Combien de portes avez-vous laissées ouvertes dans votre infrastructure ?
Je viens de recevoir aujourd’hui un courriel des plus intéressant de WPML après qu’ils m’aient aidé à résoudre un problème avec mon site web.
WPML et M2i3 ont une philosophie similaire : nous ne voulons pas avoir accès à quelque chose plus longtemps que nécessaire.
Pourtant, très souvent, les clients me donnent leur mot de passe pour que nous puissions gérer leurs comptes ou les aider à résoudre des problèmes.
Dans le meilleur des mondes, je devrais avoir un compte qui me soit propre. Sinon, je leur dis de le modifier avant de nous le donner (car la plupart des gens réutilisent les mots de passe) et de le modifier à nouveau après que nous ayons terminé.
Dois-je aller vérifier s’ils ont vraiment supprimé les comptes ou changé les mots de passe ?
Non
Ce serait inapproprié et, dans une certaine mesure, une tentative de violation de leur infrastructure. Quoi qu’il en soit, je saurai s’ils l’ont modifié la prochaine fois qu’ils demanderont de l’aide.
Je vous pose donc la question suivante : « Dans quelle mesure faites-vous attention à supprimer les comptes et à changer les mots de passe que vous avez donnés aux fournisseurs qui vous assistent ? »
C’est très important de nos jours, car si elles sont violées, c’est votre propre infrastructure qui est exposée. Les données de vos clients sont potentiellement exposées.
Et, si vous êtes au Québec, la loi 25 du Québec vous obligera à divulguer l’événement qui aura un impact sur votre crédibilité. Si vous ne le faites pas, vous vous exposez à de lourdes amendes (comme si la perte de crédibilité ne suffisait pas).
Comment fermer ces portes?
Il y a plusieurs choses que vous pouvez faire pour améliorer votre position en matière de sécurité :
- changez votre mot de passe avant et après l’avoir donné à un fournisseur (il est en fait conseillé de changer régulièrement de mot de passe)
- créez des comptes spécifiques pour vos fournisseurs lorsque c’est possible, indiquez clairement qu’il s’agit de fournisseurs (utilisez le nom de leur organisation plutôt que le nom de la personne qui vous aide).
- tenez un registre des personnes à qui vous avez donné l’accès, jusqu’à ce qu’elles en aient besoin, et supprimez ces comptes lorsqu’ils ne sont plus nécessaires
- examiner régulièrement qui a accès à quel système. Supprimez toute personne qui ne devrait plus avoir accès au site.
Grâce à ces petites mesures, votre infrastructure et vos données seront beaucoup plus sûres.
—
Jean-Marc