

Authentification multifacteur, politique de mot de passe... découvrez les derniers conseils de l'ANSSI pour assurer la sécurité de votre SI et choisir votre gestionnaire de mots de passe.
Le média de ceux qui réinventent l'entreprise
Votre entreprise a-t-elle déjà instauré une politique de mot de passe ?
On pourrait penser que la génération de mots de passe forts (longueur, majuscules, minuscules, chiffres, etc.) suffit pour protéger les accès aux différents comptes et données de votre organisation. Mais s’il s’agit d’un bon début, il est recommandé d’aller plus loin. D’autant plus dans un environnement de travail chaque jour plus complexe, et qui voit la multiplication des outils de travail.
Une bonne politique de mot de passe s’accompagne donc d’un certain nombre de règles qu’il convient d’observer afin d’assurer un niveau de sécurité optimal. En parallèle, elle doit prendre en considération la convivialité de l’expérience utilisateur.
Vous souhaitez découvrir un exemple de politique de mot de passe efficace ? Lisez cet article et inspirez-vous de nos 10 conseils.
Une politique de mot de passe se définit comme une politique instaurée au sein d’une entreprise, généralement par le service informatique, dans l’objectif de définir la manière :
les différents mots de passe des collaborateurs.
Son but est d’augmenter la sécurité des accès aux outils et informations diverses de la société.
☝️ La performance de votre politique de mot de passe n’est assurée que si elle est parfaitement clarifiée auprès des salariés, et entièrement intégrée à la stratégie de sécurité globale de l’entreprise.
Une des références en matière de politique de mot de passe reste l’ANSSI.
Vous pouvez d’ailleurs télécharger sur leur site un document consignant toutes leurs recommandations en matière de sécurité relative aux mots de passe.
Nous reprendrons d’ailleurs certains conseils de l’Agence nationale de la sécurité des systèmes d’information, particulièrement ceux afférents à la création de mots de passe forts.
Autre exemple : celui de la politique de mot de passe Active Directory.
De nombreuses organisations, exerçant sous environnement Microsoft, s’appuient sur cette structure pour gérer de façon centralisée l’identification et l’authentification de leur réseau d’ordinateurs.
Dans ce cas de figure, les différentes règles se déploient :
Pour cet article, faisons simple et focalisons-nous sur les principales bonnes pratiques à suivre, issues des recommandations de différents organismes de référence (politique de mot de passe de la CNIL, de l’ANSSI, etc.).
La création d’un mot de passe complexe répond à un certain nombre de règles. De cette manière, il s’avèrera difficile à contourner, même par des pirates informatiques disposant d’outils automatisés.
💡 Grâce à l’utilisation d’un mot de passe fort, vous vous prémunissez davantage :
Composition d’un mot de passe complexe :
Il doit contenir :
Par ailleurs, n’utilisez pas de mots du dictionnaire ou de noms propres, beaucoup trop vulnérables face aux technologies employées par les hackers.
Enfin, évitez les dates ou les éléments qui se réfèrent à des informations personnelles (votre date de naissance par exemple).
Exemple de mot de passe robuste : Lm%zeR5aa9m $
Il existe plusieurs manières de procéder. Mais gardez à l’esprit que le mot de passe parfait doit être fort… mais également facile à retenir ! Dans le cas contraire, l’utilisateur peut adopter un comportement qui compromettrait sa sécurité, comme l’inscrire sur un papier ou un fichier informatique.
Donc, même s’il est possible de recourir à un générateur de mots de passe complexes, privilégiez une méthode vous permettant de les retenir facilement.
💡 En voici une, recommandée par l’ANSSI :
Mieux vaut être l’homme d’un seul maître que l’homme de dix livres |
Mvel'Hd'1smql'Hd10l |
Découvrez d’autres méthodes pour générer des mots de passe mémorisables dans notre article dédié.
Même un mot de passe robuste peut être compromis avec le temps. Par conséquent, nous vous recommandons de le changer régulièrement. L’ANSSI préconise même un renouvellement tous les 90 jours.
D’autre part, il est fortement conseillé de modifier votre mot de passe au moindre doute de faille de sécurité. Cela peut être le cas lorsque vous apprenez qu’une des sociétés chez laquelle vous possédez un compte a été piratée.
☝️ Attention, si les périodes de validité sont trop courtes, l’utilisateur est tenté d’utiliser des mots de passe plus faibles ou qui s’apparentent aux précédents, pour faciliter leur mémorisation.
C’est pourquoi il convient de trouver un compromis. Par exemple, une politique de mot de passe Active Directory rend possible l’application de règles différentes en fonction des profils. Dans ce cadre, l’administrateur peut exiger un renouvellement plus fréquent pour des utilisateurs davantage au contact des données sensibles de l’entreprise (et conscients des enjeux), à l’instar des membres de la Direction.
Pour protéger vos mots de passe, et donc l’accès à vos systèmes d’information, la confidentialité la plus totale doit être assurée.
Voici 8 règles à respecter en ce sens :
Nous vous recommandons de ne pas employer le même mot de passe pour des services différents (usage d’identifiants similaires pour sa messagerie professionnelle et pour sa boîte mail privée par exemple).
En effet, si une tentative de piratage aboutit, le hacker sera en mesure de le tester automatiquement afin d’accéder à différents sites et outils de travail. Et c’est une bonne partie du système d’information de votre entreprise qui risque d’être compromise !
Voici 3 préceptes à suivre :
Certains services proposent la double authentification, ou authentification forte.
Cette technologie implique au moins deux procédés de différentes natures pour vous connecter. Par exemple :
💡Il existe aussi des facteurs biométriques, relatifs à une personne, à l’exemple de l’empreinte digitale.
La méthode d’authentification forte est disponible pour de nombreux services, comme Google Workspace.
Bien sûr, une politique de mot de passe d’une entreprise se révèle efficace à condition qu’une vraie démarche de sensibilisation soit effectuée auprès des collaborateurs.
Il est donc recommandé d’informer les utilisateurs quant :
Côté administrateur, il faut procéder à des contrôles et audits réguliers afin de :
💡Ces vérifications peuvent être effectuées par le biais d’une société de piratage éthique, dont la mission est d’identifier les failles de sécurité des entreprises.
Il est également possible de procéder en interne. Comme nous le verrons plus loin, certains logiciels génèrent des états des lieux des mots de passe utilisés par les collaborateurs (sont-ils faibles ? dupliqués ? employés pour différents comptes ?). Dès lors, l’administrateur est capable d’aller voir l’employé pour le sensibiliser et lui proposer des axes d’amélioration.
Il existe des outils qui soutiennent le déploiement d’une politique de mot de passe au sein de l’entreprise (à ne pas confondre avec un gestionnaire de mots de passe).
Parmi ces solutions, nous pouvons citer Specops Password Policy, qui a la particularité d’accompagner les organisations opérant via l’Active Directory. Grâce à ce logiciel, vous :
Retenir tous ses différents mots de passe (qui, rappelons-le, doivent être uniques) peut s’avérer fastidieux… voire mission impossible. Le cerveau humain n’est pas calibré pour ça.
Conséquence : les utilisateurs sont souvent tentés de recourir à des procédés dangereux (en consignant leurs identifiants sur un fichier par exemple).
C’est pourquoi il est recommandé de recourir à un gestionnaire de mots de passe tel que LockPass. Grâce à ce logiciel, 100 % français et certifié par l’ANSSI, profitez de nombreux avantages :
De nombreuses solutions sont donc disponibles sur le marché, pour faciliter la mise en œuvre d’une politique de mot de passe efficace au sein de votre entreprise… sans compromettre pour autant l’expérience utilisateur.