La sécurité est-elle fatalement contre-productive ?

À quoi bon durcir les mots de passe si, au final, ils s’affichent sur des post-it partout ? À quoi bon supprimer les comptes génériques, trop divulgués, si à la première occasion, les utilisateurs s'échangent leurs identifiants ?

Depuis quelques semaines, on voit les fenêtres de certaines entreprises se couvrir de "post-it". Il y a peu, ces mêmes "post-it" se multipliaient sur les claviers et les écrans des utilisateurs, permettant à n'importe qui de connaître leurs mots de passe pour accéder à telle ou telle application de l'entreprise... Espérons qu’il ne s'agisse pas des mêmes post-it, dévoilant par exemple le mot de passe à votre base clients !

Un constat s'impose : en matière de sécurité, le maillon faible, c'est bien l'humain.
La solution technique ne fait pas tout. Surtout, si mal pensée, elle impose une somme de procédures lourdes et répétitives. À la longue, l’utilisateur les contourne pour aller plus vite. Par exemple, en laissant toute la journée la même carte d’authentification dans le lecteur.
La sécurité est souvent accusée d'être contre-productive. C'est faux lorsque son ergonomie a été bien pensée afin qu'elle ne rebute pas l'utilisateur. Mais attention, sans rien sacrifier à sa robustesse. Il faut donc concilier les deux principes.

Des solutions existent.
* Si vous voulez éviter la multiplication des mots de passe et, par conséquent, des "post-it" qui les accompagnent, adoptez une solution de Single Sign On (SSO). Une fois qu’il s’est identifié, l'utilisateur n'aura plus à besoin de le faire, tant qu'il reste dans son périmètre de droits.
* Vous craignez cependant que la solution de SSO n'affaiblisse l'accès à vos applications ? Renforcez l'authentification primaire de vos utilisateurs avec la carte à puce et les certificats.
* La saisie et les ressaisies du code PIN lassent vos utilisateurs ? Choisissez une solution à base de systèmes d'authentification/identification qui, sur une période définie, libère les utilisateurs des ressaisies répétitives de leur code PIN. De plus, cette solution rend inopérants ces codes en dehors des plages horaires autorisées, ce qui renforce d'autant la sécurité.

Ces questions sont au cœur des réflexions dans certains secteurs comme celui de la santé. Les unités de soins et les blocs opératoires sont de plus en plus informatisés. Pourtant, les infirmières et les médecins ne sont pas là pour savoir si tel ou tel accès est sécurisé, mais pour soigner. Il faut donc que les solutions du marché s'organisent autour des usages. Ainsi, la carte du médecin (carte CPS) est, par exemple, dotée d'une technologie sans contact. Elle permet désormais une identification basée sur un certificat sans code PIN sur sa partie sans contact, à condition que l'utilisateur ait prouvé son identité dans un laps de temps raisonnable (certificat et code PIN le matin par exemple).
À partir du moment où la sécurité devient plus ergonomique, moins fastidieuse, il est plus facile de sensibiliser les utilisateurs, de leur faire comprendre qu'ils sont eux-mêmes un maillon de cette chaîne de sécurité et que, sans leur adhésion, tous les dispositifs techniques ne valent rien. Mais avons-nous pris le temps de comprendre leurs besoins, leurs usages ? Comment apporter des réponses pertinentes si le projet ne se fait pas à partir d'eux ?

En conclusion, parlons à l'utilisateur, interrogeons-nous sur ses habitudes et faisons en sorte que la sécurité gagne du terrain par l'amélioration de son ergonomie et du confort d'utilisation.