Gouvernance digitale : Optimiser les mots de passe

Le mot de passe… cette petite chaine de caractères que l’on saisit plusieurs fois par jours. Cette petite chaine dont les acteurs de la cyber-sécurité font leurs choux gras !

Une bonne gouvernance des mots de passe dans l’entreprise passe par une politique claire, pédagogique et par un suivi régulier, voir automatisé. De plus en plus de services de l’entreprise sont maintenant en ligne, ce qui fait de ces politiques un des piliers de la gouvernance digitale.

Voici les cas les plus fréquents observés dans les usages habituels des utilisateurs et les risques associés :

  • Utilisation du même mot de passe partout, dans la vie personnelle et professionnelle :
    RISQUE : si un des services est compromis, le cyber-attaquant peut avoir accès à tous les autres et compromettre la sécurité de l’entreprise.
  • Utilisation de données personnelles dans les mots de passe (date d’anniversaire, prénom des enfants…) :
    RISQUE : Les techniques de « Social Engineering » qui permettront facilement aux pirates informatiques de trouver les mots de passe.
  • Utilisation de mots communs dans les mots de passe :
    RISQUE : Les logiciels de « force brute » trouvent très facilement ces mots en automatique, à partir de listes préétablies (Exemple : le TOP 30 des mots de passe les plus utilisés dans LinkedIn, une excellente source pour un hacker.)
  • Conservation des mots de passe dans son ordinateur ou dans ses e-mails :
    RISQUE : Si l’ordinateur ou la boite e-mail sont compromis alors tous vos services online le sont aussi.
  • Conservation des mots de passe sur un post-it collé à proximité de l’ordinateur :
    RISQUE : Parmi les techniques d’intrusion, il existe également le déplacement physique auprès de l’ordinateur. Le hacker se fait passer pour un agent d’entretien et cherche une inscription à proximité de l’ordinateur.
  • Utilisation de son e-mail professionnel dans ses connexions personnelles :
    RISQUE : En cas de changement d’entreprise, l’e-mail est perdu et, par conséquent, l’accès aux services personnels est rendu difficile.
  • Enregistrement de tous les mots de passe dans le navigateur :
    RISQUES : Il est possible de les récupérer facilement si la session reste ouverte.

Voici quelques bonnes pratiques de gouvernance des mots de passe :

1/ Le mot de passe attaché à votre e-mail est unique et ne sera utilisé nulle part ailleurs. En effet, beaucoup d’internautes ont l’habitude de s’enregistrer sur les sites e-commerce avec leur e-mail et, par habitude, utilisent également le même mot de passe, ce qu’il faut éviter à tous prix.

2/ Bien différencier les services en ligne en fonction de leur criticité. On ne mettra pas la même complexité entre le mot de passe d’un e-mail et celui d’un agrégateur d’information en ligne.

Voici les bons paramètres pour sécuriser un mot de passe :

  • Le mot de passe doit contenir au moins une lettre minuscule.
  • Le mot de passe doit contenir au moins une lettre majuscule.
  • Le mot de passe doit contenir au moins 1 chiffre.
  • Le mot de passe doit au moins contenir un caractère spécial (%$!?).
  • Le mot de passe doit contenir au moins 3 caractères dans des style différents (minuscule, majuscule, chiffre, ponctuation).
  • Le mot de passe doit compter au moins 8 caractères.
  • Le mot de passe ne doit pas contenir le nom d’utilisateur.

3/ Pour vous faciliter la création d’un mot de passe sécurisé aléatoire, des logiciels existent !

4/ Pour sécuriser tous vos mots de passe dans un endroit sûr et crypté, des services existent également, mais là encore il vous faudra définir un mot de passe unique…

5/ Si vous êtes DSI ou SSI, rapprochez-vous des RH ou de la communication interne pour sensibiliser régulièrement les salariés sur la gestion des mots de passe. Et n’hésitez pas à incentiver ou assortir de mesures coercitives le respect de la politique de l’entreprise en la matière. La survie d’une entreprise en dépend…

6/ Autre astuce : paramétrer une « google alerts » sur votre e-mail professionnel et professionnel. Ainsi si ces derniers ont été compromis et se retrouvent sur des listes online vous serez notifié.

Alors, prêt à faire le ménage ?

Tagged: , , , ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *