in

Gestion des mots de passe, comment bien le faire pour sécuriser ses acces.

Les gestion des mots de passe est complexe, et nous vous recommandons d’y accorder le temps nécessaire, l’idéal est d’utiliser un gestionnaire de mots de passe, et un outil comme keepass, en plus d’être gratuit a l’avantage d’être certifié par l’ANSSI, c’est celui qui nous avons choisi en interne.

Gestion des mots de passe,
Gestion des mots de passe,

Comment bien gérer les incidents de mots de passe; les mots de passe sont indispensables pour protéger les données, les systèmes et les réseaux en permettant l’authentification de l’utilisateur qui tente d’accéder à ces données, systèmes ou encore réseaux.

Note de l’auteur :

Dans notre organisation, nous utilisons un gestionnaire de mots de passe, et j’y veille personnellement; nous avons pris un outil non payant (Keepass), il est réellement efficace, mais nous ne souhaitons pas lui faire de la publicité, mais nous le citons ; néanmoins nous imposons à notre personnel  des mots de passe avec minimum 12 caractères, il doit mélanger du numérique et de l’alphabétique, les caractères ne doivent pas se suivre,  et de plus nous exigeons qu’il commence et termine au moins par un caractère dit spécial.

Sécuriser ses acces avec la gestion des mots de passe

Pour bien gérer les incidents de mots de passe, les experts en sécurité de l’information encouragent les organisations à utiliser des gestionnaires de mots de passe automatisés et aussi disposer d’un plan de gestion des incidents adapté.

Seulement, les organisations doivent être conscientes des inconvénients de l’utilisation de l’authentification par mot de passe. D’abord, elle est loin d’être infaillible. Et puis, aujourd’hui, il y a de plus en plus de types de menaces contre les mots de passe ; et malheureusement, la plupart d’entre elles ne peuvent être que partiellement atténuées.

Découvrez dans le présent article, comment vous éviter bien des soucis, par une Saine gestion des mots de passe, comment bien le faire; et nous répétons notre recommandation, imposez dans vos services un gestionnaire des mots de passe.

Un mot de passe, qu’est-ce que c’est précisément ?

Un mot de passe est une chaîne de caractères secrète qu’un demandeur utilise pour authentifier son identité. L’utilisation d’un mot de passe avec un identifiant d’utilisateur, tel qu’un nom d’utilisateur, est donc une forme d’identification et d’authentification.

L’authentification, pour ceux qui l’ignorent, est le processus d’établissement de la confiance dans la validité de l’identifiant présenté par un demandeur, généralement comme condition préalable à l’octroi de l’accès aux ressources d’un système d’information.

Elle peut impliquer quelque chose que l’utilisateur connaît (par exemple, un mot de passe), quelque chose que l’utilisateur possède (par exemple, une carte à puce) ou quelque chose que l’utilisateur « est » (par exemple, une empreinte digitale ou un schéma vocal); il arriva parfois que pour plus de sécurité (monde bancaire), il est aussi doublé par un code pin.

Il existe donc plusieurs manières d’authentifier l’identité d’un utilisateur. Cela dit, les mots de passe restent la méthode d’authentification la plus couramment utilisée du fait de leur efficacité et leur simplicité. En effet, il est par exemple plus facile et plus abordable de créer un nouveau mot de passe que de se procurer une nouvelle carte puce.

Qu’est-ce qu’un incident de gestion de mots de passe ?

De manière générale, un incident est tout événement inattendu qui perturbe les processus opérationnels de l’entreprise ou réduit la qualité de ses services. En informatique, il fait surtout référence à une interruption qui n’est pas voulue d’un service informatique ou encore une défaillance d’un élément matériel ou logiciel ou encore la défaillance d’un élément de configuration du système informatique et réseau.

Quelques exemples d’incidents de gestion de mots de passe ou d’évènements en rapport avec les mots de passe qui peuvent créer des incidents :

• Un utilisateur qui a oublié son mot de passe ;
• Violation de compte ;
• Un utilisateur qui n’a plus accès à son gestionnaire de mots de passe ;
• Cassage de mot de passe. Perpétré par une personne malveillante, c’est le fait de récupérer des mots de passe à partir de données stockées ou transmises par un système informatique.
• Un utilisateur qui a perdu le support où il a noté tous ses mots de passe ;
• Attaque par force brute. Il s’agit d’une technique de cyberattaque consistant à tester une à une toutes les combinaisons possibles pour trouver le bon mot de passe.
• Vol de mots de passe ;
• Attaques par keylogger (les acteurs malveillants récupèrent le mot de passe d’un utilisateur en surveillant ses saisies au clavier);
• Credential Stuffing (une attaque qui consiste à récupérer sur le dark web une liste de comptes ou d’identifiants compromis lors d’une attaque précédente).

Pour détecter les incidents liés à la gestion des mots de passe, les responsables informatiques utilisent généralement des outils de détection et de signalement des violations de données. Mais il arrive aussi que les incidents soient tout simplement détectés par les utilisateurs ou bien les clients qui vont ensuite les signaler aux responsables informatiques.

Le processus à suivre pour gérer les incidents informatiques, quels qu’ils soient  ?

Le processus de gestion des incidents a pour but d’accélérer le rétablissement du fonctionnement normal du service à la suite d’un incident. Il permet aussi de minimiser l’impact négatif qu’un incident a sur les opérations commerciales, d’éliminer les incidents récurrents, voire de tuer dans l’œuf certains incidents, garantissant ainsi le maintien des meilleurs niveaux possibles de qualité et de disponibilité des services.
Voici de manière informelle comment fonctionne la gestion des incidents informatiques, ceux liés à la gestion de mots de passe sont inclus :
• Quelque chose se passe (ou est supposé s’être produit).
• Votre organisation découvre l’incident.
• Il est signalé au service de gestion des incidents (ou un autre domaine de l’entreprise qui peut commencer à faire quelque chose avec les informations).
• Vous vérifiez si c’est un incident qu’il faut prendre au sérieux.
• Vous établissez les priorités pour faire face aux incident (tout en notant que ceux-ci peuvent prendre un certain temps pour être établis).
• Vous tentez d’enquêter et de traiter le problème.

Les étapes suggérées pour une bonne de gestion des incidents :

  • NOTIFICATION DE L’INCIDENT

L’incident est détecté et notifié (par téléphone, e-mail, sms…) aux responsables informatiques par le système de surveillance réseau en place.

Peu importe la manière, dans presque tous les cas, il faut informer le gestionnaire des mots de passe, parfois dénommé homme de la sécurité.

  • EVALUATION DE L’INCIDENT

Lors de l’évaluation initiale de l’incident détecté, les responsables informatiques doivent se poser les questions suivantes :
S’agit-il réellement d’un problème ? Représente-t-il une menace pour la sécurité de l’information et au bon fonctionnement du système informatique ? Si c’est le cas, comment le traiter ? Comment limiter les dégâts qu’il peut occasionner et aussi quelle équipe est apte à le traiter rapidement ? Est-ce que des données ont été volées ? Quelles parties du système sont déjà touchées ? Les attaquants ont-ils eu accès à d’autres parties du système et à d’autres mots de passe ?

  • REPONSE A L’INCIDENT

En fonction de la nature de l’incident et l’ampleur des dégâts, les responsables informatiques activent le plan d’intervention d’urgence inadapté. Cela suppose qu’avant même qu’un incident ne survienne, les responsables doivent déjà avoir mis en place des procédures permettant de le prendre en charge, de le traiter et de limiter ces dégâts. Gérer efficacement les incidents, c’est avant tout être prêt à toutes les éventualités.

Quand un compte a été piraté ou que vous pensez que votre mot de passe a été utilisé à votre insu, généralement la première chose que vous devez faire est bien évidemment de changer votre mot de passe le plus rapidement possible et également réinitialiser le compte piraté pour empêcher les potentiels attaquants d’agir librement.

Après cela, il vous faut aussi procéder à un scan complet du système informatique pour vous assurer que des programmes malveillants n’ont pas été déposés par les attaquants.

Le monitorage réseau pour une détection proactive des incidents

Le monitorage réseau à l’aide de solutions logicielles est nécessaire pour assurer une détection de manière proactive des évènements anormaux. Avec ce genre d’outil, la surveillance et la détection sont automatiques ; elles sont aussi permanentes (24h 24/7j7). Et plus important encore, vous êtes alerté avant même qu’un problème ne survient.

Pour détecter les incidents de gestion de mots de passe, les outils de monitoring réseau surveillent des signaux comme une modification de mots de passe, une hausse soudaine du nombre d’échecs de connexion, un nombre élevé de comptes verrouillés ou encore des tentatives de connexion portant sur des comptes inconnus ou non valides.

Un bon gestionnaire de mots de passe pour réduire le risque d’apparition d’incidents
Un gestionnaire de mots de passe est une application logicielle qui crée automatiquement des mots de passe forts pour vous. Vous n’avez donc pas à vous soucier de créer un mot de passe fiable chaque fois que vous ouvrez un nouveau compte. L’application le fait à votre place.

Elle permet également de stocker tous vos mots de passe dans un seul coffre-fort que vous pouvez sécuriser par un mot de passe principal. Ainsi, vous ne devez retenir que ce seul mot de passe pour tous vos comptes en ligne. Utiliser un gestionnaire présente aussi l’avantage de faciliter et de sécuriser l’authentification, car ce genre d’outil remplit automatiquement les identifiants de connexion sur les comptes en ligne au moment de se connecter.

En plus d’être très pratiques, ces fonctionnalités proposées par les gestionnaires de mots de passe aident également à réduire le risque d’apparition d’incidents de gestion de mots de passe ; Quelques règles de gestion des mots de passe à surtout connaître pour empêcher certains incidents de se produire

Quelques conseils qui aideront à améliorer la qualité de vos mots de passe  :

• Les mots de passe ne peuvent pas être constitués d’un seul mot dans un dictionnaire, une langue, un argot, un dialecte, un jargon…il vaut mieux utiliser une phrase complète.
• Ils ne peuvent pas consister en des informations personnelles faciles à deviner ou à obtenir, des noms de membres de la famille, d’animaux domestiques…
• Pour aider à prévenir le vol d’identité, les informations personnelles ou fiscalement utiles telles que les numéros de sécurité sociale ou de carte de crédit ne doivent jamais être utilisées comme identifiant ou mot de passe, ni les date de naissance non plus.
• Tous les mots de passe sont considérés comme des informations privées et doivent être traités conformément à la politique de protection des informations sensibles et confidentielles, imposées par la société.. En tant que tels, ils ne doivent jamais être écrits ou stockés en ligne à moins qu’ils ne soient correctement sécurisés.
• Les mots de passe ne doivent pas être insérés dans les messages électroniques ou autres formes de communication électronique, s’interdire formellement d’envoyer un password par mail.
• Le même mot de passe ne doit pas être utilisé pour plusieurs comptes ou encore pour des besoins d’accès externes (par exemple, les services bancaires en ligne…).
• Il est recommandé de changer les mots de passe au moins tous les six mois.
• Si un mot de passe est suspecté d’être compromis, il doit être changé immédiatement et l’incident signalé au service informatique, il ne faut pas utiliser le même password deux fois de suite, et il convient d’imposer une longueur minimale à vos mots de passe (minimum 12 digits).
• Le mot de passe seul ne suffit plus à sécuriser un compte. Pour cette raison, il faut privilégier l’authentification multifacteurs, qui est un processus de sécurité de compte nécessitant une autre étape distincte en plus du mot de passe pour qu’un utilisateur puisse prouver son identité, et qui sera souvent un SMS particulier envoyé sur un téléphone portable.

Comment et en combien de temps, pour craquer « hacker », un de vos mots de passe.

LA SCSP, qui est une organisation pakistanaise spécialisée dans la cybersecurité, a offert l’an dernier en cadeau à ses abonnés un outil ou tableau pour savoir en combien de temps votre mot de passe pouvait être hacké.

Seasoned Cyber Security Professionnals, est la signification du sigle SCSP, et si vous suivez leur outil de test, vous verrez qu’en quelques instants certains mots clés, peuvent être analysés et découverts ou pénétrés. Cela peut parfois vous apporter des surprises.

Selon le SCSP, le mots de passe de 8 digits ou moins, peuvent sauter en quelques instants, mais même pour un mot de passe de 12 digits, il faudra environ 1 heure à un bon hacker pour le faire sauter, d’où la recommandation d’utiliser des mots de passe supérieurs à 12 digits.

Car au delà d’un certain nombre de digits, non seulement il lui faudra beaucoup plus de temps pour le faire sauter, mais en plus il risque de se saturer, et d’aller chercher ailleurs des mots de passe plus simples à pirater, en abandonnant le votre.

Cette communauté SCSP a pour mission, d’aider les étudiants, et de leur fournir des conseils et des ressources, pour qu’ils puissent réussir dans ce monde professionnel qu’ils ont choisi, elle est gérée par des professionnels de la cybersécurité, et traitent tous les domaines y inclus l’industriel.

Conclusion, sur une bonne gestion des mots de passe.

Nous nous contenterons de rapporter ici, les recommandations que donnent les plus grands experts pour la mise en place d’un password ou mot de passe.

Le moyen le plus simple pour générer de façon manuelle ses mots de passe, c’est de choisir une succession aléatoire de mots, ou bien une phrase ou un titre de film,  en y ajoutant des chiffres, des lettres capitales et des caractères spéciaux, si possible au début et à la fin.

Il faut veiller à ce qu’il ait au minimum une longueur de 12 digits, s’il en a un peu plus, ce n’est pas une gêne au contraire,  ainsi le mot de passe aura une longueur suffisante et sera plus simple à taper qu’une suite de caractères totalement aléatoire.

En conclusion, nous recommandons d’accorder le temps nécessaire à la gestion de vos mots de passe, et si vous le pouvez n’hésitez pas à utiliser un outil gratuit du Web, qui va vous aider en sécurisant la gestion.

Par exemple, l’outil Keepass, est l’un des meilleurs, et en plus de sa gratuité, il est certifié par l’ ANSSI, c’est une garantie et un gage de sécurité supplémentaire, mais néanmoins, avec un outil ou non, c’est à vous d’imposer la longueur d’un bon mot de passe (minimum 12 digits).

Auteur Antonio Rodriguez, Editeur et Directeur de Clever Technologies

Pour en savoir plus, sur la gestion des mots de passe, merci de lire :

Written by Antoine

Informaticien depuis des lustres, ancien directeur de Banque (Informatique, Comptabilité, Communication, Refonte Informatique), Antoine est un passionné par les nouvelles technologies, et les innovations liées à l'informatique. Une de ses passions est d'écrire des articles, sur les sujets les plus variés et les plus divers, mais en relation avec le monde du SMS ou de la communication, de la supervision, et de la gestion des astreintes.

installation d’une serrure 3 point à Paris

Sécuriser son domicile avec l’installation d’une serrure 3 point à Paris

facturation des PME

La facturation des PME : les défis des entreprises pour rester concurrentielles