Utilisez-vous le même mot de passe sur toutes vos applications ? 48 % des personnes interrogées par la Specops Software indiquent devoir mémoriser au moins 11 mots de passe dans le cadre professionnel sans prendre en compte leurs mots de passe et codes personnels. La simplification est tentante, mais est-elle gage de sécurité ?

 

Session informatique, logiciel, boîte email, applications diverses, il faut l'avouer le nombre de mots de passe à retenir au travail est très important. Et pourtant, ils sont indispensables pour garantir la sécurité de votre système d'information.

L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) a publié un guide à destination des professionnels de l'informatique sur les bonnes pratiques à observer pour choisir et sécuriser ses mots de passe.

Insitu vous propose un résumé.

Tout commence dès la création du mot de passe.

La création des mots de passe doit être faite avec soin et adaptée au degré de sécurité attendu. Si c'est à l'utilisateur de créer le mot de passe, il faut qu'il ait connaissance des risques liés à son choix.

Si c'est votre service informatique que génère le mot de passe, il est conseillé d'utiliser des outils de génération aléatoire. Les mots de passe doivent également être transmis par des moyens sécurisés.

Le mieux est de privilégier la remise en main propre. L'identification du destinataire est ainsi assurée et une sensibilisation à la protection des données possible.

 

Trier les mots de passe en catégories.

Selon la catégorie du mot de passe, il faudra (ou pas) le mémoriser :

  • Les mots de passe que vous devez mémoriser : ceux qui donnent accès à la totalité des systèmes (votre session informatique, l'outil de gestion des mots de passe). Ils doivent être "robustes" et soumis à une double authentification.
  • Les mots de passe pouvant ne pas être mémorisés : ceux qui peuvent être stockés dans un coffre-fort de mots de passe.
  • Les numéros d'identification, code PIN par exemple qui peuvent être stocké dans un support tiers comme une carte à puce ou un badge.

Définir les priorités.

Pour déterminer les mots de passe à sécuriser en priorité, il vous faut définir la criticité des plateformes à protéger.

Vous ne choisirez pas le même dispositif pour une plateforme de réservation pour un club de sport, l'accès à une messagerie et l'accès à un espace d'administration.

Pour définir quelles sont les applications critiques, une analyse des risques est indispensable. Elle doit être menée par votre RSI ou DSI pour avoir une vision objective et éclairée des risques.

La politique de sécurité des mots de passe.

Pour la sécurité de votre entreprise, il est nécessaire de mettre en place une politique de gestion des mots de passe adaptée au contexte et aux enjeux. Cette politique doit faire l'objet d'une communication et une sensibilisation auprès des collaborateurs.

Les consignes pour les utilisateurs :

  • Utiliser un mot de passe "robuste" : suffisamment long et complexe
  • Varier les mots de passe sur chaque application
  • Générer le mot de passe avec un générateur aléatoire
  • Utiliser un coffre-fort à mot de passe pour les moins critiques
  • Protéger les mots de passe (ne jamais les inscrire sur un papier, un fichier informatique, les communiquer par sms ou email)
  • Choisir un mot de passe robuste pour sa messagerie (elle est la cible d'attaque régulière)
  • Opter pour un mot de passe sans aucune information personnelle (fini la date de naissance ou votre prénom !)
  • Modifier les mots de passe par défaut
  • Renouveler ses mots de passe régulièrement

Privilégier l'authentification multi-facteur.

Comme son nom l'indique, l'authentification multi-facteur consiste à vérifier de plusieurs façons l'identité de l'utilisateur. Souvent après la saisie de votre un mot de passe, vous recevez un code par email ou sms.

Comment mémoriser tous ces mots de passe ?

Chaque personne a son astuce personnelle pour mémoriser ses mots de passe. C'est souvent grâce à des moyens mnémotechniques. 

Ce qu'il ne faut pas faire (mais que nous faisons tous) :

  • Ecrire son mot de passe sur une feuille, un répertoire
  • Enregistrer tous ses mots de passe sur un fichier informatique
  • Stocker ses mots de passe sur son téléphone
  • Choisir un seul et même mot de passe sur toutes les applications
  • Enregistrer sur le navigateur web (pratique, mais souvent attaqué)

Un coffre-fort à mot de passe peut être déployé auprès de vos collaborateurs pour leur faciliter la gestion de tous ces identifiants.

 

Les mots de passe, comme les bonnes pratiques de sécurité informatique constituent un travail technique et pédagogique important. Il est mené par l'ensemble de l'équipe informatique sous la responsabilité de votre DSI ou RSI. Les équipes d'administration de votre réseau sont aussi parties prenantes dans la démarche et ont un rôle à jouer au quotidien.

Vous n'avez pas les ressources pour recruter un collaborateur à temps plein ? insitu vous permet d'accéder aux compétences d'un RSI par un accompagnement régulier. 1,2 ou 3 jours par semaine, notre collaborateur prend en charge vos sujets informatiques et élabore avec vous une véritable stratégie pour sécuriser et développer votre entreprise.

Je veux un accompagnement RSI