Comment mettre en place une politique de mot de passe efficace

Découvrez une série de recommandations et d’outils pour sécuriser vos accès.

Qu’est-ce qu’une politique de mot de passe ?

Une politique de mot de passe consiste en une série de mesures mises en place par une entreprise pour renforcer la sécurité de l’accès aux données et aux outils dont elle dispose, à travers la création et l’utilisation de mots de passe complexes. Elle doit être adaptée en fonction du contexte et des objectifs de sécurité du système d’information de l’organisation.

Bien organiser et cadrer l’authentification des utilisateurs représente un facteur essentiel pour garantir la sécurité des traitements des données personnelles, dans le cadre de l’application des articles 5 et 32 du RGPD, comme le rappelle l’agence nationale de la sécurité des systèmes d’information (ANSSI) dans son guide de recommandations relatives à l’authentification multifacteur et aux mots de passe.

Si l’efficacité d’un mot de passe est souvent réduite à sa « force », une politique efficace en la matière doit définir une série d’éléments indispensables, tels que :

• La longueur des mots de passe,
• La complexité des mots de passe,
• Le délai d’expiration des mots de passe,
• Les mécanismes de contrôle de leur robustesse et la limitation d’essais d’authentification,
• La méthode de conservation des mots de passe et la gestion de l’historique des événements liés à l’authentification,
• La règle pour retrouver ses accès en cas de perte ou de vol de mot de passe,
• L’utilisation d’un coffre-fort de mots de passe.

© ANSSI

Quels sont les avantages d’instaurer une politique de mot de passe ?

La mise en place d’une politique de mot de passe apporte de nombreux bénéfices pour une entreprise. L’objectif principal est d’éviter ou de réduire les attaques informatiques visant à violer l’accès à vos données et usurper l’identité de vos collaborateurs : attaques par force brute, attaques sur le protocole d’authentification, vol du moyen d’authentification…

Elle présente également l’avantage d’instaurer un cadre pour vos utilisateurs, en vue d’appliquer une série de bonnes pratiques et de consignes à respecter pour la création et la gestion des mots de passe. La plupart des cyberattaques se produisent à partir de failles humaines. En limitant ces maillons faibles, vous limitez ainsi les risques pour votre entreprise.

Choisir un mot de passe sécurisé : la méthode des 3 mots aléatoires

10 bonnes pratiques pour une politique de mot de passe efficace

Selon l’ANSSI, l’authentification multifacteur fait partie des mécanismes qui permettent de renforcer la sécurité de l’authentification par mot de passe, en ajoutant un ou plusieurs éléments supplémentaires requis pour s’authentifier avant d’accéder à un service.

Une authentification multifacteur permet de prouver l’identité d’un utilisateur par la vérification de plusieurs éléments, appelés facteurs d’authentification. Chacun des facteurs d’authentification mis en œuvre doit appartenir à une catégorie de facteur différente. L’absence d’un des facteurs nécessaires à une authentification multifacteur doit faire échouer l’authentification.

Voici une série de 10 conseils pratiques à mettre en place pour sécuriser l’accès à vos données :

1. Imposer une longueur minimale pour les mots de passe (plusieurs centaines de caractères),
2. Définir les règles sur la complexité des mots de passe (caractères numériques, alphanumériques, en minuscules, en majuscules, comprenant des caractères spéciaux, etc.),
3. Configurer un délai d’expiration des mots de passe, avec une période relativement courte pour les comptes très sensibles (3 à 6 mois par exemple),
4. Exiger des mots (ou phrases) de passe robustes, suffisamment longs et complexes pour résister aux attaques, en évitant les mots du dictionnaire ou encore des citations connues,
5. Astreindre l’utilisation d’un mot de passe différent pour chaque service utilisé, afin de limiter la compromission d’un mot de passe auquel l’utilisateur est inscrit,
6. Interdire la réutilisation d’un ancien mot de passe, même si celui-ci est robuste et aléatoire,
7. Protéger les mots de passe de vos utilisateurs en proscrivant les post-it collés sur l’écran, les fichiers enregistrés sur le poste utilisateur pour les mémoriser, ou encore l’envoi par email ou via des messageries instantanées,
8. Éviter les mots de passe comprenant des informations personnelles (nom, prénom ou date de naissance),
9. Modifier les mots de passe créés par défaut et renseignés dans la documentation d’un éditeur de solution ou en ligne,
10. Mettre en place un coffre-fort de mots de passe, qui permet de générer une série de caractères longs et complexes, sans avoir besoin de les mémoriser ni de les stocker de manière non sécurisée.

À lire également
Les pires mots de passe de 2021

Recevez par email toute l’actualité du digital