Nouvelles embauches, anciens problèmes : comment réduire les risques liés aux mots de passe lors de l’intégration
Table of Contents
La première semaine d’un nouvel emploi semble toujours impliquer beaucoup de temps avec l’équipe informatique – surtout lors de l’intégration d’employés à distance. La configuration du matériel, des accès et des mots de passe est une étape essentielle. L’une des premières et des plus importantes choses à faire est de partager un mot de passe Active Directory avec un nouvel arrivant – mais cette tâche apparemment simple peut comporter des risques. Nous examinerons les domaines où le risque est créé pendant le processus d’intégration (autour des mots de passe en particulier) et partagerons quelques moyens de réduire ce risque à l’avenir.
Comment les organisations partagent-elles les mots de passe – et pourquoi est-ce risqué ?
Il y a toujours un risque lors du partage d’informations sensibles entre les parties. Voici quelques domaines où le risque peut être créé pendant la partie de partage de mots de passe de l’intégration.
Risque d’interception
Les organisations donnent généralement à leurs nouveaux employés leurs mots de passe en les partageant en texte brut via un e-mail personnel ou un SMS. Cela expose le mot de passe à une interception potentielle par des attaques de type man-in-the-middle, où une partie non autorisée pourrait capturer le mot de passe et l’utiliser pour obtenir un accès non autorisé.
Communication verbale des mots de passe
Une autre façon de donner à un nouvel arrivant son mot de passe est de le partager verbalement le jour de prise de poste de l’employé. Le partage verbal peut être lourd pour le personnel informatique et peut conduire à ce que les mots de passe soient partagés avec le manager de l’employé, introduisant un risque supplémentaire d’ingénierie sociale pour les deux parties. Le mot de passe pourrait aussi être entendu par d’autres, oublié ou incorrectement noté par l’employé. De plus, cette méthode ne favorise pas de bonnes pratiques de mots de passe, comme encourager les employés à changer leurs mots de passe régulièrement ou à utiliser des mots de passe forts et uniques pour différents comptes.
Vulnérabilité à l’ingénierie sociale
Les cybercriminels ciblent les nouveaux arrivants car ces employés ne connaissent souvent pas les processus de l’entreprise, les styles de communication ou les protocoles de sécurité, ce qui les rend vulnérables aux attaques d’ingénierie sociale. Les nouveaux employés sont aussi généralement désireux de faire bonne impression, ce qui pourrait les amener à cliquer précipitamment sur des liens ou des pièces jointes sans vérification appropriée. Les pirates peuvent facilement utiliser des informations publiques sur LinkedIn et les sites web d’entreprise pour établir les nouveaux arrivants, les chaînes de commandement et les relations avec les fournisseurs. Cela les aide à créer des campagnes de harponnage crédibles ciblant des individus.
Échec du changement des mots de passe temporaires
Dans la plupart des cas, les nouveaux arrivants reçoivent un mot de passe temporaire simple que l’équipe informatique leur demande de changer. Cependant, si ces mots de passe ne sont pas changés en temps opportun, cela peut créer un risque. Les nouveaux employés ne changent pas toujours les mots de passe de connexion temporaires fournis par l’équipe informatique, ce qui laisse l’organisation vulnérable aux attaques si le mot de passe était faible ou facilement devinable.
Les chercheurs de Specops ont analysé une année d’identifiants volés par des logiciels malveillants et ont trouvé que 120 000 d’entre eux incluaient des termes courants associés aux mots de passe des nouvelles embauches. Les mots de passe de nouvelles embauches les plus couramment compromis incluent souvent des termes simples et prévisibles comme « welcome123 » ou « newuser1! ». Les données ont montré que de nombreux utilisateurs finaux vont réutiliser leur mot de passe temporaire ou simplement ajouter des chiffres ou des caractères spéciaux à la fin pour répondre à la politique de mots de passe d’une organisation. Ces structures de mots de passe simples sont connues des pirates et utilisées dans les attaques par dictionnaire et par force brute.
Intéressé d’apprendre combien de mots de passe faibles et compromis sont actuellement utilisés dans votre Active Directory ? Exécutez une analyse en lecture seule de votre Active Directory avec Specops Password Auditor contre un milliard de mots de passe compromis et obtenez un rapport détaillant vos vulnérabilités liées aux mots de passe – téléchargez gratuitement ici.
Y a-t-il un moyen sécurisé de partager les mots de passe du premier jour ?
Comme montré ci-dessus, il y a deux domaines clés de risque avec l’intégration et les mots de passe : d’abord, les façons non sécurisées dont les organisations partagent les mots de passe avec les nouveaux arrivants. Ensuite, le risque que les employés ne mettent pas à jour un mot de passe temporaire. Pour atténuer ces risques, les organisations peuvent utiliser une solution comme First Day Password de Specops, qui permet aux nouvelles embauches de définir leurs propres mots de passe en toute sécurité sans connaître le mot de passe temporaire initial.
La fonctionnalité Specops First Day Password élimine le besoin de partager les premiers mots de passe en texte brut ou verbalement en permettant aux nouveaux employés de définir leurs premiers mots de passe via un lien d’inscription envoyé à leur e-mail personnel ou numéro de mobile, ou via le lien « reset my password » sur leur appareil joint au domaine. Ce lien les dirige vers un écran de retour dynamique où ils peuvent créer un mot de passe qui respecte la politique de l’organisation.
First Day Password peut aussi être combiné avec Specops Password Policy and Breached Password Protection pour encourager la création de mots de passe forts et bloquer l’utilisation de plus de 4 milliards de mots de passe compromis connus.
Essayez Specops First Day Password
Pour atténuer les risques d’intégration, éliminez le besoin de mots de passe temporaires. First Day Password permet aux nouveaux utilisateurs de définir leurs propres mots de passe sécurisés après avoir vérifié leur identité, sans jamais connaître le mot de passe initial défini par l’informatique. Cette méthode réduit non seulement le risque associé au partage de mots de passe en texte brut mais assure aussi la conformité avec les réglementations de sécurité.
Avez-vous des questions sur comment First Day Password pourrait fonctionner pour votre environnement ? Voulez-vous voir une démonstration de la solution complète ? Contactez-nous.
(Dernière mise à jour le 22/07/2025)