Datalgo

ConfidentialitéCommanderEntrepriseChercherContact
data cleaning

 Simplifiez la gestion de vos données

AccueilForfaits tout comprisDédoublonnageVérificationEnrichissementConversionNormalisationText miningStructuration

Votre métier Marketing & commercial | Ressources humaines | Finance | Communication | Juridique | Associations

Accueil > Flash conseils > Consulter > Flash du 15-09-2009

Toutes nos infos
  Solutions :
 

Forfaits tout compris
  Traitements à la carte
  Par métiers
 

Datalgo :
  Tarifs et abonnements
  Fonctionnement
  Savoir faire
  Confidentialité
 

Newsletter :
 

Flash conseil gratuit
  S'abonner
  Consulter
 

Recherche rapide :
 

Votre base de données est-elle bien protégée ?

15-09-2009 • L’accès aux données confidentielles de l’entreprise nécessite l’usage de mots de passe que les utilisateurs ont du mal à retenir ou garder secret. Quelles solutions simples – et ludiques – mettre en œuvre pour sécuriser vos données ?

 Constat > 

Les systèmes d’information actuels sont pour la plupart protégés afin d’éviter les intrusions et de protéger les données vitales des organisations. Pourtant, chaque année, les entreprises se plaignent d’intrusions réalisées à cause de l’usage d’un mot de passe trop simpliste.

La gestion des accès confidentiels est trop souvent lacunaire : les administrateurs manquent de rigueur, les utilisateurs partagent le même mot de passe, ou utilisent le même depuis plusieurs années ; d’autres le laissent en évidence sur un post-it sur leur bureau ou ont un mot de passe composé de moins de sept caractères, etc.

Vérification des codes SIREN
SIREN
Vérifiez vos codes
à partir de

69

Infos

On constate que la gestion de ces codes d’accès suppose généralement deux clefs d’entrées :

  • Un identifiant (login en anglais), généralement basé sur le prénom et le nom de l’utilisateur,
     
  • Un mot de passe composé d’une suite de caractères alphanumériques.
    Il est assez rare que la première clef soit modifiée, tandis que la deuxième, dans la mesure du possible est changée régulièrement.

Pourtant, en observant les statistiques on constate des séries courantes dans les mots de passes. En avril dernier, le magazine Solution révélait l’analyse suivante : 14% des utilisateurs utilisent une suite de touches pour choisir leur mot de passe. Ainsi, « 123456 » et « azerty » est classé dans le top 5 des mots de passe ! Mot de passe d’autant moins discret qu’un témoin peu averti le devine rapidement en observant l’utilisateur glisser son doigt sur l’étage supérieur du clavier d’ordinateur. D’autres utilisateurs saisissent une couleur, un prénom ou un fruit, tandis que 16% des mots de passe sont des prénoms ; des mots de passe trop simplistes.

Une recherche rapide sur un moteur de recherche permet facilement de trouver des outils gratuits à télécharger qui « craquent » les mots de passe. Souvent, ces petits logiciels disposent de bibliothèques de noms communs, noms propres, séries de chiffres très courantes, etc. En quelques secondes, ces outils peuvent trouver les mots de passe les plus courants. S'ils n’y arrivent pas par cette méthode, ils utilisent alors une incrémentation automatique, plus longue mais finalement très efficace : en une nuit, un de ces outils peut retrouver une série et révéler le précieux sésame.

Le « génie social » ou « social ingenering » est parfois utilisé par des personnes mal intentionnées et très au fait des méthodes d’intrusion. Ils inventent un scénario qui généralement utilise le téléphone ou le mail pour mettre en confiance la cible. Par exemple, ils appellent un utilisateur pour lui dire qu’ils sont en charge de leur hotline, et qu’en cas de problème il faut les appeler à un numéro de téléphone précis. Ensuite, un complice passe dans le bureau de la cible et débranche la prise réseau à son insu. L’utilisateur bloqué appelle le numéro de téléphone qu’on lui a recommandé : le faux administrateur informatique passe et demande à l’utilisateur de faire devant lui un certain nombre de manipulations et de lui révéler en même temps les mots de passe… Le tour est joué.

A l’inverse, cédant parfois à une paranoïa excessive, on constate que les administrateurs réseaux compliquent la tâche des utilisateurs en multipliant les logins et mots de passe différents pour : la messagerie, le démarrage de l’ordinateur, l’accès à l’intranet, les progiciels et ERP, etc. Certaines entreprises demandent jusqu’à quinze mots de passe ! Devant cette abondance de codes à retenir, les utilisateurs préfèrent noter dans leur agenda papier la liste de leurs mots de passe !

 

 Objectif > 
Protéger vos bases de données.

 

 Méthode > 

 En réalité, l’approche généralement proposée consiste à prendre dans son ensemble tout le dispositif de protection de l’organisation. Ainsi on pourra améliorer la sécurité et en même temps faciliter la vie des utilisateurs en réalisant une approche en quatre temps :

1. Réaliser une cartographie des outils.
2. Mettre en œuvre une politique de confidentialité
3. Développer une pédagogie de la confidentialité
Forfait dédoublonnage
Dédoublonnage
ou
déduplication
Forfait tout compris
-20% à partir de

713€ 570

Infos

Étape 1 : Réaliser une cartographie des outils

Il s’agit de recenser l’ensemble des outils qui utilisent un mot de passe. Ceux-ci ne sont pas limités aux outils logiques tels que les réseaux, les messageries ou les logiciels. Pour avoir un panorama complet, il faut également intégrer les bornes d’accès de type « portail digicode » limitant l’accès physique à certaines zones.

On pourra décrire pour chaque dispositif recensé les profils d’utilisateurs, les contraintes de saisie (mot de passe très court et simple ou mélangeant de longues suites de chiffres et de lettres), les modalités d’accès, de renouvellement et de restriction d’accès tout au cours de l’histoire de l’utilisateur. En d’autres termes, est-on certain d’attribuer un mot de passe à une bonne personne, de s’assurer qu’elle en fait bon usage et qu’à son départ, son accès sera rendu inopérant ?

Enfin, dans la mesure du possible, on observera les « logs » de connexion. Il s’agit dans ce cas d’extraire des systèmes d’information les nombres de tentatives avortées d’accès à un dispositif sécurisé. Un compte avec un nombre important de sollicitations infructueuses est peut être l’objet d’une tentative d’entrée en force.

Étape 2 : Mettre en œuvre une politique de confidentialité

Chaque accès pourra être analysé pour estimer l’importance du niveau de sécurité à mettre en place. Dans le cas d’un accès à faible impact, on pourra s’abstenir de mot de passe, ou automatiser l’accès à partir d’un mot de passe d’accès au réseau de l’organisation. A l’inverse, dans le cas d’une base de données hautement confidentielle, il sera possible d’utiliser une clef de cryptage supplémentaire. Il peut par exemple s’agir d’une suite logique de quelques chiffres régénérés automatiquement toutes les minutes pour chaque utilisateur ; ou encore d’un fichier unique qui devra être présent sur la machine utilisée. Enfin, des procédés de reconnaissance de la pupille, des empreintes digitales ou du réseau veineux pourront venir apporter un degré de sécurité très élaboré.

Étape 3 : Développer une pédagogie de la confidentialité

Selon les cas on pourra réaliser un petit livret sur la prévention ou une réunion de sensibilisation auprès des collaborateurs. Il s’agit ici de présenter les risques réels que représentent l’intrusion, les règles internes de l’organisation que chaque interlocuteur doit appliquer et d’offrir une aide méthodologique pour les utilisateurs.

A titre d’exemple, l’une des règles simple consiste à demander aux utilisateurs de choisir des mots de passe longs mélangeant aussi bien des majuscules, minuscules et chiffres. Le secrétariat général de la défense nationale (SGDN) recommande ainsi 10 caractères minimum, de types différents (majuscules, minuscules, chiffres et caractères spéciaux).

Deux moyens mnémotechniques peuvent être proposés :

Le couplage : « 1TigreCroque3piafs » ou « 6coqsA3pattes » - ces formules très faciles à mémoriser associent deux ou trois mots courts avec des chiffres.

L’acrostiche : « Mcs1apTesb1f » - les premières lettres de chaque mot correspondent à une phrase facile à mémoriser. Dans le cas présent il s’agit d’un vers célèbre : « Maître corbeau sur 1 arbre perché Tenait en son bec 1 fromage ». Le code « LBdK10adydv » donnera : « La belle de Cadix (K10) à des yeux de velours ». Autre exemple : le mot de passe « Zé10çrmpdlc! » pourra être la compilation d’une réplique du film Le Père Noël est une ordure : « Zezette, épouse X (10) : ça rentre même pas dans les cases ! ». Dans ce cas, le mot de passe intègre en plus des signes diacritiques (l’accent aigu et la cédille) et de la ponctuation. Imparable et pourtant très simple à mémoriser.

D’autres formules amusantes pourront être encore imaginées pour transformer la contrainte du mot de passe en un exercice ludique.

 

o o o

 

Flash Datalgo : Protégez vos fichiers contre leur utilisation frauduleuse 15-06-2007
Les entreprises victimes du vol de leurs données s'aperçoivent, souvent trop tard, que leur fichier clients a été subtilisé et est utilisé par une entreprise concurrente. Sécurisation et piégeage, quelles sont les mesures à mettre en œuvre pour limiter ce piratage industriel ? Lire

Partager des données confidentielles, une gageure ? 15-03-2007
Nombre de projets associés à des bases de données ne fonctionnent pas à cause de problématiques réelles ou fictives liées au partage de données confidentielles. Revue des bonnes pratiques. Lire

 

 

 Solutions 
 Datalgo > 
Datalgo peut vous aider à mener l'analyse de vos données de connexion. Contactez-nous pour plus d'informations.

 

 

 
Tous droits réservés
Le contenu de cette lettre d'information
ne saurait engager la responsabilité de Datalgo.

 

FORFAITS | Dédoublonnage | Vérification | Enrichissement | Conversion | Normalisation | Text mining | Structuration
 Contact | A propos de Datalgo | Chercher | Commander | © Datalgo