Avec tout le niveau de complexité que cela implique, à savoir des mots interdits, des caractères spéciaux, des chiffres, des minuscules et majuscules. Et, pour corser un peu le tout, l’obligation de ne pas utiliser les 12 précédents mots de passe.

Cela tourne vite au cauchemar, surtout s’il faut retenir en moyenne cinq à sept mots de passe. Sans compter, bien sûr, ceux utilisés à titre personnel. La solution la plus simple : les noter sur un bout de papier, par exemple un Post-it collé sur l'écran afin de ne plus le perdre. Je suis sûr que vous l’avez fait au moins une fois.

Heureusement, l'utilisateur est malin. Surtout lorsqu’il vient de suivre une session de sensibilisation sur la sécurité de l’information. Il change son comportement, mais pas ses habitudes, qui restent difficiles à renouveler. Tout particulièrement si ces accès sont nécessaires à sa tâche quotidienne.

Sous la tasse à café ?

Pour s’assurer que chacun a bien assimilé les bases, une solution est de lancer un audit de sécurité et des accès. L’une des premières actions de cet audit étant de vérifier de poste en poste que chacun applique les bonnes pratiques. Que, par exemple, plus aucun mot de passe ne soit visible. Résultat, tout semble conforme. Enfin, en surface…

Car, en creusant un peu, et en observant le comportement de l’utilisateur, ce dernier a gardé ces habitudes mais il a appris à se camoufler. Bien sûr, il n’y a plus de Post-it collés autour de l’écran avec les mots de passes soigneusement notés. Par contre, regardez de plus près sur les éphémérides ou sous les pots de crayons, ou encore retourner les sous-main, etc. Je suis sûr que vous y trouverez votre bonheur.

Peu importe votre politique de sécurité et de gestion des mots de passe, vous aurez beau sensibiliser l’utilisateur, il aura toujours le dernier mot. Il continuera de noter ces informations, si ce n’est sur un Post-it, au moins en un endroit un peu plus sécurisé à ces yeux.

La quête de la sécurité des accès passera peut-être, finalement, par une autre solution que la confiance en la mémoire de l’utilisateur. Faut-il chercher du côté d’un système d’authentification unique ? D’un gestionnaire de mot de passe ? D’une empreinte biométrique ? Ou bien par un équipement pouvant gérer une authentification forte ? Ou par tous ces éléments à la fois réunis dans une seule et même solution ?

Auteur : Thuyen Pham, pour 01net
Après avoir travaillé deux ans chez Goodyear France comme technicien réseau, Thuyen Pham passe l’an 2000 chez Toyota France en tant qu'administrateur réseau et système. Six ans plus tard, il y est promu responsable technique et réseau. Il se charge, entre autres, des problématiques de sécurité.