Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

48% des entreprises ne vérifient pas l’identité des utilisateurs lors des appels de réinitialisation de mots de passe

septembre 2021 par Specops Software

Selon Specops Software 48 % des entreprises n’ont pas adopté de politique de vérification des utilisateurs pour les appels entrants vers leur département IT. Ces informations ont été révélées dans le cadre d’une enquête menée par Specops auprès de plus de 200 responsables informatiques des secteurs privé et public en Amérique du Nord et en Europe.

L’enquête révèle également que 28 % des entreprises ayant déjà mis en place une politique de vérification des utilisateurs ne sont pas satisfaites de leur politique actuelle. La raison ? des failles de sécurité au sein du processus qui peuvent exposer l’entreprise.

Des méthodes de vérification trop faibles

La majorité de ces entreprises s’appuient sur des questions formulées à partir des informations basiques d’Active Directory, comme l’identifiant d’un employé, le nom d’un responsable ou même des informations liées aux ressources humaines comme la date de naissance ou l’adresse de l’employé. Pourtant, ces données peuvent facilement être récupérées par des hackers.

C’est pourquoi le National Institute of Standards and Technology (NIST) recommande désormais de ne pas utiliser des questions basées sur les informations basiques des salariés en raison de leur manque de sécurité.

"D’après nos récentes découvertes, la réinitialisation des mots de passe au niveau du Service Desk constitue une vulnérabilité sérieuse pour les organisations de toutes tailles", a déclaré Marcus Kaber, PDG de Specops Software. "En l’absence d’une solution de réinitialisation de mot de passe en libre-service, c’est à l’agent du service informatique de vérifier que l’appelant est le propriétaire légitime du compte avant de délivrer un nouveau mot de passe. Malheureusement, sans politique de vérification sécurisée, les agents du service IT peuvent fournir un accès au compte à des utilisateurs non autorisés sans même le savoir. Résultat : les entreprises sont exposées à un risque accru de brèches de cybersécurité qui peuvent s’avérer coûteuses."

Minimiser les risques d’intrusion grâce à un code unique

Pour minimiser le risque de fausse vérification des utilisateurs lors de la réinitialisation des mots de passe, il est possible de mettre en place un niveau de sécurité supplémentaire.

Par exemple, lorsqu’un employé oublie son mot de passe, il devra faire vérifier son identité au moyen d’un code à usage unique envoyé sur l’appareil mobile associé à son compte Active Directory d’utilisateur. Une fois que l’utilisateur aura reçu et confirmé le code à l’agent du service informatique, son mot de passe pourra être réinitialisé. Cette mesure pourra ainsi mieux protéger les organisations contre les accès non autorisés aux données sensibles de l’entreprise.




Voir les articles précédents

    

Voir les articles suivants