

Une politique de mots de passe efficace s'appuie sur des mots de passe forts, mais aussi d'autres bonnes pratiques pour renforcer la sécurité. Découvrez nos 10 conseils.
Le média de ceux qui réinventent l'entreprise
Pour l’ANSSI, un gestionnaire de mot de passe est-il vraiment utile en entreprise ?
Alors que le FTC déplore une augmentation de 73 % des usurpations d’identité entre 2019 et 2020, l’Agence nationale de la sécurité des systèmes d’information, en collaboration avec la CNIL, a remis au goût du jour son guide Recommandations relatives à l’authentification multifacteur et aux mots de passe. À cette occasion, elle fait évoluer ses conseils, qui dataient alors de 2012, et prend davantage en considération les multiples environnements dans lesquels les organisations évoluent.
L’objectif : mettre en avant une approche de l’authentification qui favorise l’adoption de bonnes pratiques par les utilisateurs, bonnes pratiques qui semblent d’ailleurs fortement corrélées à l’utilisation d’un gestionnaire de mots de passe.
Alors, quelles sont exactement les recommandations de l’ANSSI pour le renouvellement d’un mot de passe, son stockage, sa création, etc. ? Où trouver le gestionnaire de mot de passe parfaitement aligné avec ces nouvelles directives ?
Petite mise au point.
On ne présente plus l’ANSSI, agence nationale française chargée de la protection des systèmes d’information de l’État, et par là même de proposer aux administrations, mais également aux entreprises et aux particuliers, des règles à appliquer.
En août 2021, elle a publié une mise à jour de son guide rédigé en collaboration avec la CNIL : Recommandations relatives à l’authentification multifacteur et aux mots de passe.
Désormais, plus question de cibler uniquement les utilisateurs. Le texte s’adresse également aux développeurs, administrateurs, RSSI et DSI, au cœur des enjeux de sécurité des organisations.
Autre évolution : l’Agence prend en compte le développement des menaces qui pèsent actuellement sur les entités, en particulier l’usurpation d’identité qui conduit au vol de données personnelles ou encore à la compromission du SI.
Enfin, l’ANSSI insiste sur le fait que ses prescriptions doivent être adaptées à la nature du système d’information et aux besoins de sécurité. Le tout conformément au RGPD.
Voyons plus en détail ce qu’il faut retenir des 42 recommandations de l’Agence, notamment en matière de mots de passe.
👉👉👉 Cliquez ici pour accéder au guide complet.
Voici le conseil number one de l’ANSSI : mettre en place l’authentification multifacteur (parfois appelée authentification forte).
Il s’agit d’une technologie autorisant la connexion aux systèmes au moyen de deux preuves d’identité minimum. Mais si l’Agence souligne le terme de « multifacteur », c’est parce que ces preuves s’appuient idéalement sur au moins deux facteurs de natures différentes :
☝️ Toutefois, l’ANSSI précise qu’authentification multifacteur ne signifie pas systématiquement authentification forte, car certains facteurs s’avèrent désormais compromis :
Une méthode d’authentification reposant sur la réception d’une valeur (comme un code à usage unique) au moyen d’un canal peu ou pas sécurisé (comme le SMS) est à proscrire.
Face notamment au développement du SIM swapping, elle recommande d’utiliser plutôt un protocole cryptographique, comme l’authentification par certificats, les protocoles FIDO2 et FIDO U2F ou encore les protocoles d’OTP.
À travers ce nouveau guide, l’ANSSI comprend bien que chaque entreprise est différente et compose avec ses propres spécificités :
Par conséquent, mieux vaut procéder à une analyse de risques afin de déterminer quels sont les moyens d’authentification les plus adaptés au contexte opérationnel et de sécurité de votre organisation.
Un facteur d’authentification possède un cycle de vie, de sa création à sa suppression, en passant par sa transmission et son utilisation.
Or, tout du long, les entreprises ne sont pas épargnées par les menaces d’usurpation d’identité.
L’ANSSI livre alors plusieurs conseils en ce sens. Voici les principaux :
Si le début du guide de l’ANSSI s’attarde sur les facteurs d’authentification de manière générale, toute la seconde partie se focalise sur la question essentielle des mots de passe, principale preuve d’identité employée.
En ce sens, l’Agence recommande la mise en place d’une politique de mot de passe, dans l’objectif de lutter contre les comportements à risque chez les utilisateurs, en particulier l’usage de termes issus du langage courant ou du dictionnaire.
Voici les principaux conseils à retenir :
Nous l’avons vu, l’authentification multifacteur constitue un des points centraux de la sécurité des SI.
De ce fait, si le nouveau guide de l’ANSSI se concentre beaucoup sur les facteurs mémoriels (« Ce que je sais »), autrement dit les mots de passe, il fournit également des recommandations sur les autres types de facteurs.
Concernant les facteurs matériels, tels que les clés cryptographiques, l’Agence suggère entre autres de recourir à un dispositif qui inclut un composant de sécurité certifié.
Quant au facteur biométrique (« Ce que je suis »), mieux vaut éviter de l’employer comme unique preuve d’identité. Par ailleurs, l’ANSSI conseille de l’associer à un facteur d’authentification fort. Enfin, lors de son enregistrement, effectuez la vérification de l’identité en rencontrant directement l’utilisateur.
Enfin, il est aujourd’hui reconnu que les comportements (involontairement) à risque des collaborateurs contribuent fortement à la vulnérabilité des SI.
C’est pourquoi l’ANSSI préconise la mise en œuvre d’actions de sensibilisation auprès des salariés. On pense notamment aux fausses campagnes de phishing, qui permettent de « tester » les agissements des utilisateurs, en vue de détecter les mauvaises pratiques, puis de proposer par la suite des formations adaptées.
Entre :
on comprend vite pourquoi l’ANSSI et la CNIL conseillent chaudement le recours à un gestionnaire de mot de passe.
Mais s’il existe de nombreuses solutions sur le marché, on attire votre attention sur le fait que toutes ne permettent pas de respecter scrupuleusement les recommandations précitées.
C’est pourquoi on vous suggère de choisir scrupuleusement votre gestionnaire de mot de passe.
💡 Quelques exemples de solutions :
En matière de mot de passe, la CNIL et l’ANSSI offrent toujours de précieux conseils, et la mise à jour de ce guide tombe à point nommé pour accompagner au mieux les politiques de sécurité des DSI à la lumière des nouvelles menaces qui pèsent sur les systèmes d’information. En toile de fond : l’alignement des mesures avec le contexte de l’entité (en témoignent les conseils sur les délais d’expiration des mots de passe), afin de toujours favoriser leur adoption par les utilisateurs.
En parallèle, on constate que l’utilisation d’outils adaptés, en particulier de gestionnaires de mots de passe, est plus que recommandée. Cerise sur le gâteau : certains sont même certifiés par l’ANSSI.
La mise en place de moyens d’authentification multifacteur et les mots de passe n’ont désormais plus de secrets pour vous. Prêt⸱e à barrer la route aux hackers qui tenteraient d’usurper votre identité ?