - parfois critiques quand il s'agit du CRM contenant les informations clients - sont échangés oralement, à disposition de l'open space et des autres utilisateurs et donnent donc accès à qui veut bien l'entendre aux informations de l'entreprise.

Le partage par gestionnaire de mot de passe

Cette méthode de partage nécessite que les utilisateurs concernés (celui qui partage son identifiant et celui qui l'utilise) soient équipés d'un gestionnaire de mot de passe. Les gestionnaires de mot de passe (comme Dashlane, 1Password ou LastPass) sont initialement conçus pour vous aider à stocker les mots de passe et à vous connecter automatiquement aux différentes applications à votre disposition sans avoir à saisir les mots de passe, le logiciel réalisant cette saisie pour vous de manière automatique. Ces logiciels permettent souvent également de partager les mots de passe entre utilisateurs sans que le mot de passe en lui même ne soit diffusé à l'utilisateur qui reçoit le mot de passe partagé puisque c'est le gestionnaire de mot de passe qui va "saisir" le mot de passe directement.

Cette méthode a le mérite d'être un peu plus rigoureuse car elle bénéficie d'une bonne traçabilité. En revanche, elle comporte un point faible : l'utilisateur qui reçoit le mot de passe peut - s'il est un peu habile - voir le mot de passe en clair et en faire ensuite ce qu'il veut, par exemple le garder et donc toujours bénéficier de l'accès même si l'utilisateur initiateur du partage suspend le partage.

Le partage d'accès par autorisation

Cette méthode est la plus rigoureuse car chaque utilisateur dispose de son propre accès, lui permettant d'accéder à une ressource partagée. Le meilleur exemple est le partage de boîtes mail sur Office 365 ou Google Workspace : chaque utilisateur a son propre mot de passe et ce sont les autorisations implémentées sur une boîte mail commune qui vont permettre aux utilisateurs d'accéder ou pas à la boîte mail partagée. Le gros avantage de cette méthode est qu'elle permet de retirer des accès rapidement, sans qu'il y ait une faille de sécurité, elle n'est donc pas concernés par les dangers de sécurité informatique comme les 2 précédentes méthodes.

Les dangers du partage d'accès

Les raisons pour lesquelles les utilisateurs se partagent des comptes sont souvent peu nobles. Que ce soit pour éviter de payer des licences supplémentaires parce que "ça fait quand même cher alors que je ne l'utilise pas beaucoup", ou pour des raisons pratiques ("je ne vais quand même pas créer un compte pour chaque stagiaire !"), le partage de compte constitue un réel danger pour la sécurité des données en entreprise.

Dans les deux premières méthodes, c'est le mot de passe qui est purement et simplement diffusés à plusieurs personnes sans contrôle. Les stagiaires se succèdent avec le même identifiant / mot de passe et le stagiaire qui était présent il y a 3 ans peut encore s'il le souhaite accéder au CRM interne. En y accédant, il peut visualiser les données, donc potentiellement communiquer des informations sur les prospects de l'entreprise à un concurrent pour lequel il travaille maintenant. Il peut également altérer ou supprimer les données et ainsi perturber l'activité commerciale, financière ou technique de l'entreprise.

Le second danger est l'absence de traçabilité. Un compte partagé est un compte anonyme. Aucune des actions réalisées avec ce compte ne peut être attribuée à un utilisateur nominatif car elles ont pu être réalisées par plusieurs utilisateurs, parfois plusieurs dizaines d'utilisateurs.

Quelles solutions pour éviter le partage d'accès ?

Il existe deux solutions très simples pour limiter ces partage d'accès entre utilisateurs qui compromettent la sécurité du SI.

Renforcer la sécurité des comptes

La première solution est la mise en place d'une authentification à double facteur (2FA ou MFA). Un SMS envoyé à chaque tentative de connexion avec un code que l'utilisateur doit saisir pour s'authentifier correctement. Le 2FA peut également être utilisé avec une application mobile comme Google Authenticator ou Auth0 Guardian.

Cette authentification plus complexe et plus individualisée ne peut pas interdire aux utilisateur de s'envoyer les codes reçu par SMS ou de se communiquer les codes temporaires de Google Authenticator, mais ce système a au moins le mérite de limiter le partage (difficile d'envoyer 10 SMS chaque jour quand 10 personnes se partagent le compte) et de faire prendre conscience aux utilisateurs qu'ils sont en train de tordre un système de sécurité alors qu'un partage de mot de passe pouvait leur sembler anodin.

Faciliter la gestion des comptes : automatisation !

Pourquoi les utilisateurs partagent les comptes ? Très souvent parce qu'ils ne veulent pas attendre que les comptes soient créés par le service IT, parce qu'ils ne veulent pas créer et désactiver manuellement des comptes pour chaque stagiaire, 10 fois par semaine.

Alors l'automatisation a du bon : si le compte est créé et suspendu automatiquement en fonction des arrivées et des départs, tout le monde est content, et plus besoin de partager un même accès.

Certains systèmes d'automatisation permettent même l'envoi des identifiants par SMS au collaborateur qui vient d'arriver, ce qui lui permet d'avoir accès rapidement et de manière sécurisée aux outils de l'entreprise.

François Poulet
Product Manager

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Demander une démoDécouvrir Youzer