Page d'accueil Navigation Sommaire Contacts Sitemap Recherche
HomeConseils pour les PMEUne politique de mots de passe efficace pour les PME

Une poli­tique de mots de passe effi­cace pour les PME

La sécu­rité des sys­tèmes et réseaux infor­ma­tiques passe néces­sai­re­ment par l’utilisation cor­recte des mots de passe. La poli­tique de mots de passe - ou Pass­word Policy - régit la créa­tion, la conser­va­tion et l’utilisation des mots de passe.

Prin­ci­pales infor­ma­tions à connaître :

  • Faites la liste de tous les accès au sys­tème et aux appli­ca­tions de l’entreprise pro­tégés par mot de passe.
  • Défi­nissez dans une poli­tique de mots de passe les exi­gences rela­tives à la créa­tion, la conser­va­tion et l’utilisation des mots de passe pour tous les accès pré­cé­dem­ment identifiés.
  • Contrôlez régu­liè­re­ment que la poli­tique de mots de passe est stric­te­ment respectée.
  • Sen­si­bi­lisez l’ensemble des col­la­bo­ra­teurs aux risques liés à une uti­li­sa­tion inap­pro­priée des mots de passe.

Pour­quoi mettre en place une poli­tique de mots de passe ?

L’association d'un nom d’utilisateur et d'un mot de passe reste la méthode d’authen­ti­fi­ca­tion et d’auto­ri­sa­tion la plus uti­lisée dans les espaces numé­riques de tra­vail. Cette com­bi­naison permet notam­ment d’établir l’identité d’un uti­li­sa­teur sou­hai­tant accéder à des réseaux, se connecter à des sys­tèmes infor­ma­tiques ou uti­liser des ser­vices et des appli­ca­tions, mais aussi d’assurer la sécu­rité de ces accès. Les iden­ti­fiants (noms d'utilisateurs et mots de passe) jouent par consé­quent un rôle cen­tral dans la cybersécurité.

Il n’est donc pas éton­nant que les cyber­cri­mi­nels mettent tout en œuvre pour accéder, que ce soit à tra­vers des attaques de pira­tage, de phi­shing ou d'ingé­nierie sociale, à ces pré­cieuses infor­ma­tions qui leur per­met­tront d’usurper l’identité numé­rique de la per­sonne visée.

L’utilisation des mots de passe est tel­le­ment cou­rante que les uti­li­sa­teurs ne sont sou­vent pas conscients des dan­gers qui y sont asso­ciés. Voilà pour­quoi il est indis­pen­sable, et tout par­ti­cu­liè­re­ment en entre­prise, de mettre en place une poli­tique de mots de passe claire pour guider les uti­li­sa­teurs et les pré­munir contre des erreurs qu’ils pour­raient com­mettre dans ce contexte.

Qu’est-ce qu’une poli­tique de mots de passe et com­ment la rendre efficace ?

Une poli­tique de mots de passe est un ensemble de règles visant à ren­forcer la cyber­sé­cu­rité en aidant les col­la­bo­ra­teurs à créer des mots de passe forts, à les conserver et à les uti­liser de manière sécu­risée. La Pass­word Policy doit faire partie du règle­ment d’une orga­ni­sa­tion et devrait être incluse dans la for­ma­tion concer­nant la sen­si­bi­li­sa­tion à la sécu­rité (pro­gramme de sensibilisation).

Une poli­tique de mots de passe doit être conçue sur mesure en fonc­tion des besoins (infra­struc­ture du sys­tème) et des exi­gences (niveau de sécu­rité) de l’organisation concernée, afin de garantir une pro­tec­tion opti­male pour un inves­tis­se­ment rai­son­nable. Il convient donc dans un pre­mier temps d’établir une liste de tous les accès au sys­tème et aux appli­ca­tions de l’entreprise pro­tégés par mot de passe et d’évaluer le niveau de pro­tec­tion requis. Tous les accès ainsi iden­ti­fiés devront être pris en compte dans la poli­tique de mots de passe.

Afin de pou­voir faire face à l’évolution constante des menaces, il sera ensuite néces­saire de véri­fier régu­liè­re­ment l’actualité et l’efficacité de la Pass­word Policy.

Quels doivent être les prin­ci­paux points de la poli­tique de mots de passe ?

La Pass­word Policy doit régler de manière exhaus­tive l’utilisation des mots de passe dans l’entreprise et fournir aux uti­li­sa­teurs des ins­truc­tions concrètes sur leur manière d'agir. Ces recom­man­da­tions doivent porter sur les points suivants :

1. L’utilisation des mots de passe

Comme évoqué plus haut, la connais­sance d’un mot de passe suffit sou­vent pour usurper com­plè­te­ment l’identité numé­rique d’une per­sonne. En général, il convient donc de prendre toutes les pré­cau­tions néces­saires pour éviter toute uti­li­sa­tion abu­sive de cette information.

Les mots de passe sont stric­te­ment per­son­nels et confi­den­tiels. En par­ti­cu­lier, il convient de res­pecter les points suivants :

  1. Les mots de passe ne doivent en aucun cas être transmis ni par­tagés acti­ve­ment, ni même être rendus acces­sibles à des tiers.
  2. La conser­va­tion et la trans­mis­sion des mots de passe doivent tou­jours être cryptées.
  3. Au moment de la saisie du mot de passe, l’utilisateur doit s’assurer que cette opé­ra­tion n’est pas visible à d’autres personnes.

La poli­tique de mots de passe fixe des direc­tives au sens diri­giste du terme concer­nant l'utilisation des mots de passe.

2. La force des mots de passe

La force d’un mot de passe indique la dif­fi­culté pour un atta­quant de décou­vrir le mot de passe rien qu’en le devi­nant ou à force de ten­ta­tives. Plus un mot de passe est impré­vi­sible, com­plexe et long, plus il est fort et donc sûr.

Une bonne poli­tique de mots de passe doit mettre l’accent sur la créa­tion de mots de passe forts et encou­rager les uti­li­sa­teurs à choisir des mots de passe plus longs et impré­vi­sibles. (Guide « Mots de passe sûrs »)

En outre, la créa­tion de mots de passe forts devrait être étayée par des moyens tech­niques, comme par exemple la mise à dis­po­si­tion d'un ges­tion­naire de mots de passe, et régle­mentée par la poli­tique de mots de passe.

3. L’expiration des mots de passe

Les mots de passe sont des infor­ma­tions faciles à trans­mettre et sus­cep­tibles, au fil du temps, de tomber entre de mau­vaises mains. Il peut arriver par exemple que des col­la­bo­ra­teurs par­tagent leurs mots de passe sans y penser avec d’autres per­sonnes, ou qu’ils les notent et les conservent sur des sup­ports non pro­tégés. Il peut arriver éga­le­ment que les mots de passe des uti­li­sa­teurs soient invo­lon­tai­re­ment révélés à la suite de pannes ou autres inci­dents. Or il n’est en prin­cipe pas pos­sible de récu­pérer des infor­ma­tions ayant ainsi déjà circulé.

Dans de tels cas, le seul moyen de réta­blir effi­ca­ce­ment la sécu­rité est de modi­fier les mots de passe en ques­tion pour les rendre inutilisables.

La créa­tion et la ges­tion des nou­veaux mots de passe forts devraient être étayées par des moyens tech­niques, comme par exemple la mise à dis­po­si­tion d'un ges­tion­naire de mots de passe, et être régle­men­tées dans la poli­tique de mots de passe.

4. L’historique des mots de passe

Les uti­li­sa­teurs ont sou­vent ten­dance à réduire le nombre de mots de passe à retenir, en uti­li­sant par exemple des mots de passe déjà uti­lisés pré­cé­dem­ment. Une pra­tique bien connue des cyber­cri­mi­nels qui uti­lisent régu­liè­re­ment des listes d’anciens mots de passe lors de leurs attaques. Pour éviter cela, il convient de priver les uti­li­sa­teurs de la pos­si­bi­lité de réac­tiver d’anciens mots de passe.

La poli­tique de mots de passe doit faire en sorte que les sys­tèmes gardent en mémoire les mots de passe des uti­li­sa­teurs afin d’empêcher leur réutilisation.

5. La modi­fi­ca­tion du mot de passe

Les uti­li­sa­teurs devraient avoir la pos­si­bi­lité de modi­fier seuls et à tout moment leurs mots de passe. Il convient tou­te­fois de s’assurer que ces chan­ge­ments de mots de passe soient effec­ti­ve­ment réa­lisés par les uti­li­sa­teurs légi­times et non par un hacker.

La poli­tique de mots de passe définit le cadre tech­nique et orga­ni­sa­tionnel per­met­tant de pro­céder en toute sécu­rité à une modi­fi­ca­tion du mot de passe. Il est recom­mandé par exemple d’introduire une méthode d’authen­ti­fi­ca­tion à deux fac­teurs pour sécu­riser le pro­cessus de modi­fi­ca­tion du mot de passe.

 

Les mots de passe res­tent aujourd’hui encore l’élément de sécu­rité le plus uti­lisé pour pro­téger les accès dans un envi­ron­ne­ment numé­rique. Dans ces condi­tions, on ne s’étonnera pas que les cyber­cri­mi­nels mettent tout en œuvre, à tra­vers des attaques de pira­tage, de phi­shing ou d'ingé­nierie sociale, pour accéder à cette information.

Une poli­tique de mots de passe (Pass­word Policy) garantit clarté et sécu­rité dans l’utilisation des mots de passe.

Ces articles pourraient également vous intéresser :

Qu’aimeriez-vous savoir encore sur le thème de la sécurité en e-banking ?

Je sou­haite m'inscrire
à une formation :

For­ma­tion de base

Décou­vrez les prin­ci­pales menaces qui cir­culent sur Internet et apprenez à vous en pro­téger et à sécu­riser vos ses­sions d’e-banking.

en savoir plus

For­ma­tion en ligne Mobile Ban­king / Payment

Vous décou­vrirez le Mobile Ban­king et le Mobile Pay­ment, et appren­drez à uti­liser les appli­ca­tions cor­res­pon­dantes en toute sécurité.

en savoir plus

For­ma­tion en ligne pour les moins de 30 ans

Apprends à uti­liser ton smart­phone en toute sécu­rité ! Révise les bases et découvre tout ce qu’il faut savoir sur les réseaux sociaux, pla­te­formes cloud, le Mobile Ban­king et le Mobile Payment.

en savoir plus

For­ma­tion pour les PME

Votre entre­prise est-elle suf­fi­sam­ment pro­tégée ? Décou­vrez les mesures qui vous per­met­tront d’améliorer sen­si­ble­ment la sécu­rité infor­ma­tique dans votre entreprise.

en savoir plus