La sécurité est-elle fatalement contre-productive ?
À quoi bon durcir les mots de passe si, au final, ils s’affichent sur des post-it partout ? À quoi bon supprimer les comptes génériques, trop divulgués, si à la première occasion, les utilisateurs s'échangent leurs identifiants ?
Depuis quelques semaines, on voit les fenêtres de certaines entreprises se couvrir de "post-it". Il y a peu, ces mêmes "post-it" se multipliaient sur les claviers et les écrans des utilisateurs, permettant à n'importe qui de connaître leurs mots de passe pour accéder à telle ou telle application de l'entreprise... Espérons qu’il ne s'agisse pas des mêmes post-it, dévoilant par exemple le mot de passe à votre base clients !
Un
constat s'impose : en matière de sécurité, le maillon faible, c'est bien
l'humain.
La solution technique ne fait pas tout. Surtout, si mal pensée, elle
impose une somme de procédures lourdes et répétitives. À la longue,
l’utilisateur les contourne pour aller plus vite. Par exemple, en laissant
toute la journée la même carte d’authentification dans le lecteur.
La
sécurité est souvent accusée d'être contre-productive. C'est faux lorsque son
ergonomie a été bien pensée afin qu'elle ne rebute pas l'utilisateur. Mais
attention, sans rien sacrifier à sa robustesse. Il faut donc concilier les deux
principes.
Des
solutions existent.
* Si vous voulez éviter la
multiplication des mots de passe et, par conséquent, des "post-it" qui les
accompagnent, adoptez une solution de Single Sign On (SSO). Une fois qu’il
s’est identifié, l'utilisateur n'aura plus à besoin de le faire, tant qu'il
reste dans son périmètre de droits.
* Vous craignez cependant que la
solution de SSO n'affaiblisse l'accès à vos applications ? Renforcez
l'authentification primaire de vos utilisateurs avec la carte à puce et les
certificats.
* La saisie et les ressaisies du code
PIN lassent vos utilisateurs ? Choisissez une solution à base de systèmes
d'authentification/identification qui, sur une période définie, libère les
utilisateurs des ressaisies répétitives de leur code PIN. De plus, cette
solution rend inopérants ces codes en dehors des plages horaires autorisées, ce
qui renforce d'autant la sécurité.
Ces questions sont au cœur des réflexions dans certains
secteurs comme celui
de la santé. Les unités de soins et les blocs opératoires sont de plus en
plus informatisés. Pourtant, les infirmières et les médecins ne sont pas là
pour savoir si tel ou tel accès est sécurisé, mais pour soigner. Il faut donc
que les solutions du marché s'organisent autour des usages. Ainsi, la carte du
médecin (carte
CPS) est, par exemple, dotée d'une technologie sans contact. Elle permet
désormais une identification basée sur un certificat sans code PIN sur sa
partie sans contact, à condition que l'utilisateur ait prouvé son identité dans
un laps de temps raisonnable (certificat et code PIN le matin par exemple).
À partir du moment où la sécurité
devient plus ergonomique, moins fastidieuse, il est plus facile de sensibiliser
les utilisateurs, de leur faire comprendre qu'ils sont eux-mêmes un maillon de
cette chaîne de sécurité et que, sans leur adhésion, tous les dispositifs
techniques ne valent rien. Mais avons-nous pris le temps de comprendre leurs
besoins, leurs usages ? Comment apporter des réponses pertinentes si le projet
ne se fait pas à partir d'eux ?
En conclusion, parlons à l'utilisateur, interrogeons-nous sur ses habitudes et faisons en sorte que la sécurité gagne du terrain par l'amélioration de son ergonomie et du confort d'utilisation.