La moitié des entreprises ne vérifient pas l'identité lors des demandes de réinitialisation de mot de passe

Une enquête de Specops Software révèle une autre vulnérabilité des services informatiques en entreprise.

Selon Specops Software - le leader des solutions de gestion des mots de passe et d'authentification - 48 % des entreprises n'ont pas adopté de politique de vérification des utilisateurs pour les appels entrants vers leur département IT. Ces informations ont été révélées dans le cadre d'une enquête menée par Specops auprès de plus de 200 responsables informatiques des secteurs privé et public en Amérique du Nord et en Europe.

L'enquête révèle également que 28 % des entreprises ayant déjà mis en place une politique de vérification des utilisateurs ne sont pas satisfaites de leur politique actuelle. La raison ? des failles de sécurité au sein du processus qui peuvent exposer l’entreprise.

Des méthodes de vérification trop faibles

La majorité de ces entreprises s'appuient sur des questions formulées à partir des informations basiques d'Active Directory, comme l'identifiant d'un employé, le nom d'un responsable ou même des informations liées aux ressources humaines comme la date de naissance ou l'adresse de l'employé. Pourtant, ces données peuvent facilement être récupérées par des hackers.

C’est pourquoi le National Institute of Standards and Technology (NIST) recommande désormais de ne pas utiliser des questions basées sur les informations basiques des salariés en raison de leur manque de sécurité.

"D'après nos récentes découvertes, la réinitialisation des mots de passe au niveau du Service Desk constitue une vulnérabilité sérieuse pour les organisations de toutes tailles", a déclaré Marcus Kaber, PDG de Specops Software. "En l'absence d'une solution de réinitialisation de mot de passe en libre-service, c'est à l'agent du service informatique de vérifier que l'appelant est le propriétaire légitime du compte avant de délivrer un nouveau mot de passe. Malheureusement, sans politique de vérification sécurisée, les agents du service IT peuvent fournir un accès au compte à des utilisateurs non autorisés sans même le savoir. Résultat : les entreprises sont exposées à un risque accru de brèches de cybersécurité qui peuvent s'avérer coûteuses."

Minimiser les risques d’intrusion grâce à un code unique

Pour minimiser le risque de fausse vérification des utilisateurs lors de la réinitialisation des mots de passe, il est possible de mettre en place un niveau de sécurité supplémentaire. Par exemple, lorsqu'un employé oublie son mot de passe, il devra faire vérifier son identité au moyen d'un code à usage unique envoyé sur l'appareil mobile associé à son compte Active Directory d’utilisateur. Une fois que l'utilisateur aura reçu et confirmé le code à l'agent du service informatique, son mot de passe pourra être réinitialisé. Cette mesure pourra ainsi mieux protéger les organisations contre les accès non autorisés aux données sensibles de l'entreprise.

Cette solution, proposée par Specops Software peut-être testée gratuitement en suivant le lien : https://specopssoft.com/product/secure-service-desk

Pour aller plus loin, consultez la fiche pratique Inforisque Testez la complexité d'un mot de passe

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !