Au fur et à mesure que les organisations s’efforcent d’assurer la productivité de la main-d’œuvre distante, le problème des informations d’identification mises en cache apparaîtra inévitablement, ce qui posera un problème à l’utilisateur concerné et au service desk informatique.

Ce n’est un secret pour personne qu’une partie matérielle de presque tous les effectifs fonctionne à distance. Vous avez passé les derniers mois à vous précipiter pour établir une connectivité à distance, une productivité basée sur le cloud et une certaine forme de sécurité englobante, le tout pour permettre à vos employés distants de faire leur travail tout en répondant au mieux possible aux exigences de gouvernance d’entreprise en matière de sécurité et de conformité. Mais avec environ 40% de la main–d’œuvre à distance qui utilise des appareils d’entreprise tout en travaillant à domicile, il y a peut-être un problème imminent qui est probablement sur le point de devenir un problème qui impliquera ce sous-ensemble de l’ensemble de votre main-d’œuvre distante – expirant les informations d’identification mises en cache localement.

Pour ceux d’entre vous qui débutent dans l’informatique et qui ne connaissent pas les informations d’identification mises en cache localement, voici la très brève introduction : Comme l’utilisateur est distant, il ne peut pas facilement (voire pas du tout) se connecter à un contrôleur de domaine (DC) sur le réseau de l’entreprise. Ainsi, Windows conserve une copie des informations d’identification de l’utilisateur en cache sur le périphérique local et l’utilisateur peut se connecter librement localement à distance sans avoir besoin de se connecter au réseau d’entreprise. Bien que Microsoft ait supprimé l’obligation d’obliger les utilisateurs à modifier fréquemment les mots de passe, il existe encore des scénarios où les mots de passe doivent être réinitialisés:

• L’ancienne stratégie reste en place et un mot de passe expire
• Les informations d’identification de l’utilisateur sont soupçonnées d’avoir été compromises par une menace interne ou une cyberattaque et doivent être réinitialisées administrativement
• Le mot de passe actuellement établi utilise un mot de passe compromis / divulgué et est réinitialisé administrativement
• L’utilisateur oublie son mot de passe (comme dans, il est mis en cache depuis si longtemps, il ne sait même pas de quoi il s’agit)

Le problème à portée de main, lorsque le mot de passe doit être rétabli du côté Active Directory de l’équation, comment mettez-vous à jour le informations d’identification mises en cache localement ? L’utilisateur concerné doit être connecté au réseau d’entreprise (en particulier à un contrôleur de domaine (DC)) pour disposer localement d’un nouveau cache d’informations d’identification. Maintenant, certains d’entre vous sont déjà en avance sur moi en pensant: « mes utilisateurs utilisent un VPN et sont donc logiquement sur le réseau, donc tout va bien. »Mais selon une étude récente de Proofpoint, seulement 39% des utilisateurs ont un VPN installé et seulement 47% de ces personnes l’utilisent de manière cohérente. De plus, de nombreuses connexions VPN au DC sont établies après la connexion, de sorte que tous les scénarios potentiels pouvant survenir ne seront pas résolus sans support informatique.

En bref, finalement, le problème des informations d’identification mises en cache localement va vous rattraper.

Alors, quelles sont vos options pour mettre à jour les informations d’identification expirées et quelles sont les ramifications de sécurité pour chacune ?

Tout d’abord, parce que le problème que nous résolvons est que le périphérique de point de terminaison distant doit mettre à jour les informations d’identification mises en cache, le processus sous-jacent est en grande partie le même: L’appareil doit être connecté logiquement au réseau d’entreprise (encore une fois, en particulier avec un accès à un CC) via un VPN, et devra (en supposant que vous utilisez Windows 10) appuyer sur Ctrl-Alt-Suppr et choisir Modifier un mot de passe.

Lorsque vous voyez ce processus dans une application pratique, il y a quelques scénarios à considérer autour de la mise à jour des informations d’identification mises en cache localement et de l’impact de chacune sur la sécurité et l’informatique de l’entreprise.

1. Mot de passe connu, Non expiré, Capable de se connecter – c’est l’étalon-or des scénarios possibles. L’utilisateur féru de technologie se connecte simplement au VPN, change son mot de passe et passe sa journée. Pur nirvana.

2. Mot de passe connu, expiré, Impossible de se connecter – sans solutions de réinitialisation de mot de passe tierces, le VPN est une exigence ici. Le service desk va être impliqué pour aider à faciliter au moins la « connexion au réseau d’entreprise », en réinitialisant manuellement son mot de passe à celui existant en tant que solution potentielle et en le faisant changer immédiatement, ce qui peut impliquer d’aider à trouver les clés nécessaires pour changer un mot de passe.

3. Mot de passe inconnu – En mettant de côté le problème de connectivité, c’est là que commence le véritable risque de sécurité. Lorsque les utilisateurs ne savent pas quel est leur mot de passe pour commencer, cela nécessite évidemment une réinitialisation initiale par le service desk, puis un changement de mot de passe lors de la première connexion, comme dans le scénario ci-dessus. Le risque de sécurité se présente sous la forme d’identifier l’utilisateur en tant que propriétaire des informations d’identification avant de remettre le mot de passe de réinitialisation. Dans le premier scénario au moins, ils connaissaient l’ancien mot de passe bien que ce ne soit pas une méthode de vérification très sécurisée, c’est un début. Donc, dans ce cas, sans une forme de deuxième facteur d’authentification qui va au-delà, « qui est-ce? » ou  » quel est votre identifiant d’employé ? »c’est vraiment risqué.

4. Réinitialisation forcée – dans les cas où CELA force une réinitialisation des informations d’identification d’un utilisateur (encore une fois, en raison de problèmes tels que soupçonner qu’il a été compromis par une cyberattaque), le fait de travailler avec l’utilisateur pour communiquer un mot de passe nouvellement réinitialisé doit impliquer une forme très spécifique et sécurisée de validation du propriétaire des informations d’identification avant de remettre le mot de passe de réinitialisation.

Obtenir une mise à jour correcte des informations d’identification mises en cache

Le problème ici est à deux volets, les informations d’identification mises en cache entraîneront finalement une augmentation des appels de support informatique et une perte de productivité, mais il y a un problème de sécurité ici. Le transfert entre l’utilisateur prétendant être le propriétaire des informations d’identification et l’agent de service desk qui doit transmettre un mot de passe temporaire pour faciliter la mise à jour des informations d’identification peut exposer une organisation à des attaques.

Les utilisateurs de votre organisation ont différents niveaux d’accès et, par conséquent, des risques inhérents. Alors, ajoutez au mélange ici que ceux qui ont un niveau élevé d’accès à des informations sensibles, propriétaires et autrement précieuses ont besoin de beaucoup plus de validation que l’une des méthodes simplistes souvent utilisées au service informatique.

La mise à jour des informations d’identification mises en cache localement est un problème de sécurité. Et la meilleure sécurité est celle que l’utilisateur ne connaît pas. Ajoutez à cela que la meilleure solution est celle avec laquelle IL n’a pas besoin de s’impliquer. Il est évident, d’après les scénarios ci-dessus, que le scénario impliquant un utilisateur proactif et féru de technologie répond aux critères. Mais ce n’est tout simplement pas la réalité la plupart du temps. Il peut donc être nécessaire de se tourner vers une solution de libre-service de mot de passe tierce qui s’intègre au processus d’ouverture de session Windows pour simplifier les trois inconnues que j’ai mentionnées dans cet article: les prouesses techniques de l’utilisateur, sa capacité à se connecter au réseau d’entreprise et sa capacité à valider que la personne demandant une réinitialisation de mot de passe est en fait le propriétaire des informations d’identification.

Sans solution tierce, la réponse est simple : VPN, changez le mot de passe. Lorsque ce n’est généralement pas possible, je vous recommande de rechercher une solution qui répond à vos employés distants là où ils se trouvent tout en aidant à maintenir la productivité et la sécurité de l’entreprise.