Sommaires
Imposez à vos utilisateurs, une vraie politique de gestion des mots de passe.
Mots de passe, ne jouez pas avec, quelles sont les règles de politique de mots de passe à respecter impérativement ; les mots de passe sont un élément essentiel de la sécurité et de mesures préventives de toute organisation visant à empêcher les pirates informatiques d’accéder aux données.
Selon une étude sur la cybersécurité menée en 2020, près de 63 % de toutes les violations de données sont dues à des mots de passe faibles ou volés. Une autre étude également récente avance que 72 % des entreprises signalent des cyberattaques.
Ces chiffres révèlent que les entreprises sont les cibles préférées des pirates informatiques et démontrent aussi à quel point elles peuvent être vulnérables aux attaques. Que faire alors pour se protéger efficacement des cyber-menaces ?
Sachez qu’une politique de mots de passe avisée et adaptée constitue la première ligne de défense. Elle se définit comme une suite de règles qui encadrent la façon dont est créée, utilisée et gérée les mots de passe au sein d’une organisation.
Découvrez dans cet article quelles sont les 08 règles de politique de mots de passe à respecter impérativement. Mais d’abord qu’est-ce qu’une politique de mots de passe ?
Qu’est-ce qu’une politique de mot de passe en entreprise ?
Comme évoqué plus haut, une politique de mot de passe est un ensemble de règles ou une suite de règles qui encadrent la gestion de mots de passe au sein d’une organisation.
Elle vise l’amélioration de la sécurité principalement en encourageant tous ceux qui utilisent des mots de passe, les utilisateurs donc, à n’utiliser que des mots de passe relativement forts, longs et complexes, où tous les types de caractères doivent être utilisés.
Dans une entreprise, conçue par l’équipe informatique responsable de la sécurité, la politique de mots de passe s’adresse à tous les utilisateurs, à tous les salariés comme à tous les dirigeants sans exception.
Sa performance n’est en effet assurée qui si tout le monde dans l’entreprise est impliqué et engagé à la suivre à la lettre, et c’est au DSI ou au responsable de la sécurité de veiller, aux règles qui sont à imposer.
Chose importante à noter au sujet des normes de politique en matière de mots de passe, puisque les exigences en matière de sécurité des mots de passe diffèrent d’une organisation à une autre, il en va de soi que chacun ait sa propre politique de mots de passe.
08 règles d’utilisation de mots de passe
Pour qu’elle soit efficace, la politique de mot de passe de votre entreprise doit inclure les normes de sécurité suggérées par les organismes de sécurité, comme l’Agence nationale de la sécurité des systèmes d’information par exemple, mais en même temps anticiper vos besoins uniques.
Règle-1 : empêchez l’utilisation un password qui figure déjà dans l’historique.
Vos systèmes doivent être conçus de manière à ce qu’elles soient capables de se souvenir des « N précédents » mots de passe de chaque utilisateur. Les systèmes se souviendront alors automatiquement de l’historique des « N » mots de passe pour chaque utilisateur.
Un utilisateur sera alors empêché de choisir un nouveau mot de passe identique à un mot de passe dans son historique des mots de passe, mais aussi dans celui des autres.
Cette politique empêchera les utilisateurs de réutiliser un ancien mot de passe, les empêchant ainsi d’alterner entre plusieurs mots de passe communs, et qui finissent par être connus de tous.
Règle-2 : fixez un âge minimum de mot de passe assez long
L’âge minimum de mot de passe détermine la durée (temps) pendant laquelle un mot de passe doit être utilisé avant de pouvoir être modifié. Fixer un âge minimum assez éloigné décourage les utilisateurs de remplacer son nouveau mot de passe par l’ancien.
Il s’agit d’une tentation dont en sont victimes de nombreuses personnes. Un âge minimum spécifique de 3 à 7 jours serait parfait, mais rien ne vous empêche de le faire par des semaines.
Règle-3 : fixez un âge (délai) maximal du mot de passe, 90 jours c’est bien.
À l’inverse de l’âge minimum, l’âge de maximal du mot de passe détermine la durée pendant laquelle les utilisateurs peuvent conserver un mot de passe avant de devoir le modifier. L’erreur à ne pas commettre est d’utiliser le même mot de passe durant des années.
Cela augmente énormément le risque de piratage. Pour une sécurité renforcée, les spécialistes suggèrent de définir cette valeur sur 90 jours.
Règle-4 : fixez la longueur des mots de passe à un minimum de 14 caractères
Plus un mot de passe est long et plus faudra du temps pour le cracker. Lorsqu’un pirate a plus de caractères à remplir pour deviner le mot de passe correct, il a exponentiellement moins de chance de trouver le bon.
N’hésitez donc pas à utiliser un mot de long. Les spécialistes recommandent une longueur minimale à 14 caractères pour plus de sécurité, les petits mots de passe de quelques caractères sont formellement à proscrire.
Règle-5 : utilisez un mot de passe complexe
Les mots de passe complexes sont difficiles à deviner. Pour rendre complexe un mot de passe, faites en sorte que celui-ci ne contient pas le nom d’utilisateur ou des parties du nom complet de l’utilisateur, comme son prénom par exemple ou encore informations courantes comme les dates d’anniversaire.
Un mot de passe complexe doit également inclure au moins trois des quatre types de caractères, à savoir les lettres minuscules, lettres majuscules, chiffres et pour finir les symboles.
Evitez les simples dates de naissance, qui finissent par être facilement reconnues, mélangez des lettres et des chiffres, incluez des caractères spéciaux.
Note de l’auteur, mon mot de passe fait plus de 20 caractères, il mélange des chiffres et des lettres, et des caractères spéciaux, et il ne comporte pas de suite numérique.
Règle-6 : procédez régulièrement à des audits de mots de passe
Un d’audit régulier des mots de passe vous permet de surveiller la qualité de mots de passe utilisés par vos utilisateurs. Il vous sera ainsi plus facile de suivre les problèmes de sécurité potentiels.
Cette tache est très pénible et très pénalisante en termes de temps, elle est pourtant essentielle, pour gérer une politique de sécurité cohérente et acceptable.
Règle-7 : activez la double authentification ou authentification forte
Utilisez des services qui permettent la mise en place d’un système de double authentification ou authentification forte sur vos systèmes.
Cette méthode d’authentification électronique bloque l’accès à un utilisateur s’il ne présente pas avec succès deux éléments de preuve qu’il est pratiquement le seul à pouvoir présenter.
Règle-8 : utilisez un gestionnaire de mots de passe, c’est le mieux.
Si vous n’utilisez que des mots de passe forts et qui doivent être changés régulièrement, qui à titre de rappel est chose vivement conseillée, vous aurez malheureusement des difficultés à tous les retenir, tellement ils sont complexes.
L’erreur à ne pas commettre est pourtant d’enregistrer ces mots de passe sur du papier ou bien dans votre ordinateur sur des fichiers non protégés, ou bien dans un pos-it, que l’on place dans son tiroir, ou que l’on colle sur le côté de l’écran.
À la place, utilisez plutôt une solution logicielle de gestionnaire de mots de passe dédiée. Ce type de logiciel vous permet de stocker vos mots de passe sous une forme cryptée et peut même vous aider à générer des mots de passe aléatoires sécurisés facilement.
Conclusion – Ayez une bonne gestion des mots de passe, pour votre sécurité.
Par boutade en cas d’attaque ou de cyber-attaque, il est dit que souvent, le responsable sur trouve sur le siège face à l’ordinateur (c’est l’utilisateur), c’est souvent vrai, même si les utilisateurs ne sont pas conscients, et la gestion des mots de passe est une des premières causes, qui laisseront le hacker entrer dans vos systèmes d’information.
Les pirates sont l’affut de tout, et le nombre d’incidents relevés ici est là, est vraiment en constante augmentation, ne leur facilitez pas la tache, rendez vos systèmes d’information, un peu plus difficiles à violer, par une politique de sécurité adaptée et cohérente, qui forcément passe par une gestion des mots de passe, à la hauteur de vos exigences.
Auteur Antonio Rodriguez, Directeur Clever Technologies.
