Accueil / Réflexions / Responsable informatique et gestion des mots de passe des utilisateurs

Responsable informatique et gestion des mots de passe des utilisateurs

password1304C’est une question qui revient régulièrement, qui est souvent abordé sur nombre de sites internets ou dans la presse « papier ».

Et que l’on me pose régulièrement, soit des utilisateurs travaillant dans tous les secteurs ou dans les services informatiques (les responsables des réseaux, des serveurs et donc du paramétrage des mots de passe).

Comme toujours, le mieux est l’ennemie du bien, et saisir comme mot de passe lksjd§è65àç&mk52ééàç=?+=$$*$, c’est idiot et on a peu de chance de s’en souvenir, d’un autre côté utiliser comme mot de passe « 12345 » ou bien « 0000 » (si ça existe), c’est tout aussi idiot.

Rappelons qu’entreprise, ce ne sont pas les utilisateurs qui décident de la complexité des mots passe ou de la fréquence de changement, ce sont les services informatiques.

La fréquence du changement des mots de passe est LA GRANDE QUESTION !

Demander aux utilisateurs de changer trop rarement leurs mots de passes (quoique souvent cela se limite à un seul pour se connecter au réseau), cela revient à ce que, dans un service donné, tout le monde connaisse le mot de passe de tout monde.

Ne me dite pas que là où vous travailler, les gens autour de vous (et probablement vous-même) ne communiquent pas leur mot de passe, lorsqu’ils partent en congés (je ne vous croirai pas).

Je connais des entreprises où les utilisateurs doivent changer leur mot de passe seulement 1 fois par an, voire jamais !

D’un autre côté, faire les changer les mots de passe trop souvent va pousser les utilisateurs à les noter (et à les coller sous le clavier, sur le côté de l’écran, ou tout autre support à proximité de leur ordinateur). Et va conduire, ceux qui ne le font pas, à oublier le changement et à devoir appeler le « help desk », le « hot line », enfin le service informatique pour leur venir en aide. Perte de temps pour l’utilisateur et ressources supplémentaire à prévoir au niveau du service informatique pour répondre.

La complexité des mots de passe, que faut-il imposer ?

C’est un vaste problème qui ne doit pas être pris à la légère.

Il y a 2 choses, le nombre de caractères minimum, si en général, c’est au minimum 8 caractères, j’ai vu une décision idiote (et pourtant dans une très grande entreprise) imposant 20 caractères (ni plus ni moins) sans changement dans le temps (et qui peut être que des lettres), résultat, la plupart des utilisateurs se contentent de saisir « azertyuiopmlkjhgfdsq » (un aller avec la première ligne du clavier et un retour avec la seconde ligne du clavier)… pas top au niveau de la sécurité.

S’il faut fixer un nombre de caractères minimum, il faut aussi fixer un maximum, inutile de laisser partir les utilisateurs dans des délires qui ne servent à rien et qu’ils peuvent oublier les obligeant à demander l’aide du service informatique (et on repart dans la perte de temps pour l’utilisateur et le service informatique).

Il faut imposer une structure de mot de passe, suffisamment complexe mais pas trop pour que l’utilisateur puisse saisir celui-ci sans hésitation (il y a de nombreuses possibilités, avec des lettres en minuscules, en majuscules, des chiffres, des caractères spéciaux,…)

Il convient, également, de gérer le nombre de tentative avant blocage (temporaire ou définitif). Trop d’entreprises bloquent les ordinateurs au bout de 3 essais infructueux. C’est trop peu. L’utilisateur peut avoir oublié qu’il a changé son mot de passe la veille, il peut avoir son clavier qui a basculé en majuscule sans s’en apercevoir tout de suite, faire une faute de frappe sans s’en rendre compte,…

Face à ces éléments, il faut trouver un juste milieu, ça va dépendre des entreprises, de leur domaine d’activité, du nombre de salariés, de la moyenne d’âge,… pour imaginer la fréquence de changement, la complexité minimum des mots de passe et le blocage au bout de n essais infructueux.

Si vous êtes confronté à ce type de problématique, je peux vous aider, n’hésitez pas me contacter (olivier@notre-siecle.com )

Merci de partager cet article sur vos réseaux sociaux

À propos Olivier Kauf

Toujours indépendant, depuis plus de 30 ans, j’ai la chance d’avoir pu remplir de nombreuses missions : enseignement, conseil stratégique, gestion de crises, organisation, conseil en organisation informatique (et développement), coaching de groupe et individuel.

En intervenant au sein d’entreprises, principalement, des secteurs de l’assurance, de la finance ou encore de cabinets d’actuariat, de conseil en rémunération, d’avocats qui m’ont permis de développer mes compétences professionnelles.

Tout en restant consultant (si vous avez besoin d’un regard extérieur sur un projet, un problème, un questionnement, un audit ou tout autre,…), il y a une dizaine d’années j’ai découvert l’écriture … journalistique (avec https://notre-siecle.com et https://www.riskassur-hebdo.com).

Ces 2 sites ont une fréquentation sérieuses (en nombre et en qualité), cela peut être intéressant à utiliser pour du référencement naturel (SEO). N’éhsitez pas à me contacter pour en savoir pour en parler.

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*