Comment gérer efficacement vos mots de passe ? L'ANSSI vous guide

Pour l’ANSSI, un gestionnaire de mot de passe est-il vraiment utile en entreprise ?

Alors que le FTC déplore une augmentation de 73 % des usurpations d’identité entre 2019 et 2020, l’Agence nationale de la sécurité des systèmes d’information, en collaboration avec la CNIL, a remis au goût du jour son guide Recommandations relatives à l’authentification multifacteur et aux mots de passe. À cette occasion, elle fait évoluer ses conseils, qui dataient alors de 2012, et prend davantage en considération les multiples environnements dans lesquels les organisations évoluent.

L’objectif : mettre en avant une approche de l’authentification qui favorise l’adoption de bonnes pratiques par les utilisateurs, bonnes pratiques qui semblent d’ailleurs fortement corrélées à l’utilisation d’un gestionnaire de mots de passe.

Alors, quelles sont exactement les recommandations de l’ANSSI pour le renouvellement d’un mot de passe, son stockage, sa création, etc. ? Où trouver le gestionnaire de mot de passe parfaitement aligné avec ces nouvelles directives ?

Petite mise au point.

On ne présente plus l’ANSSI, agence nationale française chargée de la protection des systèmes d’information de l’État, et par là même de proposer aux administrations, mais également aux entreprises et aux particuliers, des règles à appliquer.

En août 2021, elle a publié une mise à jour de son guide rédigé en collaboration avec la CNIL : Recommandations relatives à l’authentification multifacteur et aux mots de passe.

Désormais, plus question de cibler uniquement les utilisateurs. Le texte s’adresse également aux développeurs, administrateurs, RSSI et DSI, au cœur des enjeux de sécurité des organisations.

Autre évolution : l’Agence prend en compte le développement des menaces qui pèsent actuellement sur les entités, en particulier l’usurpation d’identité qui conduit au vol de données personnelles ou encore à la compromission du SI.

Enfin, l’ANSSI insiste sur le fait que ses prescriptions doivent être adaptées à la nature du système d’information et aux besoins de sécurité. Le tout conformément au RGPD.

Voyons plus en détail ce qu’il faut retenir des 42 recommandations de l’Agence, notamment en matière de mots de passe.

👉👉👉  Cliquez ici pour accéder au guide complet.

Voici le conseil number one de l’ANSSI : mettre en place l’authentification multifacteur (parfois appelée authentification forte).

Il s’agit d’une technologie autorisant la connexion aux systèmes au moyen de deux preuves d’identité minimum. Mais si l’Agence souligne le terme de « multifacteur », c’est parce que ces preuves s’appuient idéalement sur au moins deux facteurs de natures différentes :

• les facteurs mémoriels : mot de passe, question secrète, code confidentiel, code PIN, etc.,
• les facteurs matériels : téléphone portable, clé USB, carte à puce, jeton d’authentification, etc.,
• les facteurs biométriques, c’est-à-dire :
  • soit des caractéristiques physiques : reconnaissance faciale, empreinte digitale, empreinte rétinienne, etc.,
  • soit des caractéristiques comportementales : reconnaissance vocale, dynamique de signature, gestuelle, etc.

☝️ Toutefois, l’ANSSI précise qu’authentification multifacteur ne signifie pas systématiquement authentification forte, car certains facteurs s’avèrent désormais compromis :

Face notamment au développement du SIM swapping, elle recommande d’utiliser plutôt un protocole cryptographique, comme l’authentification par certificats, les protocoles FIDO2 et FIDO U2F ou encore les protocoles d’OTP.

À travers ce nouveau guide, l’ANSSI comprend bien que chaque entreprise est différente et compose avec ses propres spécificités :

• toutes ne s’exposent pas aux mêmes menaces ;
• les données exploitées ne requièrent pas le même degré de protection ;
• les collaborateurs n’ont pas tous bénéficié du même niveau de sensibilisation vis-à-vis des risques cyber.

Par conséquent, mieux vaut procéder à une analyse de risques afin de déterminer quels sont les moyens d’authentification les plus adaptés au contexte opérationnel et de sécurité de votre organisation.

Un facteur d’authentification possède un cycle de vie, de sa création à sa suppression, en passant par sa transmission et son utilisation.

Or, tout du long, les entreprises ne sont pas épargnées par les menaces d’usurpation d’identité.

L’ANSSI livre alors plusieurs conseils en ce sens. Voici les principaux :

• ✅  Enregistrez et remettez les facteurs d’authentification au sein d’un environnement aligné avec le niveau de sécurité attendu.
  
  
• ✅  Générez les éléments aléatoires nécessaires à l’authentification (comme les clés cryptographiques) au moyen d’un générateur de nombres aléatoires robuste.
  
  
• ✅  Transmettez les facteurs d’authentification par le biais de canaux sécurisés. Par exemple, pour une carte à puces, préférez une remise en main propre.
  
  
• ✅  De la même manière, l’authentification en elle-même doit être réalisée via un canal sécurisé (tel qu’un flux encapsulé par le protocole TLS).
  
  
• ✅  Instaurez un véritable processus de renouvellement des facteurs d’authentification.
  
  
• ✅  Conservez un historique d’utilisation (date de création, renouvellement, révocation, etc.) de ces facteurs, afin de détecter plus facilement les comportements anormaux.
  
  
• ✅  Mettez en place un mécanisme pour limiter le nombre de tentatives d’authentification dans un temps restreint, et donc lutter entre autres contre les attaques par force brute.
  
  
• ✅  Une fois l’utilisateur authentifié, un procédé doit limiter la durée de validité de la session, et l’obliger à s’authentifier à nouveau.
  
  
• ✅  Définissez un délai d’expiration des facteurs d’authentification.
  
  
• ✅  Instituez une politique d’utilisation de ces facteurs. Ainsi, chaque utilisateur a la possibilité de s’y référer en cas de problème, comme la perte de ses identifiants.
  
  
• ✅  Déployez un processus de révocation des facteurs d’authentification, avec des délais conformes aux risques et menaces auxquels le SI est confronté.

Si le début du guide de l’ANSSI s’attarde sur les facteurs d’authentification de manière générale, toute la seconde partie se focalise sur la question essentielle des mots de passe, principale preuve d’identité employée.

En ce sens, l’Agence recommande la mise en place d’une politique de mot de passe, dans l’objectif de lutter contre les comportements à risque chez les utilisateurs, en particulier l’usage de termes issus du langage courant ou du dictionnaire.

Voici les principaux conseils à retenir :

• ✅  Imposez une longueur minimale :
  • au moins 12 à 14 caractères pour un mot de passe moyen à fort,
  • a minima 15 caractères pour un mot de passe fort.
    
    
• ✅  En revanche, n’exigez pas de longueur maximale. Plus c’est long, mieux c’est !
  
  
• ✅  Mettez en place des règles de complexité, pour éviter que les utilisateurs n’emploient des mots du dictionnaire. Il s’agit, par exemple, de demander l’intégration :
  • de minuscules,
  • de majuscules,
  • de chiffres,
  • de caractères spéciaux.
    💡 Vous pouvez vérifier la sécurité d’un mot de passe par un test sur le site de l’ANSSI.
    
    
• ✅  Proscrivez l’utilisation d’informations personnelles pour la création des mots de passe.
  
  
• ✅  Rappelez aux utilisateurs qu’ils doivent changer les mots de passe proposés par défaut sur les applications auxquelles ils souhaitent accéder.
  
  
• ✅  Oubliez les délais d’expiration pour les comptes non sensibles, comme les comptes utilisateurs, afin de réduire la tentation de recourir à des mots de passe faibles. Par contre, pour les comptes à privilèges, des délais s’imposent.
  
  
• ✅  Demandez l’utilisation de mots de passe différents pour chaque service.
  
  
• ✅  Si la compromission d’un système a été détectée, renouvelez l’ensemble des mots de passe associés, idéalement dans la journée.
  
  
• ✅  Déployez un système de contrôle automatique et systématique de la robustesse des mots de passe au moment de leur création ou de leur renouvellement.
  
  
• ✅  Optez pour un système de stockage des mots de passe parfaitement sécurisé :
  • sel aléatoire long,
  • fonction de dérivation de mots de passe memory-hard, etc.
    
    
• ✅  Mettez en place une méthode de recouvrement des accès en adéquation avec le contexte, pour permettre aux collaborateurs d’accéder à nouveau à leurs comptes de manière sécurisée.
  
  
• ✅  Assurez la robustesse des mots de passe en mettant à disposition des utilisateurs des outils adaptés, tels que les coffres-forts de mot de passe.
  
  
• ✅  Rappelez qu’il ne faut jamais stocker ou transmettre ses identifiants en clair (feuille de papier, fichier Excel, mail, etc.).
  
  
• ✅  Redoublez de vigilance quant aux mots de passe associés aux messageries. En effet, ces dernières font office de porte d’entrée vers tout le système (renouvellement du mot de passe à partir d’un mail par exemple).

Nous l’avons vu, l’authentification multifacteur constitue un des points centraux de la sécurité des SI.

De ce fait, si le nouveau guide de l’ANSSI se concentre beaucoup sur les facteurs mémoriels (« Ce que je sais »), autrement dit les mots de passe, il fournit également des recommandations sur les autres types de facteurs.

Concernant les facteurs matériels, tels que les clés cryptographiques, l’Agence suggère entre autres de recourir à un dispositif qui inclut un composant de sécurité certifié.

Quant au facteur biométrique (« Ce que je suis »), mieux vaut éviter de l’employer comme unique preuve d’identité. Par ailleurs, l’ANSSI conseille de l’associer à un facteur d’authentification fort. Enfin, lors de son enregistrement, effectuez la vérification de l’identité en rencontrant directement l’utilisateur.

Enfin, il est aujourd’hui reconnu que les comportements (involontairement) à risque des collaborateurs contribuent fortement à la vulnérabilité des SI.

C’est pourquoi l’ANSSI préconise la mise en œuvre d’actions de sensibilisation auprès des salariés. On pense notamment aux fausses campagnes de phishing, qui permettent de « tester » les agissements des utilisateurs, en vue de détecter les mauvaises pratiques, puis de proposer par la suite des formations adaptées.

Entre :

• la robustesse exigée pour les mots de passe (qui rend impossible leur mémorisation pour un cerveau humain « normal »),
• l’obligation d’utiliser des identifiants différents pour chaque service,
• l’impossibilité de les transmettre ou de les stocker en clair,

on comprend vite pourquoi l’ANSSI et la CNIL conseillent chaudement le recours à un gestionnaire de mot de passe.

Mais s’il existe de nombreuses solutions sur le marché, on attire votre attention sur le fait que toutes ne permettent pas de respecter scrupuleusement les recommandations précitées.

C’est pourquoi on vous suggère de choisir scrupuleusement votre gestionnaire de mot de passe.

💡 Quelques exemples de solutions :

• LockPass est un logiciel 100 % français certifié par l’ANSSI, notamment grâce à la qualité du chiffrement des données ou encore à la prise en charge de l’authentification multifacteur.
  En parallèle, l’outil est parfaitement adapté aux contraintes des utilisateurs, puisque seule la mémorisation d’un mot de passe maître est nécessaire pour autoriser l’accès en quelques clics à tous leurs comptes. LockPass répond aussi aux usages des entreprises au moyen de fonctionnalités avancées : arborescence basée sur les processus professionnels, prise en compte de la politique de mot de passe, interconnexion avec les annuaires d’entreprise (dont Active Directory), etc.
  
  
• Specops Password Policy est une solution destinée à renforcer la politique de mot de passe des organisations travaillant dans un environnement Active Directory. Sa promesse ? Vous accompagner dans le suivi des recommandations de l’ANSSI.
  Avec ce logiciel, assurez-vous que les mots de passe créés ou renouvelés respectent les règles de robustesse préétablies, bloquez ceux identifiés comme compromis ou faibles, ou encore définissez leur date d’expiration. Mais surtout, grâce au déploiement de stratégies de mots de passe à granularité fine, vous êtes en mesure d’adapter votre politique (aux spécificités de chaque service, au niveau de criticité des données, etc.) pour la conformer aux responsabilités et usages réels de vos équipes.

En matière de mot de passe, la CNIL et l’ANSSI offrent toujours de précieux conseils, et la mise à jour de ce guide tombe à point nommé pour accompagner au mieux les politiques de sécurité des DSI à la lumière des nouvelles menaces qui pèsent sur les systèmes d’information. En toile de fond : l’alignement des mesures avec le contexte de l’entité (en témoignent les conseils sur les délais d’expiration des mots de passe), afin de toujours favoriser leur adoption par les utilisateurs.

En parallèle, on constate que l’utilisation d’outils adaptés, en particulier de gestionnaires de mots de passe, est plus que recommandée. Cerise sur le gâteau : certains sont même certifiés par l’ANSSI.

La mise en place de moyens d’authentification multifacteur et les mots de passe n’ont désormais plus de secrets pour vous. Prêt⸱e à barrer la route aux hackers qui tenteraient d’usurper votre identité ?