Pays : Royaume-Uni
Secteur : Pharmaceutique
Objectif : Corriger les mots de passe faibles et facilement déchiffrables signalés par le test d’intrusion externe
Résultat : Mise en place de phrases de passe et d’analyses continues de mots de passe compromis pour parvenir à zéro mot de passe faible détecté lors de plusieurs tests d’intrusion de suivi
Solution : Specops Password Policy avec Breached Password Protection (BPP)
Daniel a d’abord contacté Specops Password Policy après qu’un testeur d’intrusion externe ait pu facilement déchiffrer certains mots de passe de son laboratoire pharmaceutique.
En tant que responsable IT, il revenait à Daniel de trouver une solution permettant à son organisation de déployer des phrases de passe plus longues. Après une rapide recherche sur Google, Daniel est tombé sur Specops Password Auditor, notre outil gratuit qui analyse Active Directory à la recherche de vulnérabilités liées aux mots de passe.
« La première chose que nous avons faite, c’est de lancer un scan avec Specops Password Auditor pour savoir combien d’autres mots de passe étaient faibles », explique Daniel. « Les résultats étaient inquiétants : environ 30 % de nos utilisateurs avaient des mots de passe compromis connus. »
Avant de déployer Specops Password Policy et Breached Password Protection, l’équipe de Daniel s’appuyait uniquement sur les solutions Microsoft standard, ce qui expliquait pourquoi le testeur d’intrusion avait pu compromettre les mots de passe avec succès.
L’analyse du dark web était un critère incontournable pour Daniel. « Nous avions envisagé des solutions que nous aurions pu nous-mêmes mettre en place, comme l’API HaveIBeenPwned, mais nous souhaitions avoir un interlocuteur en cas de problème », explique Daniel. « Le fait que Specops soit un partenaire Gold de Microsoft et propose un support GPO était essentiel. »
HaveIBeenPwned est l’une des nombreuses sources utilisées pour alimenter les plus de 4 milliards de mots de passe compromis dans Specops Breached Password Protection.
Après avoir déployé Specops Password Policy et Breached Password Protection, l’équipe de Daniel a pu mettre en place des phrases de passe et bloquer en continu l’utilisation de mots de passe compromis. Depuis, plusieurs tests d’intrusion ont été réalisés, et les testeurs ne parviennent plus à déchiffrer les nouveaux mots de passe de l’organisation, même après une semaine d’efforts.
« La plupart des solutions nécessaires pour répondre aux failles mises en évidence par un test d’intrusion sont coûteuses et difficiles à obtenir », explique Daniel. « Ce qui était génial avec Specops, c’est que c’était simple à acquérir et très facile à déployer. Aucun utilisateur n’a été dérangé et le prix en a fait une décision évidente. »
Daniel recommanderait-il Specops Password Policy et Breached Password Protection ?
« Oui, à 100 %, et je le fais régulièrement. Je recommande Specops Password Policy pour sa simplicité d’installation et de gestion. Une fois configuré, il n’y a plus besoin d’y toucher. Je le recommande aussi pour son efficacité : en une nuit, le temps qu’on relance les utilisateurs concernés, le problème est résolu. Specops Password Policy est très simple à utiliser et offre un excellent rapport qualité-prix. C’est une solution idéale pour nous. »
