Les mauvaises pratiques en matière de mots de passe présentent une des plus grandes menaces pour la cybersécurité des entreprises. Les mots de passe volés ou compromis sont à l’origine de plus de 80 % des violations de données réussies. Lorsque les employés utilisent des mots de passe faibles, réutilisent des mots de passe sur plusieurs comptes ou stockent leurs mots de passe de manière non sécurisée (notes autocollantes, tableurs, etc.), ils mettent leur employeur en danger.
Les organisations utilisent souvent des gestionnaires de mot de passe d’entreprise pour pallier les mauvaises pratiques des employés dans ce domaine. Malheureusement, de nombreuses entreprises utilisent des solutions de gestion des mots de passe héritées qui nécessitent un déploiement sur site. Par rapport aux solutions cloud modernes, les déploiements sur site présentent trois difficultés : l’évolutivité, la sécurité et la fiabilité.
Évolutivité
Les solutions de gestion des mots de passe dans le cloud peuvent ajouter ou supprimer instantanément des utilisateurs selon les besoins. Même la configuration initiale est rapide, car elle ne nécessite pas de déploiements d’infrastructure ou de modifications de réseau, telles que DNS, SMTP, etc. En revanche, les solutions sur site nécessitent le déploiement de serveurs et d’autres modifications importantes de l’infrastructure.
En outre, avec les solutions de gestion des mots de passe dans le cloud, il n’est plus nécessaire d’acheter, de déployer et de maintenir le matériel et les logiciels de gestion des mots de passe. En revanche, les solutions sur site nécessitent de déployer des serveurs, ce qui entraîne un surcroît de coûts, de temps et de main-d’œuvre manuelle.
Sécurité
Les fournisseurs de gestionnaires de mots de passe dans le cloud consentent souvent des investissements importants pour assurer la protection et la confidentialité des données. De nombreux centres de données de gestion des mots de passe dans le cloud se soumettent à des certifications et à des structures de sécurité strictes, tels que SOC2, ISO 27001, GDPR et FedRamp. Les fournisseurs de gestionnaires de mots de passe dans le cloud gèrent toutes les questions liées à la sécurité et aux correctifs informatiques. Les gestionnaires de mots de passe sur site exigent de vos équipes informatiques et de sécurité qu’elles sécurisent l’infrastructure.
En outre, certaines solutions de gestion des mots de passe sur site héritées ont été créées sans utiliser le principe du chiffrement Zero-Knowledge. Ces solutions sur site peuvent chiffrer les données au repos, mais les clés de déchiffrement sont souvent disponibles à l’administrateur qui a accès à l’infrastructure. Le stockage des clés de chiffrement à côté des données au repos est une recette qui mène au désastre.
Dans un modèle de chiffrement Zero-Knowledge, les clés de déchiffrement des données ne sont jamais stockées et elles sont dérivées du mot de passe principal de l’utilisateur final. Dans ce modèle, aucun administrateur n’a la possibilité de déchiffrer arbitrairement le coffre d’un utilisateur.
Plusieurs facteurs doivent être pris en compte lorsque les clés de chiffrement et les mots de passe chiffrés sont stockés au même endroit. Un initié ayant accès au logiciel hébergé ou à la base de données backend peut y accéder sans laisser de trace. Ou une mise à jour de logiciel malveillant provenant du fournisseur pourrait exfiltrer des données.
Fiabilité
L’accès aux identifiants de connexion étant essentiel pour toute entreprise, la disponibilité et la fiabilité sont des facteurs incontournables lors du choix d’un gestionnaire de mot de passe. Les solutions de gestion des mots de passe dans le cloud offrent généralement un taux de disponibilité de plus de 99,9 % et un accès hors ligne qui permet aux utilisateurs d’accéder aux mots de passe lors d’une indisponibilité improbable. Cependant, les gestionnaires de mot de passe sur site exigent de vos équipes informatiques qu’elles maintiennent l’infrastructure en fonctionnement avec des performances et une disponibilité optimales, ce qui est coûteux et fastidieux.
De nombreuses organisations ont choisi des solutions de gestion des mots de passe basées sur le cloud plutôt que des solutions sur site, compte tenu des obstacles techniques que nous avons mentionnés. Voici comment la solution de gestion des mots de passe dans le cloud de Keeper peut vous aider.
Gestion des mots de passe sécurisée et évolutive qui s’intègre facilement à votre infrastructure et à vos processus de sécurité
Keeper se déploie à l’échelle de l’entreprise sur un nombre illimité d’utilisateurs, des petites entités aux organisations comptant des centaines de milliers d’employés et de sous-traitants. Le Cloud Security Vault de Keeper est hébergé par Amazon AWS en Amérique du Nord, en Europe, au Japon, au Canada et en Australie, afin que la solution et l’architecture Keeper soient hébergées et exploitées conformément aux réglementations locales liées à la confidentialité des données et à la ségrégation géographique. L’utilisation d’Amazon AWS permet à Keeper d’adapter les ressources à la demande en toute transparence et de fournir aux clients l’environnement de stockage dans le cloud le plus rapide et le plus sûr. Keeper Security exploite des environnements multizones et multirégions pour maximiser la disponibilité et fournir le temps de réponse le plus rapide aux clients.
En outre, Keeper s’intègre de manière transparente et rapide à toutes les solutions d’identification sur site ou dans le cloud, y compris AD, LDAP, Azure, SCIM, ainsi que les IdP compatibles SAML. Cela comprend des solutions SSO telles que Azure, Okta, Centrify, BeyondTrust, Google Workspace, JumpCloud, OneLogin et Ping Identity. Keeper fournit également des API de développeur, qui permettent d’intégrer Keeper à tout type d’environnement sur site, basé sur le cloud ou hybride. Pour le suivi des événements et la création de rapports, Keeper s’intègre de manière transparente à toutes les principales solutions de gestion des événements et des informations de sécurité (SIEM), y compris Splunk, Sumo Logic, LogRhythm, IBM, DEVO, Datadog et tout système qui prend en charge les événements au format Syslog.
Sécurité des mots de passe Zero-Trust et Zero-Knowledge
Keeper détient les plus anciennes certifications SOC 2 et ISO 27001 du secteur. Pour les clients de l’UE, Keeper respecte le RGPD avec des centres de données isolés de la région de l’UE.
Pour les clients du secteur public des États-Unis, Keeper Government Cloud possède l’autorisation FedRAMP Authorized (impact modéré) et est conforme à l’ITAR. Le SGSI de Keeper garantit que des contrôles de sécurité stricts sont en place pour assurer la protection des données des clients et le fonctionnement sécurisé de nos produits et services.
Keeper Security crée ses produits dans le cadre d’une sécurité Zero-Trust qui protège l’architecture en n’accordant aucune confiance à l’utilisateur. Le Zero-Trust suppose que tous les utilisateurs et tous les appareils peuvent être potentiellement compromis. Chaque utilisateur doit donc être vérifié et authentifié avant de pouvoir accéder à un site Web, une application ou un système. C’est sur cette structure de cybersécurité que s’appuie la plateforme de cybersécurité de Keeper. La plateforme offre aux administrateurs informatiques une visibilité complète sur tous les utilisateurs, systèmes et appareils auxquels ils accèdent, ce qui contribue à assurer le respect des mandats imposés par l’industrie et la réglementation. Pour qu’une organisation dispose d’une structure Zero-Trust, la sécurité de ses mots de passe doit être de premier ordre et être prise en charge par une architecture de sécurité Zero-Knowledge.
Chiffrement Zero-Knowledge
Keeper est un fournisseur de sécurité Zero-Knowledge. Les identifiants de connexion des utilisateurs sont chiffrés localement sur l’appareil et le cryptogramme est stocké sous forme chiffrée dans l’environnement AWS de Keeper. Keeper implémente un système de chiffrement multicouche basé sur des clés générées côté client. Les clés de niveau enregistrement et les clés de niveau dossier sont générées sur l’appareil local, qui chiffre chaque enregistrement stocké dans le coffre (par exemple, mot de passe). Les clés sont générées localement sur l’appareil afin de préserver la fonctionnalité Zero-Knowledge et de prendre en charge des fonctionnalités avancées telles que le partage d’archives et de dossiers. Pour les utilisateurs qui se connectent avec une technologie SSO ou sans mots de passe : la cryptographie par courbes elliptiques est utilisée pour chiffrer et déchiffrer les données au niveau de l’appareil. Les multiples couches de chiffrement garantissent que, même si une seule clé était compromise, l’accès aux autres enregistrements serait contenu. Nous appelons cette limitation le « rayon de souffle ». Étant donné que le cloud de Keeper ne stocke que des cryptogrammes chiffrés, les employés de Keeper Security et les fournisseurs d’infrastructure n’ont pas la possibilité d’accéder aux données des clients ou de les déchiffrer.
Disponibilité et accès hors ligne plus fiables
Keeper est hébergé sur AWS avec une garantie de 99,99 % de temps utilisable et de disponibilité. D’autres gestionnaires de mot de passe sont hébergés sur leurs propres centres de données personnalisés, ce qui entraîne des temps d’arrêt répétés. Keeper sait que vos questions sont importantes et vous donne la possibilité de discuter en direct avec une personne au téléphone. L’assistance en direct de Keeper est disponible 24h/24, 7j/7. Keeper propose également des cours de formation et d’intégration des produits avec votre abonnement. Cliquez ici pour obtenir l’état de disponibilité de Keeper.
Le mode hors ligne de Keeper permet aux utilisateurs d’accéder à leurs coffres depuis n’importe quel appareil lorsqu’ils ne peuvent pas se connecter en ligne à Keeper ou à leur fournisseur d’identité. L’accès hors ligne est disponible avec le Coffre Web Keeper, l’application de bureau et les applications mobiles iOS et Android. Les données du coffre sont stockées dans un format chiffré qui n’est accessible que si l’utilisateur fournit son mot de passe principal ou par authentification biométrique. Plusieurs utilisateurs peuvent partager un même appareil (par exemple un PC portable) et ils auront tous leur coffre stocké en toute sécurité sur ce PC lorsqu’ils sont hors ligne. La protection par autodestruction efface toutes les données stockées localement après 5 tentatives de connexion infructueuses.
Résumé
Les solutions de gestion des mots de passe héritées qui nécessitent un déploiement sur site posent des problèmes d’évolutivité, de sécurité et de fiabilité que n’ont pas les solutions cloud modernes. Si une solution tout-en-un et sécurisée de gestion des mots de passe dans le cloud vous intéresse, demandez une démonstration à un membre de notre équipe.