Combien de fois avez-vous reçu un appel téléphonique ou un email d’un gestionnaire de votre organisation vous demandant de lui donner le mot de passe d’un salarié pour lui permettre d’accéder à son compte de messagerie électronique ?
Cette demande est souvent faite lorsqu’une personne est en congé et qu’elle reçoit un appel d’un client ou d’un collègue qui veut savoir si elle a donné suite à une demande envoyée avant son départ.
Trop souvent, un client envoie un email à son gestionnaire de compte avant de partir en vacances, mais il n’est pas rare qu’il oublie de le faire par inadvertance.
L’accès au compte de messagerie électronique est nécessaire pour éviter tout embarras ou pour s’assurer qu’une occasion de vente ne soit pas manquée.
Peut-être que le salarié en question n’a pas configuré son message d’absence du bureau et que les clients ne savent pas qu’ils doivent communiquer avec une autre personne pour obtenir une réponse à leurs questions.
Autrefois, les gestionnaires avaient l’habitude de garder un journal de tous les mots de passe des utilisateurs dans un fichier sur un ordinateur.
En cas d’urgence, ils peuvent donc vérifier le mot de passe et accéder à tout compte utilisateur.
Désormais, ce comportement représente un certain risque et il n’est plus acceptable pour de nombreuses raisons, outre le fait d’empiéter sur la vie privée des employés.
Si un mot de passe ou des informations d’identification sont connus d’une autre personne, rien n’empêche cette dernière de les utiliser à tout moment.
Comme les mots de passe sont fréquemment utilisés pour les comptes personnels et professionnels, la divulgation de ce mot de passe pourrait compromettre les comptes personnels de l’individu.
La tenue à jour de listes de mots de passe rend plus difficile la prise de mesures en cas d’utilisation inappropriée d’Internet et du courrier électronique.
Si un mot de passe a été partagé, il n’y a aucun moyen de déterminer si une personne a enfreint la loi ou les politiques de l’entreprise. Cela pourrait être n’importe quel autre individu qui utilise le login et le mot de passe partagé.
Le personnel informatique n’est donc pas autorisé à donner des mots de passe. Si besoin, il doit plutôt réinitialiser le mot de passe de l’utilisateur, créer et émettre un mot de passe temporaire que l’utilisateur devra réinitialiser à son retour au travail.
De nombreux gestionnaires seront insatisfaits de ces procédures et voudront tout de même tenir leur liste à jour.
Les employés seront mécontents, car ils utilisent souvent leurs comptes de messagerie professionnels pour envoyer des emails personnels.
La réinitialisation d’un mot de passe et le fait de donner l’accès à un gestionnaire pourraient être considérés comme une atteinte majeure à la vie privée.
Quelle est la solution pour sécuriser les mots de passe de vos salariés ?
Il existe une solution simple pour garantir la protection de la vie privée des personnes, pour régler les répondeurs automatiques en cas d’absence du bureau et pour ne manquer aucun email important.
Pour ce faire, vous pouvez configurer des boîtes aux lettres partagées, bien que celles-ci ne soient pas toujours populaires.
Vous pouvez faire ceci dans Outlook. Souvent, le gestionnaire peut avoir besoin d’en configurer plusieurs dans son programme Outlook.
Il devra également former les membres du personnel sur l’utilisation des boîtes aux lettres partagées et rédiger les politiques d’utilisation. Ils peuvent avoir besoin de garder toujours ouvertes les boîtes aux lettres de plusieurs équipes dans Outlook.
Existe-t-il une autre solution plus simple pour sécuriser les mots de passe de vos salariés ?
Il y a un autre choix : déléguer les permissions.
Il est plus compliqué d’implémenter ce contrôle, car il ne requiert qu’un administrateur MS Exchange pour fournir un accès délégué.
L’utilisation de l’accès délégué permettra à une personne, avec les autorisations appropriées, d’envoyer un email au nom d’un autre employé.
Cela signifie que les boîtes aux lettres n’ont plus besoin d’être ouvertes en permanence. Elles peuvent simplement être ouvertes lorsqu’un email doit être envoyé.
C’est peut-être l’idéal, mais cela ne permettra pas à un responsable de configurer un répondeur « Out-Of-Office ».
Cela nécessiterait qu’un membre du département informatique, c’est-à-dire un gestionnaire de domaine, le fasse. Un ticket devra également être soumis pour demander l’action.
Ce n’est peut-être pas très populaire auprès des gestionnaires, mais c’est la seule façon d’exécuter la tâche sans révéler les informations d’identification de l’utilisateur et sans établir un mot de passe temporaire qui pourrait porter atteinte à sa vie privée.
La sécurité des mots de passe est toujours vitale
Si vous rencontrez une résistance, vous devez expliquer les raisons pour lesquelles le partage de mot de passe n’est pas autorisé, c’est-à-dire les risques et inconvénients que cela peut entraîner.
Ces questions devraient être incluses dans les politiques d’utilisation des ordinateurs, d’Internet et du courrier électronique d’une entreprise.
Si le partage des mots de passe contrevient aux politiques de l’entreprise, toute demande de partage de mots de passe entraînerait la violation de ces politiques par le service informatique.
Les demandes de divulgation de ces informations devraient donc être rejetées.
Bien entendu, les répondeurs automatiques « Out-Of-Office » ne constituent pas un problème informatique.
C’est une question qui devrait être traitée dans le cadre de la formation du personnel.
C’est aussi une vérification qu’un gestionnaire doit faire avant qu’un membre du personnel quitte et parte en vacances, alors que l’employé est encore au travail.
Raisons pour lesquelles les mots de passe ne devraient jamais être partagés, même avec un gestionnaire
- Les mots de passe sont privés : il s’agit d’un élément fondamental de la sécurité informatique et des réseaux. Cette règle ne peut pas être enfreinte ou contournée.
- Il existe des alternatives au partage des mots de passe qui permettront d’atteindre le même objectif : les demandes de tickets, les boîtes aux lettres partagées et les autorisations de déléguer devraient être utilisées comme alternatives.
- Le partage de mots de passe viole la vie privée d’une personne.
- Si un mot de passe est partagé, les résultats d’un audit de compte ne seront plus fiables.
- La sécurité des données est plus importante qu’un répondeur automatique.
- Les politiques d’utilisation acceptables pourraient être violées.
S’il n’existe aucune interdiction de partage de mot de passe dans votre organisation, elle doit être mise en œuvre en priorité.
Vous ne serez pas en mesure de le faire sans l’appui des cadres supérieurs.
Vous n’êtes peut-être pas convaincu qu’il est de votre devoir de mettre en œuvre une interdiction de partage de mot de passe dans votre organisation, mais vous devriez plaider en sa faveur.
Cela aidera votre département à protéger son réseau ; vous fera gagner du temps à long terme et ce sera mieux pour votre entreprise.