password

Les solutions en self-service de réinitialisation de mots de passe sont indispensables et un véritable gain pour les entreprises. Les deux tâches basiques et redondantes effectuées par le support informatique (IT Helpdesk) sont :

  • Le déblocage de compte (après plusieurs tentatives infructueuses de mot de passe)
  • La réinitialisation de mot de passe (pour les mots de passe perdus / expirés)

Les analystes du Gartner évaluent de 20% à 50% ce type de requêtes au IT Helpdesk des entreprises, principalement dû aux politiques de mots de passe plus ou moins complexes ou exotiques.

Un bon nombre de problèmes sont engendrés par ces multiples appels au support :

  • Cela nécessite la consommation de ressources organisationnelles pour gérer les appels au service d’assistance
  • Cela réduit la productivité globale, lorsque les employés doivent patienter un certain laps de temps pour que leur mot de passe soit réinitialisé
  • Beaucoup de temps et d’argent sont gâchés par ces appels au support de manière générale.

Ces problématiques peuvent être résolues aisément. Soit les administrateurs résolvent ces requêtes par eux-mêmes, ils peuvent également déléguer ces actions à un support dédié, ou encore s’équiper d’un outil self-service laissant les utilisateurs non-techniques finaux résoudre eux-mêmes leurs problèmes.

Une telle application permet aux utilisateurs finaux de ré-activer / réinitialiser leurs comptes sans l’aide d’un administrateur ou du support / helpdesk. Toute la charge de support d’administration relative aux problèmes utilisateurs est déléguées aux utilisateurs finaux eux-mêmes avec un outil de self-service, libérant et soulageant ainsi des ressources de support.

Avant d’opter pour une solution de self-service password resets, plusieurs points / atouts / fonctionnalités sont à considérer :

  • Les utilisateurs doivent pouvoir réinitialiser leur mot de passe ou débloquer leur compte par eux-mêmes, via divers mécanismes en guise d’identification (puisque l’authentification est à réinitialiser):
    • Le challenge questions / réponses personnelles, que l’utilisateur aurait pré-renseigné (méthode délaissée par les usagers finaux de nos jours)
    • L’envoi d’un email de réinitialisation de mot de passe : solution la moins coûteuse et très largement adoptée
    • L’envoi d’un SMS avec un token / jeton unique de réinitialisation
  • L’outil doit permettre des personnalisations utilisateurs (enrichissement / mise à jour de leur profil, de leurs questions personnelles, de leur adresse email, téléphone portable, etc.).
  • Il doit également notifier l’utilisateur lorsque son password expire (ou N jours avant expiration).
  • L’utilisateur lui-même tout comme les administrateurs doivent être notifiés des changements opérés, en guise de traçabilité.
  • Toutes les tâches qui peuvent être déléguées aux end-users doivent pouvoir être configurées, sans nécessiter l’accord / l’aval / la validation par un autre collaborateur / administrateur.
  • La solution doit fournir un environnement sécurisé, afin d’éviter les accès non-autorisés.
  • Dans l’idéal, celle-ci serait utilisable au travers d’une interface web, afin d’être accessible aisément de l’interne comme depuis l’extérieur.
  • L’outil doit fournir des notifications d’enrôlement ou de modification du profil par l’utilisateur lui-même, idem en cas de réinitialisation du mot de passe.
  • Il doit être facile d’installation et d’utilisation pour des usagers non-techniques.
  • La politique de mot de passe de l’entreprise doit pouvoir être intégrée et facilement maintenable dans la solution (l’outil peut même s’appuyer sur la politique pré-définie au sein de l’annuaire de référence).
  • Une API peut également être disponible pour greffer une telle solution à un outil de SSO / fédération d’identité, via lequel un utilisateur devrait compléter son profil si celui-ci n’est pas complet avant de s’authentifier.
  • Une compatibilité avec les principaux annuaires du marché / bases de données doit être assurée (AD, LDAPv3, SQL…).
  • Des vérifications complémentaires et de sécurité peuvent être assurées lorsqu’un password est changé (wordlist, historique, robustesse…).

Les caractéristiques ci-dessus ne sont pas exhaustives pour une solution de self-service password resets idéale. Un tel outil est essentiel pour une quelconque entreprise ; il aide l’entreprise de différente manière :

  • Il réduit les charges liées aux appels du support
  • Il assure un ROI en réduisant de manière non-négligeable l’inactivité des employés pour cause de compte bloqué ou mot de passe perdu.
  • Il conserve l’annuaire de référence de l’entreprise (AD, LDAP, etc) à jour avec les dernières informations personnelles des employés.

Un bon nombre de solutions d’éditeurs comme open source existent. SYNETIS déploie régulièrement de tels outils / modules au sein de ses projets d’IAM pour ses clients. N’hésitez pas à nous contacter pour de plus amples informations.

Sources & ressources :

Yann

Consultant Sécurité