Dans la plus part des entreprises de taille moyenne à grande, un service support est mis en place pour prendre en compte, entre autres, les demandes de renouvellement des mots de passe des utilisateurs lorsqu’ils les oublient.
État des lieux
Je n’ai pas encore trouvé d’entreprise (de taille moyenne à grande) qui ne possède que des applications de même technologie, comme par exemple des applications Web JEE développées en interne. Bien souvent, ces entreprises ont aussi des progiciels, qui viennent avec leur propre référentiel de données et leur propre politique de mots de passe. Pour les plus grandes, elles ont aussi des applications qui s’exécutent sur des serveurs à hautes capacité en termes de nombre de processeurs et de taille de mémoire : comme le système d’exploitation z/OS et son référentiel de sécurité RACF. Bien qu’évoluant régulièrement, z+RACF est d’une technologie et d’une philosophie différente des serveurs Windows+AD ou encore des serveurs Linux+LDAP.
Aujourd’hui, les Politiques de Sécurité des Systèmes d’Information (PSSI), recommandent l’utilisation de mots de passe complexes, avec des longueurs minimales et des durées de vies raccourcies. On veut croire (vœux pieux) que les progiciels sont suffisamment bien développés pour s’accorder sur ce point et respecter les recommandations des PSSI. Mais en ce qui concerne RACF, le champ mot de passe historique (PASSWORD) ne supporte pas la complexité imposée ni une longueur supérieure à 8 caractères. IBM propose l’utilisation d’un autre champ (PASSPHRASE) qui ne peut être adopté sans envisager un chantier de migration des formulaires d’authentification des pages Web mais aussi des mires TN 3270, CICS et TSO.
Une multitude de mots de passe
Sans unification totale des politiques de mots de passe de tous les systèmes de l’entreprise et sans SSO, nous pouvons aisément affirmer que les utilisateurs doivent retenir plusieurs mots de passe pour pouvoir s’authentifier sur chacune des applications auxquelles ils doivent accéder.
Chaque fois qu’un mot de passe doit être renouvelé, l’utilisateur est obligé d’en retenir un nouveau. Si, le premier jour où il arrive dans l’entreprise, il saisit le même mot de passe pour la plus part des systèmes, au bout de quelques mois, il devra en retenir 2 ou 3 voire n différents. Cela peut être dû au fait que, par exemple, certaines directions de l’entreprise définissent pour des systèmes sensibles un renouvellement tous les 45 jours alors que pour d’autres un renouvellement supérieur à 3 mois est suffisant.
Autre point important, sur un système comme RACF, et ce n’est pas le seul, la politique de mot de passe est insuffisante car elle n’autorise que 8 caractères, dont des lettres, des chiffres et ces trois caractères spéciaux : $, @, #.
Le coût du service Support
À force de devoir retenir plusieurs mots de passe, nous finissons par en oublier, voire tous les oublier (surtout, et c’est très fréquent, après quatre semaines de congés).
L’employé dans ce cas, se retrouve devant son ordinateur avec l’incapacité de se souvenir du mot de passe de session du poste de travail. Il regarde sous le clavier, derrière l’écran, mais le ménage a été fait et tous les post’its, sur lesquels il avait soigneusement écrit ses multiples mots de passe, ont disparu. Il aurait du écrire ses mots de passe sur une feuille qu’il aurait du ranger dans son tiroir, mais il a aussi égaré ses clés.
La seule solution est d’appeler le service Support de l’entreprise. Cela se passe en une succession d’étapes :
-
Recherche : l’employé recherche le numéro de téléphone du service Support, premièrement dans sa mémoire, puis en demandant à un collègue et finit par se déplacer pour demander à la secrétaire. Le temps varie de 5 à 20 minutes. -
Attente : comme on est lundi matin, le service support ne décroche qu’après 10 à 15 minutes d’attente (d’autres on été plus rapide à appeler le service). -
Identification : le service support demande à l’employé de s’identifier, avec le fameux identifiant unique, oublié par l’employé ; le service support finit par le retrouver grâce aux nom et prénom de l’employé. Le temps peut être assez court, de l’ordre de 1 à 3 minutes. -
Authentification : Le service support ne peut et ne doit pas engager de procédure de remplacement de mot de passe sans avoir la certitude que celui qui en fait la demande est bien celui qui a perdu son propre mot de passe. Suivant les règles en la matière, l’authentification peut demander un temps important, si l’employé doit se déplacer ou si le service support doit contacter le manager ou un responsable ou un collègue pour s’assurer que la personne qui demande le renouvellement soit bien l’employée qu’elle dit être. Le temps peut varier de 5 à 30 minutes, voire même plus selon la disponibilité des personnes à contacter. -
Traitement : Le service support engage la procédure de renouvellement. Le traitement peut durer 10 minutes sans considérer les processus de provisioning. -
Gestion : la procédure de renouvellement par le service support implique que les actions soient journalisées par un principe de création de ticket. Le temps peut aussi être très court, de l’ordre de 2 à 3 minutes.
Au final, l’employé a ainsi pu renouveler son mot de passe en faisant perdre à l’entreprise, et à plusieurs employés, un peu plus d’une heure ?
Le self-service : une solution ?
Ce temps est précieux pour l’entreprise, sachant que plus grande est l’entreprise, plus les demandes de renouvellement au service support sont fréquentes. Donc plus important devient le coût de traitement de ces demandes. Ce temps de perdu est surtout inutile et sans aucune valeur métier.
Une solution alternative serait de mettre en place une solution de self-service : une solution avec laquelle l’employé se débrouille seul pour réinitialiser ses mots de passe et ne fait plus perdre de temps aux autres. Une solution qui n’enlève aucun savoir métier aux employés.
Cette solution passe par une phase d’apprentissage qui permet à chaque utilisateur de remplir un questionnaire personnel pour qu’il puisse être identifié et reconnu lorsqu’il en aura l’utilité.
Intrusion dans la vie privée : les QR
Les premières solutions disposaient d’une liste de questions prédéfinies auxquelles l’utilisateur devait répondre. Ces questions étaient simples et génériques pour que chacun puisse trouver une réponse. Par exemple « quel est le nom de jeune fille de votre mère ? ». Or la réponse à ce genre de question s’obtient sans trop de peine, sans vouloir apporter dans ce billet la méthode pour la trouver. De plus, ces questions étaient souvent trop personnelles et certains voient par là une intrusion dans leur vie privée.
Les solutions plus récentes ont une liste plus importante de questions, qui sont beaucoup plus neutres, et ne sont pas toutes proposées à tous les utilisateurs. La probabilité que 2 employés se voient proposer les mêmes questions est très faible.
Pour rendre le système encore plus sécurisé, une dernière question pourrait proposer à l’utilisateur de faire un calcul par exemple, comme additionner les années de naissance de ses enfants ou animaux de compagnies, ou…
Les solutions pour sécuriser le self-service sont multiples et infinies, ce qui rend ce système très intéressant et offre une véritable alternative au service support.
Conclusion
Encore dernièrement, j’ai été confronté au service support d’une entreprise très compétitive dans le domaine de l’industrie. J’ai perdu mon temps pendant plus d’une heure au téléphone, j’ai fait perdre son temps à une collègue pour utiliser sa messagerie et au final, le service rendu n’est pas à la hauteur parce que je n’ai toujours pas accès à ma messagerie.
Je me serais contenté d’un lien dans le portail intranet pour me rendre sur l’application de self-service et pour réinitialiser mon mot de passe en moins de 10 minutes.
Si le service support apporte la dimension humaine, il n’apporte pas toujours satisfaction. Une solution purement numérique n’est pas aussi chaleureuse mais peut, dans de nombreux cas, rendre au moins le même service.
Thierry ALBAIN
Filed under: Articles Tagged: IAM, sécurité