Gestion des mots de passe d’entreprise avec Excel ou KeePass : un risque inconsidéré ?
Vous utilisez une feuille Excel pour stocker et gérer vos mots de passe et données sensibles -au regard du RGPD- qui concernent vos collaborateurs ? Vous êtes conscient qu’Excel n’est pas adapté à la situation et cherchez une véritable solution pour gérer vos mots de passe, et de surcroît, vos comptes à privilèges.
Bien que vous estimez votre gestion « opérationnelle », nous devons vous alerter sur cette mauvaise pratique et vous informer sur les risques que vous prenez et vous proposer un véritable outil.
Excel n’est pas une solution de gestion des mots de passe
Microsoft Excel n’a jamais été conçu pour être un gestionnaire de mots de passe. Ce n’est pas une solution en soi, mais plutôt une alternative -et dérivée de son usage premier- que vous avez trouvée pour gérer au mieux vos mots de passe. Vous allez également rassurer votre DPO et votre direction en indiquant que ce fichier Excel est protégé par un mot de passe. Malheureusement, Excel fait partie d’une large gamme de logiciels de Microsoft et ce dernier n’échappe pas aux failles de sécurités, très largement exploitées par les cybercriminels.
La divulgation de mots de passe est un incident critique pour l’entreprise et vous devez vous marquer une intention particulière sur la protection de vos comptes qui bénéficient de privilèges. Ces comptes doivent être protégés avec des gestionnaires de mots de passe spécialisés et conçus pour les entreprises, qui proposent ne serait-ce qu’une authentification à deux facteurs (MFA).
Excel ne peut PAS :
- Générer des mots de passe
- Synchroniser les mots de passe auprès des utilisateurs
- Gérer des rapports de conformité
- Offrir une sécurité renforcée, type MFA
Alternative KeePass : ce n’est pas un gestionnaire de mots de passe destiné aux entreprises
Vous cherchez alors un gestionnaire de mots de passe et ne souhaitez pas pour autant investir dans une solution coûteuse. Vous trouvez alors KeePass, une solution gratuite (open source) qui permet de rassembler l’ensemble de vos numéros de série, logins, mots de passe et autres numéros de comptes dans une seule interface.
C’est ainsi un coffre-fort à usage personnel et non un gestionnaire de mots de passe destiné aux entreprises. En effet, KeePass ne dispose pas des fonctionnalités essentielles d’un véritable gestionnaire de mots de passe pour les professionnels et ne dispose pas d’une gestion efficace de vos comptes à privilèges.
KeePass ne peut PAS :
- Gérer et partager des mots de passe avec votre équipe
- Apporter un niveau de sécurité élevé grâce à des fonctions d’audit et de conformité
- Elever temporairement des privilèges (droits) à des utilisateurs
Pour appuyer nos propos, voici un tableau comparatif de fonctionnalités essentielles d’un gestionnaire de mots de passe à implémenter au sein de votre entreprise.
Exemple de comparatif de solutions : KeePass vs Thycotic Secret Server.
| Keepass | Thycotic Secret Server | |
|---|---|---|
| Nombre illimité de mots de passe | x | x |
| Coffre-fort de comptes à privilèges | x | |
| Fonctions d’audit et de conformité | x | |
| Gestion des identifiants | x | x |
| Générateur de mdp | x | x |
| Synchronisation des mdps | x | |
| SSO (Single Sign On) | x | |
| MFA (Multi-Factor Authentification) | x | |
| Disponible dans le Cloud (SaaS) | x | |
| Disponible On-Premise | x | x |
Nous vous invitons à découvrir la solution Thycotic Secret Server sur cette page dédiée, ou nous contacter pour obtenir plus d’informations.
