:format(avif))
:format(avif))
Il est étonnant de constater que 20 % des mots de passe professionnels sont constitués du nom de l’entreprise ou d’une légère variante de celui-ci. En matière de sécurité analogique, c’est un peu comme laisser la porte de son bureau ouverte la nuit.
Contenu:
- Qu’est-ce qu’une politique de mots de passe ?
- Quand utiliser une politique de mots de passe ?
- Conformité à la cybersécurité et politique de mots de passe : les bonnes pratiques
- La politique de mots de passe du NIST
- Recommandations sur la politique de mots de passe
- Pourquoi les politiques de mots de passe (isolées) sont vouées à l’échec
- La politique de mots de passe d’Active Directory
- Comment mettre en place une politique de mots de passe efficace
Ces informations sont peut-être nouvelles pour vous, mais elles ne le sont pas pour les cybercriminels. Les mots de passe faibles et réutilisés constituent la meilleure porte d’entrée vers les données sensibles des entreprises. Selon le type de cyberattaque, jusqu’à 80 % des piratages de données réussis peuvent être attribués à des identifiants de connexion faibles ou volés.
L’une des solutions est de mettre en œuvre une politique de mots de passe pour encourager votre équipe à utiliser des mots de passe plus robustes. Mais comment créer une politique qui fonctionne et que doit-elle contenir ? Aujourd’hui, nous abordons les meilleures pratiques en matière de politiques de mots de passe.
Qu’est-ce qu’une politique de mots de passe ?
Tout d’abord, intéressons-nous aux politiques de mots de passe et leur fonctionnement. Une politique de mots de passe est un ensemble de règles qui indique à une équipe comment prendre des décisions concernant l’utilisation et la gestion des mots de passe. Ces exigences des politiques de mots de passe peuvent varier légèrement en fonction des besoins de l’organisation, mais elles visent à améliorer la cybersécurité en empêchant les cyberattaques qui reposent sur des mots de passe faibles et réutilisés.
La mise en place d’une politique de mots de passe consiste généralement à établir des conventions autour des mots de passe afin de les rendre difficiles à pirater. Les politiques de mots de passe peuvent également faire référence aux règles et aux lignes directrices relatives à la définition des mots de passe en interne. Cela permet aux entreprises d’exercer un contrôle administratif sur les critères de mot de passe qu’un système développé en interne peut accepter.
Les critères d’une politique de mots de passe d’entreprise portent sur la longueur recommandée du mot de passe (à partir de 12 ou 14 caractères), l’utilisation de combinaisons aléatoires de lettres, de chiffres et de caractères spéciaux, et la fréquence des mises à jour obligatoires du mot de passe.
Les organisations peuvent utiliser des systèmes centralisés de gestion des mots de passe pour s’assurer que tous les employés respectent les règles de la politique de mots de passe et pour les obliger à mettre à jour leurs identifiants de connexion. La mise en œuvre de ces principes permet de s’assurer plus facilement que tous les employés respectent les directives lorsqu’ils créent des mots de passe pour des comptes ou des logiciels externes utilisés dans le cadre professionnel, tels que Outlook, Google Workspace ou Zoom.
Quand utiliser une politique de mots de passe ?
Pour comprendre la nécessité d’une politique de mots de passe, imaginons la situation inverse, c’est-à-dire la façon dont les employés ont tendance à traiter la gestion des mots de passe dans le cadre de l’entreprise.
Les mots de passe faibles sont la norme (malheureusement)
Sans les orientations d’une politique de sécurité des mots de passe, les collaborateurs prennent facilement l’habitude d’utiliser des mots de passe faibles qui peuvent être piratés facilement. Par exemple, le mot « password » est le mot de passe le plus faible qui existe. Et pourtant, il figure dans le top 5 de la liste 2024 des 200 mots de passe les plus courants dans le monde. Bien que moins d’une seconde suffise aux pirates pour le craquer, il est toujours utilisé par des millions de comptes dans le monde entier.
Si vous pensez que les utilisateurs d’Internet adoptent un comportement plus sûr lorsqu’ils créent des identifiants professionnels, une étude portant sur des entreprises du classement Fortune 500 ayant fait l’objet d’une attaque a montré que c’est loin d’être le cas.
Les mots de passe prévisibles tels que « 123456 » figurent parmi les choix les plus courants, tandis que d’autres comme « abc123 » et « sunshine » (rayon de soleil) font leur entrée dans le top 10 par secteur d’activité. Comme nous l’avons indiqué, le nom de l’entreprise est également un choix courant. Dans l’ensemble, le pourcentage de mots de passe uniques n’est que de 31 % tous secteurs confondus, sans parler de la force des mots de passe uniques.
Dans l’ensemble, le pourcentage de mots de passe uniques n’est que de 31 % tous secteurs confondus, sans parler de la force des mots de passe uniques.
Une autre étude portant sur les identifiants de connexion des managers, propriétaires et cadres dirigeants a démontré que même les membres de l’équipe dirigeante ne sont pas plus performants dans l’utilisation de mots de passe forts et sécurisés. Il va sans dire que les mots de passe faibles, qui devraient être évités à tout prix, sont très courants dans de nombreux environnements de travail et à tous les niveaux.
Les mots de passe faibles représentent une vulnérabilité cybernétique majeure
Comme nous l’avons vu, les mots de passe faibles peuvent être piratés en moins d’une seconde. Il n’est pas surprenant que le rapport d’enquête sur les fuites de données de Verizon ait montré que les identifiants de connexion sont impliqués dans environ 50 % de toutes les attaques, soit plus de deux fois plus souvent que les attaques par phishing.
Pour ne rien arranger, l’utilisation de mots de passe faibles est souvent associée à une mauvaise hygiène des mots de passe. Les fautes les plus courantes dans le domaine de l’hygiène des mots de passe sont le stockage des mots de passe dans des endroits non sécurisés et la réutilisation des mêmes mots de passe pour plusieurs comptes.
Les mots de passe écrits sur des notes autocollantes, stockés sur votre bureau ou partagés dans des feuilles de calcul Excel sont des exemples particulièrement flagrants de stockage inapproprié de mots de passe. Un mot de passe écrit à la vue de tous est particulièrement pratique pour un intrus dans votre espace de travail. Et pour les cybercriminels qui ont accédé au réseau informatique de l’entreprise, les listes non chiffrées de mots de passe stockées dans des documents hors ligne sont des proies faciles.
Comme vous pouvez le constater, une mauvaise hygiène des mots de passe peut mettre en échec même le mot de passe le plus fort et le plus long, c’est pourquoi une bonne politique de mots de passe doit tenir compte de ces deux aspects.
Conformité à la cybersécurité et politique de mots de passe : les bonnes pratiques
Bien que les mots de passe constituent souvent la première ligne de défense dans l’infrastructure de cybersécurité des entreprises, les chiffres montrent que les employés ne les prennent pas autant au sérieux. L’un des moyens de s’assurer que la sécurité de l’entreprise n’est pas compromise par la fuite d’identifiants de connexion est de mettre en place et d’appliquer une politique de mots de passe dans l’infrastructure de cybersécurité.
La mise en place d’une politique de mots de passe aide également les organisations à respecter les règles de conformité de cybersécurité. Il existe différents guides sur les politiques de mots de passe pour aider les entreprises à respecter les normes requises et à assurer la sécurité des données des employés et des clients.
Guide de la politique de mots de passe du CIS
Le Center for Internet Security (CIS, Centre pour la sécurité de l’Internet) est une organisation à but non lucratif dont la mission est de protéger les organisations contre les cybermenaces. Elle publie des recommandations qui, si elles sont suivies, améliorent la cybersécurité des entreprises.
Le guide de la politique de mots de passe du CIS propose deux niveaux de recommandations pour les mots de passe : un lorsque les mots de passe constituent la seule méthode d’authentification, et un autre lorsque les mots de passe ne sont qu’une méthode d’authentification parmi d’autres.
| Éléments | Authentification par mot de passe uniquement | Authentification multifacteur (AMF) |
|---|---|---|
| Plus de 14 caractères | Plus de 8 caractères | |
| Exiger au moins 1 caractère non alphabétique | Aucune exigence de complexité | |
| Fréquence des changements : lorsqu’un événement se produit, comme les départs et arrivées d’employés ou une fuite de données. Sinon, changer de mot de passe une fois par an. | Fréquence des changements : lorsqu’un événement se produit, comme les départs et arrivées d’employés ou une fuite de données. Sinon, changer de mot de passe une fois par an. |
Très logiquement, les mots de passe doivent être plus forts lorsqu’ils sont le seul rempart entre un cybercriminel et vos comptes.
La règle de sécurité HIPAA
Les normes de sécurité de l’HIPAA pour la protection des informations électroniques de santé protégées (la règle de sécurité) établissent une norme pour la protection des informations électroniques protégées sur la santé (ePHI).
La règle de sécurité stipule que les organismes de santé doivent respecter les principes de base de la sécurité de l’information. En d’autres termes, la « confidentialité, l’intégrité et la disponibilité de tous les e-PHI » doivent être préservées pour toutes les données de santé protégées créées, stockées ou partagées par l’organisation.
Le respect de ces principes implique une protection contre les menaces ou les fuites de données anticipées. Bien que la règle de sécurité ne définisse pas de protocoles spécifiques pour les mots de passe, de nombreuses recommandations impliquent des politiques et une hygiène appropriées pour les mots de passe dans le cadre de mesures de protection administratives et techniques.
En principe, la règle de sécurité peut être respectée en suivant les bonnes pratiques convenues dans le domaine de la cybersécurité et de la sécurité de l’information, qui impliquent inévitablement une politique de mots de passe fiable.
Les directives PCI-DSS sur les mots de passe
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est une norme de sécurité internationale qui s’applique à toutes les entités qui traitent, stockent ou transmettent des informations personnelles et de paiement. Comme la règle de sécurité de l’HIPAA et les contrôles CIS, elle liste les bonnes pratiques de cybersécurité qui limitent les risques cybernétiques et protègent les données. La norme PCI DSS comprend 12 critères, mais nous nous concentrerons sur deux d’entre eux qui sont étroitement liés aux politiques de mots de passe.
Le critère n° 2 de la norme stipule que les entreprises doivent changer tous les mots de passe par défaut des systèmes par de nouveaux mots de passe plus robustes. Le document précise que ne pas le faire équivaut à « laisser son magasin physiquement ouvert en rentrant chez soi le soir ».
Le critère n° 8 consiste à « identifier et authentifier l’accès aux composants du système ». Des mots de passe forts et une authentification multifacteur sont préconisés comme mesures fondamentales pour protéger les données des titulaires de cartes.
Renforcez votre sécurité en ligne
Identifiez les failles avant qu'elles ne nuisent à votre entreprise
La politique de mots de passe du NIST
Le National Institute of Standards and Technology (NIST, Institut national des normes et de la technologie) est une agence fédérale américaine qui fait autorité en matière de directives sur les mots de passe. La politique de mots de passe du NIST fournit plusieurs recommandations pour créer des mots de passe sûrs et les gérer en toute sécurité. Contrairement aux conseils traditionnels, le NIST met l’accent sur des politiques conviviales tout en maintenant un niveau de sécurité élevé.
Par exemple, le NIST recommande d’autoriser des mots de passe plus longs (jusqu’à 64 caractères), de prendre en charge un ensemble de caractères diversifié (y compris les espaces et les émojis) et d’éliminer les changements périodiques de mots de passe à moins qu’il n’y ait des preuves de compromission.
En substance, le NIST encourage la création de phrases uniques, faciles à retenir, plutôt que des combinaisons alphanumériques complexes et difficiles à mémoriser. Ces lignes directrices soulignent en outre la nécessité d’une authentification multifacteur comme étape supplémentaire de sécurité et déconseillent le recours à des indices de mot de passe et des questions d’authentification basées sur la connaissance (comme le nom de votre premier animal de compagnie), qui peuvent être facilement exploitées.
L’approche globale du NIST pour la sécurité des mots de passe souligne son engagement à concilier l’expérience de l’utilisateur et une protection fiable des données. C’est pourquoi ses normes sont largement adoptées par l’ensemble des secteurs d’activité dans le monde.
ISO/IEC 27001
La norme ISO/IEC 27001 (International Organization for Standardization/International Electrotechnical Commission 27001) est une certification volontaire sur la sécurité de l’information, la cybersécurité et la protection de la confidentialité.
L’annexe A est l’une des annexes les plus connues de la norme ISO. Elle comprend des recommandations qui renforcent la sécurité des données. Plus précisément, la section A.9 concerne le contrôle d’accès, dans laquelle vous trouverez des lignes directrices de la gestion des mots de passe.
Pour protéger la confidentialité des données sensibles, les lignes directrices de la norme ISO recommandent des « mots de passe forts » et un « système de gestion des mots de passe », en plus de l’authentification multifacteur.
Recommandations sur la politique de mots de passe
Toutes les normes de cybersécurité bien connues recommandent l’utilisation de mots de passe forts et une bonne gestion ou hygiène des mots de passe. Mais qu’est-ce que cela signifie exactement ?
Des mots de passe forts
La mise en place d’une politique de mots de passe forts complique la tâche des pirates. Les lignes directrices suivantes peuvent contribuer à créer des mots de passe complexes, longs et difficiles à deviner.
| DOIT inclure | NE DOIT PAS inclure |
|---|---|
Au moins 8 caractères, plus sont recommandés | Mots du dictionnaire |
Divers caractères alphanumériques | Les mots de passe les plus courants |
Symboles | Informations personnelles ou sur l’entreprise |
Plusieurs casses de caractères | Les mêmes caractères utilisés deux fois de suite (par exemple, 112233) |
Combinaisons de caractères aléatoires |
Souvenez-vous que votre politique de mots de passe doit être calibrée en fonction de critères standards. Sinon, vous vous retrouverez avec une politique impossible à suivre. Par exemple, les experts en cybersécurité affirment que les mots de passe les plus forts doivent autoriser l’utilisation d’un espace. Pourtant, il est fréquent que des espaces soient interdits.
Conseil : utilisez un générateur de mots de passe pour obtenir instantanément des mots de passe très forts sans mettre votre créativité à rude épreuve.
Une bonne hygiène des mots de passe
Une bonne hygiène des mots de passe est également destinée à les garder hors de portée des intrus, ce qui les rend difficiles à voler et limite les dommages en cas de piratage.
| DOIT impliquer | NE DOIT PAS impliquer |
|---|---|
L’utilisation de mots de passe uniques pour tous vos comptes | Le stockage des mots de passe en clair |
Le changement périodique des mots de passe ou après une fuite de données ou un changement de personnel | La répétition des mots de passe |
Le stockage sécurisé et chiffré de bout en bout | Le partage de mots de passe par messagerie instantanée ou par e-mail |
La conservation des mots de passe attribués par défaut | |
L’écriture des mots de passe à un endroit où ils peuvent être consultés |
Utilisez un outil d’analyse des fuites de données pour savoir si vos identifiants de connexion ont été divulgués. Si c’est le cas, changez-les immédiatement.
Pourquoi les politiques de mots de passe (isolées) sont vouées à l’échec
Il y a une raison pour laquelle il est si courant d’utiliser des mots de passe faibles et de pratiquer une mauvaise hygiène des mots de passe, et ce n’est pas par manque de sensibilisation. Aujourd’hui, peu d’entre nous peuvent prétendre ignorer que les mots de passe tels que « password » et « 123456 » constituent une menace pour la sécurité.
En réalité, l’utilisateur moyen se trouve dans une situation difficile. Vous savez que vous devez utiliser des mots de passe forts, en particulier au travail. Mais les caractéristiques qui rendent les mots de passe « bons » les rendent également impossibles à mémoriser. Si vous ne pouvez pas vous en souvenir, vous devez les conserver à portée de main. Malheureusement, cet « endroit pratique » devient souvent tout aussi pratique pour les cybercriminels.
C’est pourquoi il n’est pas raisonnable de penser qu’il suffit de rédiger une politique pour améliorer la qualité des mots de passe dans votre entreprise. Votre équipe connaît probablement déjà les principes de base de la sécurité, mais elle ne dispose pas des outils nécessaires pour les appliquer. En outre, les collaborateurs sont susceptibles de privilégier la rapidité par rapport à la sécurité pour effectuer leur travail.
La politique de mots de passe d’Active Directory
Active Directory (AD) est un produit Microsoft qui gère les utilisateurs et les ordinateurs au sein d’un réseau. La politique de mots de passe d’Active Directory est un ensemble de règles définies par les administrateurs du système pour régir la création et la maintenance des mots de passe dans une organisation.
La politique de mots de passe comprend généralement des consignes concernant la longueur minimale du mot de passe, la complexité du mot de passe (notamment les majuscules, les minuscules, les caractères numériques ou non alphanumériques) et les paramètres de l’historique du mot de passe afin d’empêcher les utilisateurs de réutiliser d’anciens mots de passe.
La politique fixe également l’ancienneté maximale d’un mot de passe, ce qui oblige les utilisateurs à en créer de nouveaux après une période définie. D’autres critères peuvent être pris en compte, comme les politiques de verrouillage des comptes qui limitent l’accès à un compte utilisateur après un certain nombre de tentatives de connexion infructueuses.
AD propose deux types de stratégies de mots de passe : la stratégie de domaine par défaut et les stratégies de mots de passe plus fines. Ces dernières permettent d’appliquer des politiques différentes suivant les groupes d’utilisateurs au sein d’un même domaine, ce qui offre une certaine souplesse pour répondre à différentes obligations de sécurité.
Comment mettre en place une politique de mots de passe efficace
Avec NordPass Business, vous pouvez offrir à votre équipe tout l’accompagnement dont elle a besoin pour assurer une excellente hygiène des mots de passe, sans être un frein à la productivité professionnelle.
Grâce au générateur de mots de passe intégré, les utilisateurs peuvent créer des mots de passe forts et les enregistrer tout aussi rapidement. Les mots de passe apparaissent automatiquement dans les champs du formulaire grâce à la fonction de remplissage automatique assistée par l’apprentissage automatique.
Cela signifie que vous pouvez alléger la charge mentale de votre équipe vis-à-vis de la création et la mémorisation de mots de passe complexes. Et du point de vue du stockage, les mots de passe de votre équipe restent en sécurité dans un coffre-fort chiffré de bout en bout et ultra-sécurisé. Avec NordPass, tous les identifiants de connexion sont faciles d’accès pour votre équipe, mais totalement hors de portée des intrus.
Les employés peuvent partager avec d’autres personnes de manière pratique et sécurisée plusieurs mots de passe et d’autres données sensibles stockées dans leur coffre-fort, grâce aux fonctions Groupes et Dossiers partagés. Ils peuvent fixer une limite de temps pour l’accès à ces identifiants de connexion partagés et choisir le niveau d’accès permettant à d’autres personnes de remplir automatiquement, d’afficher ou de modifier les mots de passe.
Pendant ce temps, vous pouvez suivre les progrès de votre équipe concernant les mots de passe grâce à une vue d’ensemble des indicateurs de qualité des mots de passe de votre entreprise, avec un résumé de tous les mots de passe vulnérables (faibles ou réutilisés) qui peuvent compromettre votre cybersécurité.
Vous n’avez pas à choisir entre la sécurité et la commodité. Il suffit de mettre en place une politique de mots de passe efficace avec NordPass Business.