Limoges Métropole simplifie la gestion des mots de passe de ses agents (87)

Comme la plupart des collectivités territoriales, Limoges Métropole subit une recrudescence des cyberattaques. Leur point commun ? Chercher à contourner les sécurités mises en place par la collectivité - pare-feu, redondances et autres antivirus - en passant par les utilisateurs finaux pour tenter de pénétrer le système d’information. « Nous alertons régulièrement les agents sur les risques, mais il s’agit aussi de les outiller dans un contexte de durcissement des règles », explique Jérémy Phérivong chef de projet informatique à la métropole de Limoges.

C’est ainsi que la Direction des services informatiques (DSI) a décidé de mettre l’accent sur la sécurisation des mots de passe pour les 650 agents dotés d’un accès au réseau informatique de la collectivité. « Si les mots de passe utilisés pour l’accès aux logiciels de la collectivité sont relativement robustes, leur renouvellement régulier se heurte au risque du post-it mis en évidence sur le bureau », relève Philippe Lesterpt, chef de service infrastructures systèmes et exploitation à la DSI. Par ailleurs, si beaucoup d’agents n’utilisent que la bureautique et la messagerie avec une seule identification, d’autres utilisent des dizaines de mots de passe pour accéder aux applications métier.

Une solution française

Autant de raisons qui ont poussé la collectivité à doter ses agents d’un gestionnaire de mots de passe. Si des solutions gratuites existent, à l’image de celles proposées par les Gafam, elles ont pour inconvénient de ne pouvoir être totalement maîtrisées par la collectivité, avec des données « stockées on ne sait où ». Le coffre-fort UpSignOn a pour avantage d’être de conception française – il s’agit même d’une start-up implantée non loin de Limoges, à Toulouse – et de pouvoir être adapté aux besoins fonctionnels de la collectivité. Facturé quelques dizaines de centimes par compte et par mois, il offre toutes les fonctionnalités attendues de ce type d’outil : centralisation des mots de passe, génération automatique de mots de passe forts, possibilité de partager un mot de passe avec des collaborateurs.

La stratégie d’implémentation du logiciel s’inscrit ensuite dans une politique plus large de sensibilisation des agents à la cybersécurité et au Règlement général sur la protection des données (RGPD). « Nous avons opté pour l’organisation d’une réunion dans chaque service et le gestionnaire de mots de passe est présenté comme un facilitateur pour se conformer au renforcement des règles de cybersécurité », explique le chef de projet. L’usage du coffre-fort n’est du reste pas imposé : la collectivité mise sur le bouche-à-oreille et des fonctions annexes. Les agents ont ainsi la possibilité de stocker leurs mots de passe personnels, ceux du navigateur ou encore un code d’accès à un casier ou un garage. Lors de la création d’un compte, les mots de passe sont en outre analysés et les plus faciles à craquer sont identifiés, pour inciter l’utilisateur à les changer. La DSI dispose elle-même de statistiques pour suivre le niveau de fiabilité des mots de passe et peut ainsi mieux cibler ses actions de communication

Les élus bientôt concernés

Quelques semaines après le lancement de ce projet en décembre 2021, un quart des agents avaient ainsi déjà créé un compte dans les directions sensibilisées. La DSI mise sur l’obligation de renouveler à intervalles réguliers le mot de passe du poste de travail pour que le coffre-fort s’ancre dans les pratiques. Et si les élus n’ont pas encore été incités à l’installer, ils sont bien inscrits dans la feuille de route de la DSI pour 2022. Car eux aussi sont pleinement concernés par les bons réflexes en matière de cybersécurité.