Je viens de recevoir aujourd’hui un courriel des plus intéressant de WPML après qu’ils m’aient aidé à résoudre un problème avec mon site web.
WPML et M2i3 ont une philosophie similaire : nous ne voulons pas avoir accès à quelque chose plus longtemps que nécessaire.
Pourtant, très souvent, les clients me donnent leur mot de passe pour que nous puissions gérer leurs comptes ou les aider à résoudre des problèmes.
Dans le meilleur des mondes, je devrais avoir un compte qui me soit propre. Sinon, je leur dis de le modifier avant de nous le donner (car la plupart des gens réutilisent les mots de passe) et de le modifier à nouveau après que nous ayons terminé.
Dois-je aller vérifier s’ils ont vraiment supprimé les comptes ou changé les mots de passe ?
Non. Ce serait inapproprié et, dans une certaine mesure, une tentative de violation de leur infrastructure.
Mais je peux certainement leur rappeler de changer ce mot de passe et de supprimer ce compte (comme WPML l’a fait avec moi).
Je vous pose donc la question suivante : « Dans quelle mesure faites-vous attention à supprimer les comptes et à changer les mots de passe que vous avez donnés aux fournisseurs qui vous assistent ? »
C’est très important de nos jours, car si elles sont violées, c’est votre propre infrastructure qui est exposée. Les données de vos clients sont potentiellement exposées.
Et, si vous êtes au Québec, la loi 25 du Québec vous obligera à divulguer l’événement qui aura un impact sur votre crédibilité. Si vous ne le faites pas, vous vous exposez à de lourdes amendes (comme si la perte de crédibilité ne suffisait pas).
Comment fermer ces portes?
Il y a plusieurs choses que vous pouvez faire pour améliorer votre position en matière de sécurité :
- changez votre mot de passe avant et après l’avoir donné à un fournisseur (il est en fait conseillé de changer régulièrement de mot de passe)
- créez des comptes spécifiques pour vos fournisseurs lorsque c’est possible, indiquez clairement qu’il s’agit de fournisseurs (utilisez le nom de leur organisation plutôt que le nom de la personne qui vous aide). Si votre logiciel le permet, attribuez une date d’expiration à l’accès que vous avez accordé.
- tenez un registre des personnes à qui vous avez donné l’accès, jusqu’à ce qu’elles en aient besoin, et supprimez ces comptes lorsqu’ils ne sont plus nécessaires
- examiner régulièrement qui a accès à quel système. Supprimez toute personne qui ne devrait plus avoir accès au site.
Grâce à ces petites mesures, votre infrastructure et vos données seront beaucoup plus sûres.
—
Jean-Marc
Aller plus loin avec Alfred
L’IA a la réputation de répondre. Nous la trouvons plus utile quand elle questionne. Pour chaque entrée de ce blogue, nous demandons à Alfred, un assistant IA, de lire et de générer des questions qu’il trouve qui méritent d’être creusées. Voici les questions qu’il a posées, et les réponses de l’auteur.
Le fournisseur comme mémoire externe
Alfred : Vous placez la charge de l’entretien ménager du côté du client, ce qui est assez raisonnable. Mais dans la pratique, n’est-ce pas souvent M2i3 qui garde la meilleure trace de « qui a accès à quoi » chez un client donné – parce que vous avez vu passer trois ou quatre générations de fournisseurs avant vous ? Dans l’affirmative, cela crée-t-il une obligation tacite de conserver ce souvenir, même si vous ne souhaitez pas en être le gardien officiel ?
Jean-Marc : Cela dépend vraiment de ce que prévoit le contrat entre nous et le client. Certains clients nous mandatent pour conserver et protéger l’accès à leurs actifs (mots de passe, domaines, etc.). Agir de la sorte en dehors d’un mandat clair ne serait pas considéré comme une bonne pratique.
Ainsi, si nous avons certainement l’obligation de protéger ces informations tant que nous les contrôlons, nous avons également l’obligation de les détruire une fois qu’elles ont rempli leur fonction. C’est pourquoi nous utilisons des gestionnaires de mots de passe et considérons comme « compromis » tout ce qui a été transmis par courrier électronique ou par messagerie.
Les comptes de service, l’angle mort des petites entreprises
Alfred : Les quatre recommandations concernent principalement l’accès humain (fournisseurs, personnes). Mais la plupart des « portes ouvertes » dans une infrastructure moderne sont des clés API, des jetons OAuth, des webhooks, des intégrations Zapier que quelqu’un a câblées un mardi après-midi et n’a jamais revues. Le même principe s’applique-t-il de manière inchangée à ces accès, ou nécessite-t-il une ergonomie différente ?
Jean-Marc : La plupart des principes s’appliquent. Une entreprise doit savoir qui, comment et quoi peut accéder à ses données. C’est essentiellement l’esprit de la fameuse loi québécoise 25.
