Nous vous proposons nos services d’impression 3D de haute qualité, avec une large sélection de filaments…
Votre entreprise a-t-elle déjà instauré une politique de mot de passe ?
SPCONSULTING INFORMATIQUE vous accompagne dans la mise en place de VOTRE politique de mot de passe
Qu’est-ce qu’une politique de mot de passe en entreprise ?
Une politique de mot de passe se définit comme une politique instaurée au sein d’une entreprise, généralement par le service informatique, dans l’objectif de définir la manière :
les différents mots de passe des collaborateurs.
Son but est d’augmenter la sécurité des accès aux outils et informations diverses de la société.
La performance de votre politique de mot de passe n’est assurée que si elle est parfaitement clarifiée auprès des salariés, et entièrement intégrée à la stratégie de sécurité globale de l’entreprise.
Une des références en matière de politique de mot de passe reste l’ANSSI.
Vous pouvez d’ailleurs télécharger sur leur site un document consignant toutes leurs recommandations en matière de sécurité relative aux mots de passe.
Nous reprendrons d’ailleurs certains conseils de l’Agence nationale de la sécurité des systèmes d’information, particulièrement ceux afférents à la création de mots de passe forts.
Autre exemple : celui de la politique de mot de passe Active Directory.
De nombreuses organisations, exerçant sous environnement Microsoft, s’appuient sur cette structure pour gérer de façon centralisée l’identification et l’authentification de leur réseau d’ordinateurs.
Dans ce cas de figure, les différentes règles se déploient :
Pour cet article, faisons simple et focalisons-nous sur les principales bonnes pratiques à suivre, issues des recommandations de différents organismes de référence (politique de mot de passe de la CNIL, de l’ANSSI, etc.).
La création d’un mot de passe complexe répond à un certain nombre de règles. De cette manière, il s’avèrera difficile à contourner, même par des pirates informatiques disposant d’outils automatisés.
Grâce à l’utilisation d’un mot de passe fort, vous vous prémunissez davantage :
Composition d’un mot de passe complexe :
Il doit contenir :
Par ailleurs, n’utilisez pas de mots du dictionnaire ou de noms propres, beaucoup trop vulnérables face aux technologies employées par les hackers.
Enfin, évitez les dates ou les éléments qui se réfèrent à des informations personnelles (votre date de naissance par exemple).
Exemple de mot de passe robuste : Lm%zeR5aa9m $
Il existe plusieurs manières de procéder. Mais gardez à l’esprit que le mot de passe parfait doit être fort… mais également facile à retenir ! Dans le cas contraire, l’utilisateur peut adopter un comportement qui compromettrait sa sécurité, comme l’inscrire sur un papier ou un fichier informatique.
Donc, même s’il est possible de recourir à un générateur de mots de passe complexes, privilégiez une méthode vous permettant de les retenir facilement.
En voici une, recommandée par l’ANSSI :
Mieux vaut être l’homme d’un seul maître que l’homme de dix livres |
Mvel’Hd’1smql’Hd10l |
Découvrez d’autres méthodes pour générer des mots de passe mémorisables dans notre futur article dédié.
Même un mot de passe robuste peut être compromis avec le temps. Par conséquent, nous vous recommandons de le changer régulièrement. L’ANSSI préconise même un renouvellement tous les 90 jours.
D’autre part, il est fortement conseillé de modifier votre mot de passe au moindre doute de faille de sécurité. Cela peut être le cas lorsque vous apprenez qu’une des sociétés chez laquelle vous possédez un compte a été piratée.
Attention, si les périodes de validité sont trop courtes, l’utilisateur est tenté d’utiliser des mots de passe plus faibles ou qui s’apparentent aux précédents, pour faciliter leur mémorisation.
C’est pourquoi il convient de trouver un compromis. Par exemple, une politique de mot de passe Active Directory rend possible l’application de règles différentes en fonction des profils. Dans ce cadre, l’administrateur peut exiger un renouvellement plus fréquent pour des utilisateurs davantage au contact des données sensibles de l’entreprise (et conscients des enjeux), à l’instar des membres de la Direction.
Pour protéger vos mots de passe, et donc l’accès à vos systèmes d’information, la confidentialité la plus totale doit être assurée.
Voici 8 règles à respecter en ce sens :
Nous vous recommandons de ne pas employer le même mot de passe pour des services différents (usage d’identifiants similaires pour sa messagerie professionnelle et pour sa boîte mail privée par exemple).
En effet, si une tentative de piratage aboutit, le hacker sera en mesure de le tester automatiquement afin d’accéder à différents sites et outils de travail. Et c’est une bonne partie du système d’information de votre entreprise qui risque d’être compromise !
Voici 3 préceptes à suivre :
Certains services proposent la double authentification, ou authentification forte.
Cette technologie implique au moins deux procédés de différentes natures pour vous connecter. Par exemple :
Il existe aussi des facteurs biométriques, relatifs à une personne, à l’exemple de l’empreinte digitale.
La méthode d’authentification forte est disponible pour de nombreux services, comme Google Workspace.
Bien sûr, une politique de mot de passe d’une entreprise se révèle efficace à condition qu’une vraie démarche de sensibilisation soit effectuée auprès des collaborateurs.
Il est donc recommandé d’informer les utilisateurs quant :
Côté administrateur, il faut procéder à des contrôles et audits réguliers afin de :
Ces vérifications peuvent être effectuées par le biais d’une société de piratage éthique, dont la mission est d’identifier les failles de sécurité des entreprises.
Il est également possible de procéder en interne. Comme nous le verrons plus loin, certains logiciels génèrent des états des lieux des mots de passe utilisés par les collaborateurs (sont-ils faibles ? dupliqués ? employés pour différents comptes ?). Dès lors, l’administrateur est capable d’aller voir l’employé pour le sensibiliser et lui proposer des axes d’amélioration.
Il existe des outils qui soutiennent le déploiement d’une politique de mot de passe au sein de l’entreprise (à ne pas confondre avec un gestionnaire de mots de passe).
Parmi ces solutions, nous pouvons citer Specops Password Policy, qui a la particularité d’accompagner les organisations opérant via l’Active Directory. Grâce à ce logiciel, vous :
Retenir tous ses différents mots de passe (qui, rappelons-le, doivent être uniques) peut s’avérer fastidieux… voire mission impossible. Le cerveau humain n’est pas calibré pour ça.
Conséquence : les utilisateurs sont souvent tentés de recourir à des procédés dangereux (en consignant leurs identifiants sur un fichier par exemple).
C’est pourquoi il est recommandé de recourir à un gestionnaire de mots de passe tel que LockPass ou Keepass. Grâce à ces logiciels, certifiés par l’ANSSI, profitez de nombreux avantages :
De nombreuses solutions sont donc disponibles sur le marché, pour faciliter la mise en œuvre d’une politique de mot de passe efficace au sein de votre entreprise… sans compromettre pour autant l’expérience utilisateur.
Pour toutes questions relatives à votre politique de mots de passe, Spconsulting Informatique se tient à votre disposition.
Nous vous proposons nos services d’impression 3D de haute qualité, avec une large sélection de filaments…
Comment Spconsulting a optimisé son processus de mise à jour avec la livraison continue?
Avec l’hyperconvergence, laissez-vous séduire par une infrastructure évolutive…
Trust our top minds to eliminate workflow pain points, implement new tech & app.