Le stockage, partage et gestion des mots de passe sont essentiels aux entreprises du groupe. Découvrez les solutions mises en place pour garantir une sécurité la plus forte possible.
Article publié le
7/12/2022
Sécuriser l'accès au web grâce à un des gestionnaires de mot de passe
Le nombre d'outils que l'on doit utiliser au quotidien ne fait qu'augmenter. Ces outils sont maintenant en majorité sur le web (en solution SAAS, Software as a service) et nécessitent des identifiants et mots de passe. Par simplicité ou facilité, nous avons tous tendance à simplifier nos mots de passe en les rendant parfois trop simple ou en utilisant les mêmes sur plusieurs plateformes.
La gestion des mots de passe a toujours été une problématique forte du groupe. En tant qu'éditeur de sites internet et de logiciels, nous générons et gérons des dizaines de nouveaux mots de passe tous les jours. Le gestionnaire de mot de passe a donc été la solution adoptée dès le début de l'aventure. Nous avons débuté avec le très bon logiciel Keepass, puis en grandissant, nous avons migré sur Lastpass pour finalement très récemment tout transférer sur Psono. Pourquoi ces changements ? Nous allons tout vous détailler !
Le gestionnaire de mot de passe est un bon premier outil pour favoriser la sécurité. Le coupler avec un deuxième facteur d'identification (Google Authentificator, une clé sécurisé type Yubikey ou une validation email ou SMS), est l'une des solutions pour se prémunir contre des mots de passe trop peu sécurisés ou des pertes de mots de passe des colaborateurs.
La gestion des mots de passe, critique pour l'activité du Groupe.
De Keepass, en passant par Lastpass et enfin Psono
En un peu plus de 8 ans d'existence, nous avons testé de nombreuses solutions permettant la gestion des mots de passe. Dès le premier jour, nous savions que cette organisation interne des mots de passe allait être la clé d'une sécurité pour nos clients.
Nous avons commencé par l'excellent outil gratuit Keepass. Ce gestionnaire de mots de passé, sous licence libre GPL v2 pose la base d'un stockage crypté des mots de passe sur l'ordinateur du collaborateur. Tous les mots de passe sont cryptés via une clé de cryptage qui est déverrouillée grâce à l'utilisation d'un mot de passe maitre. Un fichier sécurisé sur l'ordinateur stocke les différents mots de passe. Ce fichier pouvant être mis en local sur un serveur, Keepass peut être utilisé en multiconnexion afin de partager des mots de passe entre plusieurs collaborateurs. Cependant, ces fonctionnalités de partage assez peu développées ont été un gros frein à la continuité de ce service au sein de groupe.
Keepass, le logiciel n°1 de gestion de mot de passe dans le monde.
Nous avons donc décidé de migrer il y a 5 ans sur la solution Lastpass. Le système est assez similaire, à l'exception qu'il stocke sur les serveurs de Lastpass en ligne et de façon cryptée les mots de passe. Cette solution SAAS, payante à l'utilisateur par mois, permet de centraliser pour l'utilisateur tous ses mots de passe et de créer des dossiers partagés avec d'autres personnes. Notre volumétrie de mot de passe étant forte (5000 à 8000 mots de passe pour nos plus grands comptes), nous avons senti des lenteurs dans l'utilisation de leur plateforme web ainsi que de leurs extensions pour les navigateurs.
Le gestionnaire en ligne de mot de passe Lastpass.
Il y a quelques semaines, notre CTO a fait le choix pour le groupe de migrer sur la solution Psono. Cette solution est à auto héberger via une architecture docker et est développée avec des frameworks JS récents. Nous ne pouvons pas dévoiler toutes les configurations et choix techniques fait, pour des raisons de sécurité, mais cette nouvelle solution nous permets de redevenir souverain sur nos données qui sont hébergées sur nos propres serveurs, eux même redondés dans plusieurs datacenter. Les fonctionnalités de partage sont également améliorées avec cette solution en laissant chaque collaborateur décider de son organisation en dossiers et sous dossiers, et lui permettant de partager de façon sécurisée à n'importe quelle personne du groupe un mot de passe s'il en possède les droits de partage.
Le gestionnaire de mot de passe auto hébergé Psono
Le double facteur, Google authentificator, Yubikey, validation email et SMS
Beaucoup d'experts en sécurité considèrent que le mot de passe est quelque chose de dangereux et qu'il est amené à mourir. Faute de mieux sur de nombreux outils, il demeure la porte d'accès n°1 pour les outils web. Afin de rajouter une couche de sécurité, nous essayons au maximum pour nos systèmes sensibles d'ajouter un deuxième facteur d'authentification.
L'idée est d'ajouter une deuxième manière, en plus du login et du mot de passe, pour se connecter. Dans le groupe, nous utilisons principalement des Yubikey, clés de sécurité de l'entreprise Yubico, qui sont en possession de chacun de nos collaborateurs et qui permet de s'assurer que le collaborateur est bien physiquement là lors de la connexion. Nous utilisons également l'outil de génération de chiffres aléatoires Google Authentificator qui s'installe sur le téléphone professionnel du collaborateur et vient générer des suites de chiffres, propre au collaborateur.
La clé sécurisée Yubikey de la société Yubico
Certains de nos outils stockent par ailleurs des informations d'adresse d'IP, de géolocalisation et/ou des horodatages de validation par email ou SMS.
Des outils divers pour améliorer la sécurité
Des solutions complémentaires existent pour renforcer la sécurité sur l'accès d'outils internes et externes. Nos outils les plus critiques sont par exemple non exposés à la couche externe de nos systèmes d'informations (éviter d'exposer à internet par exemple un outil qui doit être accessible qu'en interne, éviter de publier les DNS sur des outils utilisés par très peu de collaborateurs et où une configuration manuelle sur le poste utilisateur peut être faite)
La mise en place systématique de réseaux WIFI invité, réseaux WIFI pour les appareils mobiles et les PC avec des VLAN dédiées et complétement isolées, des firewalls et de la sécurité logicielle pour le filtrage est importante. La désactivation le soir et le week-end des entrées non nécessaires ainsi que le verrouillage des ports non utilisés et le changement des ports par défauts sont par ailleurs de bonnes pratiques.
Les collaborateurs ont également accès aux ressources interne à l'entreprise en externe, via un SSL VPN (tunnel crypté de bout en bout). Ce même système est automatisé entre nos différents lieux physiques.
Enfin nous avons développé un outil interne d'envoi de mot de passe crypté en base de données, permettant de s'envoyer des mots de passe. Une fois ouvert, le mot de passe est supprimé, permettant d'éviter de faire transiter par email ou Slack des mots de passe en clair : https://mdp.webexpr.fr/
Toutes ces solutions sont déployées et administrées par Desk IT, l'entreprise du groupe gérant les systèmes informatiques d'entreprises et l'infrastructure réseau. Ils peuvent analyser les besoins et aider à la mise en place de nouvelles normes de sécurité pour aider la sécurisation de systèmes existants.
