Chaque ticket de réinitialisation de mot de passe représente un coût pour l’entreprise et une interruption de travail pour l’utilisateur final, en plus de monopoliser le service helpdesk.

Imaginez un lundi matin après un retour de congés où une dizaine d’utilisateurs se retrouvent bloqués devant leur poste. Ce n’est pas un mythe, c’est une réalité. Pendant les vacances, on se vide la tête à tel point qu’on en oublie son mot de passe. Les périodes de renouvellement obligatoire de mots de passe sont un autre exemple, au sein des entreprises où cette règle est encore en place.

Lorsqu’un collaborateur se retrouve bloqué devant son écran de connexion, la réactivité du helpdesk devient le seul garant de sa productivité, créant une dépendance coûteuse. Pour briser ce cycle, il est possible de mettre en place des mécanismes de self-service permettant de rendre les utilisateurs plus autonomes.

Nous allons voir comment répondre à cette problématique pour libérer vos techniciens et assurer une continuité de service, même en dehors des heures d’ouverture du support informatique. Le contexte de l’Active Directory sera pris, car cette solution de Microsoft est très répandue dans le monde professionnel.

Cet article inclut une communication commerciale pour Specops Software.

Le poids des réinitialisations de mots de passe pour le helpdesk

Dans de nombreuses organisations, la réinitialisation de mot de passe est l’une des tâches les plus répétitives pour les techniciens de support. Ce processus, bien que techniquement simple, consomme du temps, beaucoup de temps. C’est significatif si l’on cumule :

• L’ouverture du ticket,
• La vérification de l’identité de l’appelant (attention à l’ingénierie sociale !)
• L’action dans l’Active Directory (AD) et la communication du nouveau mot de passe temporaire.

Au-delà de la charge de travail, l’impact se mesure en termes de blocage utilisateur. Un employé qui passe ses journées devant l’écran et qui ne peut pas se connecter est un employé qui ne produit pas. Si le support est déjà occupé, le délai d’attente s’allonge, transformant un simple oubli en une période d’attente désagréable.

Sur une année, ce sont des heures de travail consacrées à réinitialiser des mots de passe et des heures de productivité perdues. Il y a eu plusieurs études publiées à ce sujet ces dernières années, avec notamment quelques chiffres que je me permets de rappeler.

• Chaque réinitialisation manuelle coûte environ 65 à 70 € selon Forrester, avec des pics en août (10,5% des cas) et janvier (8,6%) dus aux vacances.
• Pour 700 clients analysés, cela représente 58 réinitialisations automatiques par mois et par client, soit 3 686 € mensuels (d’après Specops).
• Une étude Yubico estime à 5,2 millions de dollars par an le coût pour une entreprise de 15 000 employés.

Le service informatique a mieux à faire, j’entends par là des tâches avec une vraie valeur ajoutée, tandis que les utilisateurs ont des tâches à accomplir. Ce point de blocage agit comme un frein quotidien, et c’est une source de frustration.

Pourquoi les processus manuels restent-ils un point faible ?

Le traitement manuel des demandes de réinitialisation comporte un risque en termes de sécurité, et ce dernier réside dans l’ingénierie sociale. Un attaquant peut appeler le support en se faisant passer pour un collaborateur ou un dirigeant, prétextant une urgence pour obtenir une réinitialisation de mot de passe. Sans une procédure d’authentification stricte, le technicien peut involontairement ouvrir une porte au pirate. C’est déjà arrivé lors de cyberattaques réelles.

De plus, ce mode de fonctionnement maintient une dépendance forte vis-à-vis de l’informatique. L’utilisateur n’est pas autonome. Cette dépendance crée des frictions, surtout dans les environnements de travail hybrides ou pour les cadres susceptibles de travailler en soirée ou le week-end, à des moments où le support n’est pas forcément disponible.

Enfin, l’utilisation de “mots de passe temporaires” communiqués par téléphone ou par e-mail constitue une faille. Ces mots de passe sont souvent simples, prévisibles, et restent parfois actifs trop longtemps (même si cela ne devrait pas dans ce contexte). Il est impératif de forcer l’utilisateur à changer son mot de passe dès la première ouverture de session.

L’intérêt du self-service sécurisé (SSPR)

La mise en place d’une solution de Self-Service Password Reset (SSPR) permet de transférer la responsabilité de la réinitialisation vers l’utilisateur final de manière sécurisée. Il y a plusieurs objectifs :

• Améliorer la continuité de l’activité,
• Renforcer la sécurité globale des identités,
• Économiser du temps, et donc de l’argent.

Avec le SSPR, l’utilisateur dispose d’un moyen de prouver son identité sans intervention humaine. Cela élimine le risque d’erreur humaine lié au support et garantit que seules les personnes légitimes peuvent modifier leurs accès. Pour l’entreprise, c’est l’assurance d’un service disponible 24h/24, 7j/7, sans augmenter la masse salariale du service informatique. Au contraire, le service informatique va retrouver du temps pour travailler sur d’autres sujets.

Specops uReset : une solution technique pour Active Directory

Pour répondre à ces enjeux au sein d’un environnement Active Directory, il existe une solution technique nommée Specops uReset. Specops Software est un éditeur spécialisé dans les solutions de sécurité pour Active Directory, déjà présentées sur IT-Connect.

Contrairement à des solutions qui demandent une connexion préalable à une session Windows (ce qui implique d’avoir accès à un autre poste de travail), uReset est accessible depuis l’écran de verrouillage du poste de travail.

Voici comment cette solution s’intègre au niveau de l’expérience utilisateur :

• Accessibilité : un bouton “Réinitialiser le mot de passe” est ajouté à l’écran de connexion Windows. L’utilisateur n’a pas besoin de demander le PC d’un collègue pour accéder à un portail web. Ce n’est pas le cas avec la solution SSPR de Microsoft 365 (accessible en scénario hybride).

• Authentification multifacteur flexible : Specops uReset supporte une large gamme de méthodes permettant à l’utilisateur de prouver son identité. On y retrouve des applications d’authentification (Google Authenticator, Microsoft Authenticator), des passkeys, des codes par SMS, des questions secrètes, Duo, ou encore les systèmes biométriques.

Vous pouvez être plus ou moins exigeant dans ce processus de vérification de l’identité. Autrement dit, vous pouvez demander à ce que l’utilisateur complète à minima 2 ou 3 facteurs avant de pouvoir réinitialiser son mot de passe. C’est idéal pour appliquer le principe de Zero Trust : le système s’assure que l’utilisateur est bien celui qu’il prétend être avant d’autoriser tout changement dans l’AD.

Pour que Specops uReset soit opérationnel, il y a une phrase d’inscription : les utilisateurs doivent configurer leur facteur d’authentification une première fois.

Pour en savoir plus sur cette solution, découvrez mes contenus de présentation :

• Prise en main de Specops uReset
• Démonstration vidéo de Specops uReset

Note : cette solution moderne fonctionne via Internet pour mettre à jour le mot de passe localement et sur le contrôleur de domaine. Ainsi, cette opération est réalisable à distance, notamment en télétravail et sans VPN.

Définir un mot de passe, oui, mais pas n’importe lequel

Éliminer les tickets de réinitialisation est une étape, mais s’assurer que les nouveaux mots de passe choisis sont robustes en est une autre. Surtout, ces mots de passe ne doivent pas être compromis. Ainsi, vous couvrez tout le périmètre : l’utilisateur change son mot de passe, on s’assure que ce mot de passe n’est pas déjà compromis. Si ce n’est pas le cas, tant mieux, on fait rien, sinon, on le notifie pour qu’il change de nouveau son mot de passe.

L’outil Specops Password Policy complète le dispositif en étendant les capacités de l’AD :

1. Blocage des mots de passe compromis : la solution vérifie en temps réel si le nouveau mot de passe choisi par l’utilisateur ne figure pas dans des bases de données de fuites connues (plus de 7 milliards d’entrées).
2. Règles de complexité avancées : vous pouvez imposer des longueurs différentes selon les groupes d’utilisateurs, interdire les caractères consécutifs ou l’usage du nom de l’entreprise. Vous assurez la conformité de vos stratégies avec les bonnes pratiques de la CNIL et de l’ANSSI.
3. Retours visuels en temps réel : lors de la saisie de son mot de passe sur Windows, l’utilisateur voit immédiatement quelle règle n’est pas respectée, ce qui réduit la frustration et les erreurs de saisie. Cette intégration est permise grâce au client Specops à installer sur les machines.

Découvrez Specops Password Policy en consultant mes contenus :

• Prise en main de Specops Password Policy
• Démonstration vidéo de Specops Password Policy

Conclusion

La réduction des tickets de réinitialisation de mot de passe n’est pas uniquement une question de confort pour l’équipe informatique, c’est un enjeu d’efficacité opérationnelle et de renforcement de la posture de sécurité. En implémentant une solution de Self-Service Password Reset comme Specops uReset, vous offrez une autonomie aux utilisateurs sans remettre en cause la sécurité.

Le ROI quant à lui se calcule par le coût du temps gagné par le support additionné au gain de productivité des utilisateurs : ce qui peut aller très vite.

Combien de tickets par an représente la réinitialisation de mots de passe dans votre entreprise ? Je suis curieux d’avoir vos retours.