Protéger les accès autorisés, cette nouvelle monnaie : Bonnes pratiques pour la gestion des codes PIN et des codes d’accès Dans pratiquement tous les environnements numériques, les mots de passe, les codes et les numéros d'identification personnels (PIN) sont devenus la véritable monnaie d'échange permettant aux individus d'accéder aux systèmes les plus sensibles d'une société. Ils constituent également la première ligne de défense de l'entreprise et sont essentiels à la réussite globale d'un plan de sécurité. Les codes PIN et les codes d'accès, qui ne sont pas simplement liés à des méthodes de protection physique, proposent un système de contrôle et d'équilibre dans les rouages internes d'une entreprise. Ils permettent aux employés autorisés d'accéder à des données sensibles essentielles à la sécurité physique et logique des bâtiments, ainsi qu'à l'infrastructure centrale de l'entreprise dans son ensemble. Dans un monde où il est important d’éviter les pertes et de gérer adéquatement la sécurité électronique, les risques doivent être bien compris et maîtrisés. Les codes PIN, s’ils sont mal gérés, rendent les entreprises vulnérables aux violations de sécurité provenant de sources internes et externes. Ces violations peuvent entraîner des pertes dont les répercussions sur le bilan sont doublement critiques : une perte de stocks précieux et une perte de productivité des employés. À leur tour, celles-ci se traduisent en coûts d’enquête, de réparation, de remplacement de stocks et de surcharge de paperasserie, outre celle existante. Par conséquent, il est vital pour le succès de toutes les entreprises dotées de systèmes de sécurité électroniques de mettre en œuvre et d'adopter une structure rigoureuse des normes de gestion des codes PIN. Ces normes évitent que des personnes non autorisées accèdent à des installations sécurisées et elles sont aussi un moyen de dissuasion utile, afin que même les utilisateurs autorisés n’abusent pas de leur autorité et ne se livrent pas à des vols internes. Des systèmes de gestion des codes PIN correctement gérés contribuent à éliminer les tentations d'abus et garantissent en même temps que toutes les interactions des employés avec le système de sécurité ont été saisies, enregistrées, conservées et facilement analysées. Il arrive souvent que les entreprises élaborent des conventions de codes PIN incluant des informations personnelles des employés ou appliquent un autre cadre logique pour générer des codes d'utilisateur au sein du système. Ces schémas sont des portes ouvertes aux abus. Certains employés qui, dans un autre contexte, n’envisageraient pas un vol en interne, peuvent se laisser tenter par un système de code facile à déjouer et utiliser le code de quelqu'un d'autre au sein de l'entreprise. Certes, les employés peuvent avoir l'impression qu'on leur demande de se souvenir de trop de codes ou de mots de passe différents dans leur vie personnelle et professionnelle. Or, la sélection de codes PIN totalement distincts est primordiale pour gérer les mesures de sécurité et les pare-feu en place. Les codes non valides doivent être immédiatement retirés des tableaux d'alarme La réponse à ce type de menaces commence par les pratiques de gestion des codes PIN de l’entreprise : de quelle manière les codes sont créés, communiqués et mis en œuvre, et dans quelle mesure les directives sont appliquées par les employés et contrôlées par la direction. Voici quelques conseils importants pour renforcer les pratiques de gestion des codes PIN d'une entreprise. Il s’agit de simples principes de base, mais le respect de ces directives favorisera la création d’un environnement plus sûr. IL EST IMPÉRATIF QUE TOUS LES CODES PIN DES PERSONNES AYANT QUITTÉ L'ENTREPRISE SOIENT IMMÉDIATEMENT RETIRÉS DU TABLEAU. Chaque utilisateur du système de sécurité doit disposer d'un code unique Il faut conserver des codes PIN uniques pour tous les employés. Cette règle simple est la pierre angulaire d'une mise en œuvre et d'une gestion efficaces des codes PIN, notamment pour les entreprises disposant de plusieurs sites. Ainsi, chaque code PIN peut servir d'identifiant unique à chaque personne et permet de relier chaque transaction du système de sécurité à chaque employé. Lors de chaque incident impliquant l'armement et le désarmement du système, les gestionnaires et les directeurs de la sécurité sont certains de l'identité des employés dans tout l'environnement sécurisé. Ils sont en mesure de saisir des données intelligentes sur les mouvements du personnel et d'identifier les activités suspectes. Les mots de passe créés par le système permettent aussi de se protéger des modèles prévisibles de codes PIN attribués, tendance commune aux codes générés par l'homme. Lorsque des humains sont chargés d'attribuer des codes d'accès à de nouvelles recrues, les modèles naissent souvent d'un désir de simplification du processus de suivi. Il est impératif que tous les codes PIN des personnes ayant quitté l'entreprise soient immédiatement retirés du tableau. Faire effacer les codes des registres de la société d'alarme n’est pas suffisant : les codes des employés ayant quitté l'entreprise doivent être retirés du tableau afin de garantir que le système d'alarme ne sera pas désarmé par un code non attribué. Là encore, il faut informer les employés du fait que les codes non attribués seront retirés des tableaux en temps utile. Cette mesure sera dissuasive contre toute tentation d'accéder à une installation après le licenciement d'un employé, notamment s’il a été motivé par une raison valable. L'attribution des codes des employés licenciés aux nouveaux venus est appelée « recyclage de codes » et représente un risque important d'abus pour l'entreprise. Déterminez des critères afin que les employés maintiennent la confidentialité de leurs codes Même si cette exigence est la plus complexe à contrôler et à surveiller, elle est extrêmement importante. Dès le départ, déterminez des critères précis pour que les employés maintiennent confidentiels leurs codes d'accès et leurs codes PIN sensibles, tant à l'intérieur qu'à l'extérieur de l'entreprise. Les codes d'accès doivent être communiqués directement à chacun, dans le cadre d'une conversation privée ou d'une communication écrite confidentielle, certaines entreprises estimant que le courrier électronique est un moyen de communication acceptable. Les employés doivent connaître les procédures à suivre pour utiliser leurs Assurez-vous que votre fournisseur de services codes, notamment quand et comment les partager lorsqu'ils communiquent de sécurité respecte les bonnes pratiques au téléphone avec la société d'alarme. Les employés doivent comprendre les risques pour l'entreprise et pour leur propre réputation s'ils décident de communiquer leur code à un autre employé. De même, ils doivent clairement comprendre les conséquences d'une violation de la politique dans ce domaine. Ces politiques doivent être revues avec tous les employés, nouveaux et anciens, de manière périodique. Par exemple, si un collègue, une connaissance ou un client entend ou se voit communiquer le code d’accès d'une autre personne, il pourrait être tenté de l'utiliser pour entrer sans autorisation dans une installation à accès restreint afin de commettre un délit ou tout autre acte préjudiciable. Ce type de délit pourrait impliquer l'employé auquel le code a été initialement attribué. La mise en place et le maintien d'un respect sans faille entre les employés autour de la nécessité de protéger la confidentialité des codes PIN se traduiront par une culture de sensibilisation, de préparation et de garantie qui imprègnera toute l'organisation et améliorera la sécurité de tous. suivantes La meilleure façon d'atténuer la menace que représentent les codes PIN et les codes d’accès compromis est probablement d'établir un partenariat à long terme avec une société de sécurité qui respecte ces principes de gestion sécurisée des PIN. Le fournisseur doit avoir mis en place des processus et des procédures précis pour les services de gestion des codes PIN, incluant tous les points mentionnés ci-dessus. Si vous craignez que les codes PIN de votre entreprise ne soient compromis, contactez immédiatement votre fournisseur de sécurité pour discuter des mesures de précaution et des actions correctives à adopter. En outre, associez votre fournisseur de sécurité à une révision des pratiques de gestion des codes PIN de l'entreprise pour déterminer s’il est possible de mettre en œuvre des mesures de sécurité supplémentaires. En faisant appel à l'expertise qualifiée d'un partenaire de sécurité renommé, les entreprises restent en alerte, sont préparées et informées des dernières technologies et mesures disponibles pour identifier les menaces, les atténuer ou les éliminer, et être soigneusement à l’abri de toute faille de sécurité préjudiciable. LES EMPLOYÉS DOIVENT CONNAÎTRE LES PROCÉDURES À SUIVRE POUR UTILISER LEURS CODES, NOTAMMENT QUAND ET COMMENT LES PARTAGER LORSQU'ILS COMMUNIQUENT AU TÉLÉPHONE AVEC LA SOCIÉTÉ D'ALARME. Pour en savoir davantage sur les solutions de STANLEY, consultez le site : www.stanleycss.com LA PERFORMANCE EN ACTION ©2017 STANLEY Convergent Security Solutions, Inc. et STANLEY Black & Decker Canada Corporation. Tous droits réservés. Toute information mise à disposition par STANLEY Convergent Security Solutions, Inc. (ci-après, « STANLEY ») est une œuvre protégée par le droit d'auteur de STANLEY et est la propriété de STANLEY. CE CONTENU EST FOURNI TEL QUEL, SANS GARANTIE D'AUCUNE SORTE. Toute utilisation des informations figurant dans le présent document se fait aux risques de l'utilisateur. STANLEY n'assume pas la responsabilité de mettre à jour ou de réviser le contenu à mesure que de nouvelles informations sont disponibles. Consultez le site www.stanleycss.com/licenses.html pour obtenir des informations sur les licences.