18/12/2024

Cybersécurité

Plus de sécurité et de productivité avec une solution de réinitialisation des mots de passe en libre-service

I. Présentation

Que ce soit dans les entreprises, dans les centres de formation ou dans les établissements scolaires, la réinitialisation des mots de passe est un vrai sujet ! Pour cause, il est très fréquent qu'un utilisateur sollicite le support informatique pour réinitialiser son mot de passe, car il l'a oublié (le grand classique au retour de vacances), ce qui remet le sujet sur la table à chaque fois ou presque : comment améliorer ce processus ? Peut-on permettre aux utilisateurs d'être autonomes pour réinitialiser leur mot de passe ? La réponse est "oui", mais pourquoi est-il intéressant de prendre cette direction ? Nous en parlons dans cet article !

II. Les avantages de la réinitialisation des mots de passe en libre-service

A. Gain de temps (et d'argent)

Dans un environnement où l'utilisateur est en mesure de réinitialiser lui-même le mot de passe de son compte, que ce soit un compte Active Directory ou un compte Microsoft 365, il y a un réel gain de temps pour les techniciens du service informatique. L'équation est simple : si les utilisateurs peuvent réinitialiser leur mot de passe, il y aura moins de tickets de ce type au support informatique (helpdesk), ce qui dégage du temps pour d'autres tâches avec une plus forte valeur ajoutée.

Puisque le temps c'est de l'argent, il est également question de réaliser des économies en euros, même si c'est une économie indirecte. On estime que chaque ticket de support informatique coûte entre 50 et 70 euros à une entreprise, et que les appels pour la réinitialisation d'un mot de passe peuvent représenter entre 20% et 40% des appels reçus par le service informatique. On peut s'attendre à une réduction de la charge de travail.

En principe, les utilisateurs doivent aussi être en mesure de gagner du temps en récupérant rapidement l'accès à leur compte, sans avoir à attendre l'intervention d'un technicien du support informatique. En journée, l'attente sera probablement moins longue que si l'incident se produit en dehors des heures de bureau ou le week-end... Mais elle sera là. Ce cas de figure peut se présenter avec certains utilisateurs qui sont susceptibles de travailler sur des plages horaires plus importantes, et selon la taille de l'entreprise, il n'y a pas forcément de système d'astreinte.

S'il y a une solution de réinitialisation du mot de passe en libre-service, l'utilisateur est autonome tous les jours et 24 heures sur 24. D'ailleurs, c'est important de faire monter en compétences vos utilisateurs (par de la formation, par de la prévention aux risques liés aux cyberattaques, etc...) afin de les rendre plus autonomes de manière générale.

B. L'ingénierie sociale, un risque réel

Le processus de réinitialisation du mot de passe d'un compte utilisateur est vulnérable aux cyberattaques basées sur de l'ingénierie sociale. L'ingénierie sociale est une technique utilisée par les cybercriminels pour manipuler les utilisateurs et les inciter à divulguer des informations confidentielles ou à effectuer des actions qui pourraient mener à la compromission du compte. On peut parler de manipulation psychologique où l'on va abuser de la confiance d'un utilisateur.

Dans le cas présent, il s'agirait de tromper la vigilance du technicien du support informatique en se faisant passer par un utilisateur dans le but d'obtenir l'accès à son compte. Dans une entreprise avec plusieurs dizaines, centaines ou milliers d'utilisateurs, probablement répartis sur plusieurs sites géographiques, le risque est important.

Si la réinitialisation du mot de passe est gérée par une solution logicielle avec une vérification basée sur certains critères et informations connues de l'utilisateur, l'ingénierie sociale n'est pas envisageable. En effet, la fuite de données par ce biais ne sera pas possible, car on élimine le facteur humain.

III. Les solutions techniques en environnement Active Directory

A. Active Directory couplé à Microsoft 365

De nombreuses entreprises avec un Active Directory en local ont également un tenant Microsoft 365. Dans ce cas, l'annuaire AD local est synchronisé avec le tenant Microsoft 365 grâce à l'outil Azure AD Cloud Sync (ou Azure AD Connect) afin d'avoir les mêmes utilisateurs, groupes, etc... Sachez que du côté de Microsoft, on propose la fonctionnalité "Self-Service Password Reset" (SSPR) dont les méthodes de vérification peuvent être les mêmes que pour celle de l'authentification multifacteurs pour faciliter la mise en place (on parle d'inscription combinée).

La configuration s'effectue à partir du portail Microsoft Azure et dans les options de l'outil de synchronisation. Dans un environnement Microsoft Entra ID (ex-Azure AD), cette fonctionnalité est également accessible.

La solution SSPR de Microsoft implique de disposer de licences spécifiques pour vos utilisateurs, à savoir l'une de ces licences :

  • Azure AD Premium P1
  • Azure AD Premium P2
  • Microsoft 365 Business Premium
  • Microsoft 365 E3
  • Microsoft 365 E5

Lorsque l'utilisateur aura besoin de réinitialiser son mot de passe, il devra utiliser son smartphone ou un autre ordinateur pour effectuer l'opération depuis le portail Microsoft, en cliquant sur "J'ai oublié mon mot de passe" sur la page de connexion, ou sur le lien lorsque le message "Votre compte ou mot de passe est incorrect. Si vous avez oublié votre mot de passe, réinitialisez-le maintenant." s'affiche à l'écran après une saisie incorrecte. La réinitialisation n'est pas possible depuis la page de connexion à la session Windows.

Vous pouvez découvrir cette solution dans mon tutoriel dédié :

B. Active Directory et Specops uReset

Du côté des éditeurs tiers, il y a la solution Specops uReset que vous connaissez peut-être déjà, car elle a été présentée sur IT-Connect en 2022. Développée par l'éditeur Specops Software, elle s'intègre parfaitement à l'Active Directory pour permettre à l'utilisateur de réinitialiser son mot de passe depuis son ordinateur, à partir de la fenêtre de connexion de Windows. C'est une différence notable en comparaison de la solution de Microsoft : l'utilisateur ne perd pas de temps à trouver un autre appareil. Cela est d'autant plus vrai que certaines personnes seront réticentes à l'idée d'utiliser leur smartphone personnel pour effectuer une action dans le cadre professionnel...

Au quotidien, la solution Specops uReset va offrir deux fonctionnalités à l'utilisateur :

  • Réinitialisation du mot de passe en libre-service, en autonomie, depuis l'interface de connexion de Windows
  • Modification du mot de passe, depuis l'interface de connexion de Windows, ou une fois la session ouverte
    • Ce second point est utile lorsque l'utilisateur a besoin de réinitialiser un mot de passe expiré et qu'il est en télétravail, car il pourra réinitialiser son mot de passe même s'il ne peut pas se connecter au VPN (à cause du mot de passe en attente de renouvellement)

Chaque utilisateur devra effectuer son inscription auprès de Specops uReset. Il s'agit de la phase d'enrollment pendant laquelle il devra configurer des méthodes d'authentification (code SMS, e-mail, Yubikey, Microsoft Authenticator, Google Authenticator, FreeOTP, authentification biométrique, questions secrètes, Cisco Duo, etc...). Un système d'étoiles est affecté à chaque méthode, ce qui permet de donner plus de poids à une méthode par rapport à une autre. Les méthodes de vérification accessibles dépendent de la configuration déployée par l'administrateur de la solution.

Quand l'utilisateur souhaitera réinitialiser son mot de passe, il devra vérifier son identité grâce à plusieurs méthodes d'authentification de façon à obtenir suffisamment d'étoiles pour prouver qu'il est bien à l'origine de la demande.

Du côté du support informatique, la solution Specops Secure Service Desk va être un outil utile également puisqu'elle va offrir la possibilité d'authentifier l'utilisateur à distance, en lui demandant de vérifier son identité grâce à une méthode d'authentification. Utile pour lutter contre l'usurpation d'identité et se protéger encore un peu plus de l'ingénierie sociale.

La solution Specops uReset se déploie en local sur votre infrastructure (via ce que l'on appelle un serveur Gatekeeper), bien qu'elle soit en lien direct avec les services d'identité de l'éditeur Specops Software. Toutefois, et c'est une précision importante, toutes les informations liées aux inscriptions des utilisateurs sont stockées dans l'Active Directory. L'application ajoute ses propres attributs dans l'annuaire Active Directory pour stocker les valeurs de façon sécurisées. Les données ne sont pas stockées dans le Cloud, puisque ce dernier sert uniquement de relais.

Du côté du poste de travail des utilisateurs, un agent devra être déployé. Le déploiement s'effectue très facilement avec une stratégie de groupe.

Fonctionnement de Specops uReset
Fonctionnement de Specops uReset

Specops uReset est une solution propriétaire et payante avec un mode de licence par utilisateur. Afin de vous faire une idée plus précise de la solution, vous pouvez l'essayer gratuitement et la découvrir grâce à notre article et notre vidéo :

IV. Conclusion

Une solution de réinitialisation des mots de passe en libre-service est un véritable outil pour améliorer la productivité des employés de l'entreprise, que ce soit les utilisateurs finaux ou les techniciens du support informatique.

Même si cette solution permettra de réduire de manière importante les appels de ce type à destination du helpdesk, il y en aura toujours. Soyons honnêtes : même la meilleure solution du marché ne pourra pas rivaliser face à certains utilisateurs (et leurs habitudes) et vous n'aurez pas 0 ticket à ce sujet. Toutefois, vous verrez la différence à coup sûr.

N'hésitez pas à poster un commentaire pour faire un retour d'expérience sur cette problématique et poser vos éventuelles questions.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

2 commentaires sur “Plus de sécurité et de productivité avec une solution de réinitialisation des mots de passe en libre-service

  • Merci pour cet article tres interressant et o combien juste.
    Je nuancerai pour dire que dans les établissements scolaire, les solutions proposées via Microsoft ou SpeCops sont hors de prix. Il est difficile d’investir dans de tel outil pour de petits établissement scolaire, et je n’ai pas trouvé de solution moins onéreuse.

    Répondre
  • J’ai mis en place SSPR, couplé à des accès conditionnels et règles d’authentification double facteur fortes, et un audit des utilisateurs à risques + remontée des alertes dans Azure Sentinel.

    Résultat: des collaborateurs comblés et autonomes, et une équipe it qui s’occupe d’autre chose que de tickets de réinitialisation de mots de passe au retour des congés

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.