Exemple d’une politique de mot de passe efficace en 10 conseils

Votre entreprise a-t-elle déjà instauré une politique de mot de passe ?

On pourrait penser que la génération de mots de passe forts (longueur, majuscules, minuscules, chiffres, etc.) suffit pour protéger les accès aux différents comptes et données de votre organisation. Mais s’il s’agit d’un bon début, il est recommandé d’aller plus loin. D’autant plus dans un environnement de travail chaque jour plus complexe, et qui voit la multiplication des outils de travail.

Une bonne politique de mot de passe s’accompagne donc d’un certain nombre de règles qu’il convient d’observer afin d’assurer un niveau de sécurité optimal. En parallèle, elle doit prendre en considération la convivialité de l’expérience utilisateur.

Vous souhaitez découvrir un exemple de politique de mot de passe efficace ? Lisez cet article et inspirez-vous de nos 10 conseils.

Une politique de mot de passe se définit comme une politique instaurée au sein d’une entreprise, généralement par le service informatique, dans l’objectif de définir la manière :

• dont sont créés,
• mais aussi utilisés,

les différents mots de passe des collaborateurs.

Son but est d’augmenter la sécurité des accès aux outils et informations diverses de la société.

☝️ La performance de votre politique de mot de passe n’est assurée que si elle est parfaitement clarifiée auprès des salariés, et entièrement intégrée à la stratégie de sécurité globale de l’entreprise.

Une des références en matière de politique de mot de passe reste l’ANSSI.

Vous pouvez d’ailleurs télécharger sur leur site un document consignant toutes leurs recommandations en matière de sécurité relative aux mots de passe.

Nous reprendrons d’ailleurs certains conseils de l’Agence nationale de la sécurité des systèmes d’information, particulièrement ceux afférents à la création de mots de passe forts.

Autre exemple : celui de la politique de mot de passe Active Directory.

De nombreuses organisations, exerçant sous environnement Microsoft, s’appuient sur cette structure pour gérer de façon centralisée l’identification et l’authentification de leur réseau d’ordinateurs.

Dans ce cas de figure, les différentes règles se déploient :

• soit via des GPO (objets de stratégie de groupe) : il n’existe qu’une seule politique de mot de passe applicable pour tous les collaborateurs opérant sur un même domaine ;
• soit via des FGPP (politiques granulaires de mot de passe) : elles permettent, a contrario, le développement de politiques différentes auprès d’utilisateurs d’un même domaine. Nous reviendrons plus tard sur ce point.

Pour cet article, faisons simple et focalisons-nous sur les principales bonnes pratiques à suivre, issues des recommandations de différents organismes de référence (politique de mot de passe de la CNIL, de l’ANSSI, etc.).

La création d’un mot de passe complexe répond à un certain nombre de règles. De cette manière, il s’avèrera difficile à contourner, même par des pirates informatiques disposant d’outils automatisés.

💡 Grâce à l’utilisation d’un mot de passe fort, vous vous prémunissez davantage :

• des attaques par force brute, qui consistent à tester différentes combinaisons jusqu’à trouver la bonne ;
• ou encore des attaques par dictionnaire (essai de tous les mots figurant dans le dictionnaire).

Composition d’un mot de passe complexe :

Il doit contenir :

• au moins 8 caractères. L’ANSSI recommande même une longueur minimum de 12 caractères,
• des caractères spéciaux, comme des signes de ponctuation,
• des chiffres,
• des majuscules et des minuscules.

Par ailleurs, n’utilisez pas de mots du dictionnaire ou de noms propres, beaucoup trop vulnérables face aux technologies employées par les hackers.

Enfin, évitez les dates ou les éléments qui se réfèrent à des informations personnelles (votre date de naissance par exemple).

Exemple de mot de passe robuste : Lm%zeR5aa9m $

Il existe plusieurs manières de procéder. Mais gardez à l’esprit que le mot de passe parfait doit être fort… mais également facile à retenir ! Dans le cas contraire, l’utilisateur peut adopter un comportement qui compromettrait sa sécurité, comme l’inscrire sur un papier ou un fichier informatique.

Donc, même s’il est possible de recourir à un générateur de mots de passe complexes, privilégiez une méthode vous permettant de les retenir facilement.

💡 En voici une, recommandée par l’ANSSI :

• Choisissez une phrase, suffisamment longue et contenant des chiffres, des nombres et idéalement des caractères spéciaux (une citation, un proverbe, l’extrait d’une chanson, etc.). Exemple :

• Conservez les premières lettres, les chiffres et les caractères spéciaux. Vous pouvez également ajouter des majuscules pour renforcer la sécurité :

Découvrez d’autres méthodes pour générer des mots de passe mémorisables dans notre article dédié.

Même un mot de passe robuste peut être compromis avec le temps. Par conséquent, nous vous recommandons de le changer régulièrement. L’ANSSI préconise même un renouvellement tous les 90 jours.

D’autre part, il est fortement conseillé de modifier votre mot de passe au moindre doute de faille de sécurité. Cela peut être le cas lorsque vous apprenez qu’une des sociétés chez laquelle vous possédez un compte a été piratée.

☝️ Attention, si les périodes de validité sont trop courtes, l’utilisateur est tenté d’utiliser des mots de passe plus faibles ou qui s’apparentent aux précédents, pour faciliter leur mémorisation.

C’est pourquoi il convient de trouver un compromis. Par exemple, une politique de mot de passe Active Directory rend possible l’application de règles différentes en fonction des profils. Dans ce cadre, l’administrateur peut exiger un renouvellement plus fréquent pour des utilisateurs davantage au contact des données sensibles de l’entreprise (et conscients des enjeux), à l’instar des membres de la Direction.

Pour protéger vos mots de passe, et donc l’accès à vos systèmes d’information, la confidentialité la plus totale doit être assurée.

Voici 8 règles à respecter en ce sens :

1. Ne partagez jamais votre mot de passe, même auprès d’un administrateur ou d’un supérieur hiérarchique.
2. Ne demandez pas à une tierce personne de générer un mot de passe pour vous.
3. Modifiez, dès la première connexion, le mot de passe qui vous a été attribué par défaut par les administrateurs de l’entreprise.
4. Ne communiquez jamais votre mot de passe par mail, par téléphone ou encore par SMS.
5. N’écrivez pas vos identifiants sur un support papier.
6. Ne les consignez pas non plus dans un fichier informatique, de type Excel par exemple.
7. Ne réutilisez jamais un mot de passe déjà employé par le passé lors d’un renouvellement.
8. Lorsque vous passez par une connexion partagée (connexion wifi dans un hôtel par exemple), privilégiez la navigation privée ou utilisez un VPN. Vous limitez de la sorte les traces que vous laissez.

Nous vous recommandons de ne pas employer le même mot de passe pour des services différents (usage d’identifiants similaires pour sa messagerie professionnelle et pour sa boîte mail privée par exemple).

En effet, si une tentative de piratage aboutit, le hacker sera en mesure de le tester automatiquement afin d’accéder à différents sites et outils de travail. Et c’est une bonne partie du système d’information de votre entreprise qui risque d’être compromise !

Voici 3 préceptes à suivre :

1. Déconnectez-vous systématiquement quand vous sortez d’un service.
2. Configurez vos logiciels et vos navigateurs web de sorte qu’ils ne se souviennent pas de vos mots de passe. Dans le cas contraire, si une personne mal intentionnée prend le contrôle de votre session, elle a alors accès très facilement à tous vos identifiants.
3. Programmez votre ordinateur pour qu’il se mette en veille après un certain temps d’inactivité. Vous le protégez ainsi des yeux malveillants lorsque vous devez vous absenter quelques instants.

Certains services proposent la double authentification, ou authentification forte.

Cette technologie implique au moins deux procédés de différentes natures pour vous connecter. Par exemple :

• un facteur d’authentification mémoriel, à l’instar du traditionnel couple identifiant/mot de passe,
• et un facteur matériel, comme un téléphone mobile grâce auquel vous réceptionnez par SMS un code provisoire.

💡Il existe aussi des facteurs biométriques, relatifs à une personne, à l’exemple de l’empreinte digitale.

La méthode d’authentification forte est disponible pour de nombreux services, comme Google Workspace.

Bien sûr, une politique de mot de passe d’une entreprise se révèle efficace à condition qu’une vraie démarche de sensibilisation soit effectuée auprès des collaborateurs.

Il est donc recommandé d’informer les utilisateurs quant :

• aux risques encourus,
• à leur portée (tous n’ont pas conscience que si leur poste est vulnérable, c’est tout le système d’information de l’entreprise qui risque d’être compromis),
• aux bonnes pratiques à adopter.

Côté administrateur, il faut procéder à des contrôles et audits réguliers afin de :

• vérifier la robustesse des mots de passe utilisés par les salariés,
• détecter toute autre faille de sécurité,
• contacter un collaborateur « imprudent » pour qu’il mette en place des actions correctives.

💡Ces vérifications peuvent être effectuées par le biais d’une société de piratage éthique, dont la mission est d’identifier les failles de sécurité des entreprises.

Il est également possible de procéder en interne. Comme nous le verrons plus loin, certains logiciels génèrent des états des lieux des mots de passe utilisés par les collaborateurs (sont-ils faibles ? dupliqués ? employés pour différents comptes ?). Dès lors, l’administrateur est capable d’aller voir l’employé pour le sensibiliser et lui proposer des axes d’amélioration.

Il existe des outils qui soutiennent le déploiement d’une politique de mot de passe au sein de l’entreprise (à ne pas confondre avec un gestionnaire de mots de passe).

Parmi ces solutions, nous pouvons citer Specops Password Policy, qui a la particularité d’accompagner les organisations opérant via l’Active Directory. Grâce à ce logiciel, vous :

• veillez à ce que les politiques de mots de passe utilisées dans l’entreprise correspondent aux recommandations en matière de sécurité (composition, longueur du mot de passe, durée de vie courte, etc.) ;
• bloquez les mots de passe faibles et ceux compromis avec une liste de plus de 2 milliards mots de passe ;
• procédez à des audits pour détecter les mots de passe non sécurisés, et donc adresser aux utilisateurs des messages afin qu’ils appliquent les bonnes pratiques.

Retenir tous ses différents mots de passe (qui, rappelons-le, doivent être uniques) peut s’avérer fastidieux… voire mission impossible. Le cerveau humain n’est pas calibré pour ça.

Conséquence : les utilisateurs sont souvent tentés de recourir à des procédés dangereux (en consignant leurs identifiants sur un fichier par exemple).

C’est pourquoi il est recommandé de recourir à un gestionnaire de mots de passe tel que LockPass. Grâce à ce logiciel, 100 % français et certifié par l’ANSSI, profitez de nombreux avantages :

• seule la mémorisation d’un mot de passe maître est nécessaire pour accéder à l’ensemble des identifiants. Les utilisateurs peuvent de se connecter directement à leurs différents comptes grâce à un plug-in navigateur, sans avoir à saisir à chaque fois leurs mots de passe ;
• en parallèle, les administrateurs définissent une politique de mot de passe à l’échelle de l’organisation ou de façon plus macro (pour les équipes manipulant des données sensibles par exemple), pour que chaque mot de passe ajouté dans le coffre-fort réponde aux critères prédéfinis. Une cartographie en temps réel de l’ensemble des identifiants de l’entreprise leur permet de veiller au respect des règles établies.

De nombreuses solutions sont donc disponibles sur le marché, pour faciliter la mise en œuvre d’une politique de mot de passe efficace au sein de votre entreprise… sans compromettre pour autant l’expérience utilisateur.