Pourquoi mettre en place une politique de gestion de mots de passe ?
“123456”, “qwerty”, “password”, “marseille”, “loulou”… En 2021, les pires mots passe sont toujours les mêmes. On estime même que 406 millions mots de passe ont été divulgués en 2021, soit une moyenne de 6 mots de passe par habitant (source NordPass).
En moyenne, il faut moins d’une seconde pour hacker un compte personnel, qui utilise un mot de passe trop simple. Pour une entreprise dont la gestion des mots de passe est faiblement sécurisée, le risque est le même.
Dans cet article, nous allons vous donner quelques pratiques fondamentales pour mettre en place une politique de gestion de mots de passe.
#1 — Définir un mot de passe complexe
Tout commence avec le bon choix du mot du passe ! Choisir un mot de passe sécurisé permet de :
- Réduire les risques qu’une personne malveillante accède à un compte utilisateur de l’entreprise ;
- Renforcer la sécurité des comptes administrateurs ;
- Intégrer la sécurité dans les bonnes pratiques professionnelles des collaborateurs.
Il y a plusieurs critères à intégrer dans son mot de passe, afin de garantir un niveau de sécurité suffisant :
- 12 caractères minimum ;
- Au moins 1 majuscule ;
- Au moins 1 minuscule ;
- 1 chiffre et un caractère spécial.
On vous l’accorde, il est difficile de retenir et d’innover constamment ce type de mot de passe. Pour cela, le plus simple reste d’utiliser un générateur de mot de passe, comme le générateur en ligne motdepasse.xyz ou les générateurs de logiciel de sécurité en ligne tels que Dashlane, 1password ou Avast.
#2 — Éviter la réutilisation de mot de passe
Même si le mot de passe est complexe, s’il vient à être compromis et divulgué sur internet, il devient inutilisable.
Les hackers utilisent des programmes pour automatiser leurs attaques et trouver les mots de passe.
Dès qu’ils ont en trouvé un, ils le réutilisent sur d’autres sites internet, et ainsi de suite. Les mots de passe volés sont soit revendus, soit utilisé pour compromettre les données de l’entreprise.
Il faut donc éviter au maximum la réutilisation de mots de passe, même avec quelques variantes, comme : « loulou22 », « loulou23 » … Les hackers anticipent également les variations possibles.
#3 — Utiliser un coffre-fort numérique
Avec la multiplication des outils en ligne, nous avons forcément une multiplication de mots de passe. Cette multiplication de mots de passe peut parfois mener à des failles dans la politique de mot de passe, ou l’utilisation de mémo matériel, très risqué : tableau Excel, post-it…
L’utilisation d’un coffre-fort numérique peut permettre de :
- Stocker l’ensemble des mots de passe sur un serveur sécurisé ;
- Générer aléatoirement des mots de passe complexes ;
- Se connecter sans avoir à saisir les identifiants et mots de passe ;
- Partager des données sensibles de manières sécurisées.
Le coffre-fort est protégé par un seul mot de passe maître à retenir. La perte ou la compromission de cet unique mot de passe peut être prise en charge par l’éditeur qui vous propose le coffre-fort.
Parmi les plus connus du marché, on retrouve : Dashlane, NordPass, KeePass, LastPass...
#5 – Éviter de passer par des systèmes tiers, non-dédiés à la sécurité
Google, Facebook, Twitter, LinkedIn… proposent tous des moyens de s’authentifier via leur propre système d’authentification. Le problème avec des services tiers, c’est la dépendance. Si ces derniers viennent à être attaqués, il y a un risque à ce que les accès de l’entreprise soient compromis.
Il en va de même pour les navigateurs : Chrome, Firefox, Edge etc. Ces services sont régulièrement attaqués, et comportent régulièrement des failles de sécurité.
Pour les sujets de sécurité, comme les mots de passe, il vaut mieux privilégier des services dédiés à la sécurité (générateurs, coffre-fort…)
#5 – Activer la double authentification
On ne le répète jamais assez ! Le risque zéro n’existe pas ! On œuvre surtout à réduire les risques au maximum. Les pratiques citées ci-dessus permettent de réduire les risques de vol de mot de passe, mais ne l’empêche pas 100%
Pour renforcer la sécurité d’accès à un compte, il est également conseillé d’en renforcer l’accès via la double authentification.
Cette méthode de sécurité permet, au moment de la connexion à son compte, d’utiliser un second moyen d’authentification pour accéder à son compte. On vérifie doublement la personne qui devra se connecter via un SMS, un e-mail, une application en plus.
Les bénéfices de la double authentification sont multiples :
- Renforcer la sécurité des accès aux comptes sensibles de l’entreprise ;
- Empêcher l’accès à un compte même si le mot de passe a été volé ;
- Renforcer la sécurité en dehors du bureau.
Les méthodes de cyber hacking de mots de passe continuent de se perfectionner, au fil des années. Les attaques sont de plus en plus subtiles. Par exemple, on sait qu’aujourd’hui les hackers peuvent tenter de contrepasser la double authentification.
Pour réduire les risques de sécurité, les entreprises doivent impérativement s’armer d’une politique de gestion de mots passe robustes :
- Définir des mots de passes complexe ;
- Privilégier les coffres forts numériques ;
- Éviter les solutions tierces ;
- Sensibiliser les collaborateurs à la réutilisation ;
- Mettre en place la double authentification.
En complément de ces pratiques, on peut ajouter le renouvellement des mots de passe tous les 90 jours, afin de toujours garder un temps d’avance sur les attaques possibles. Sans oublier, de sensibiliser régulièrement les collaborateurs sur les différents risques et actualités cyber liés aux mots de passe.