Face à l’escalade des cyberattaques et des violations de données, le conseil répété à maintes reprises, « ne partagez pas votre mot de passe », ne suffit plus. Les mots de passe constituent toujours les principales clés d’accès à nos actifs numériques les plus importants. Il n’a donc jamais été aussi important de suivre les meilleures pratiques en matière de sécurité des mots de passe. E-mail, réseaux, comptes d’utilisateurs individuels, peu importe : pour les sécuriser, il est essentiel de respecter ces meilleures pratiques, qui vous permettront de protéger vos informations sensibles contre les cybermenaces.
Parcourez ce guide pour connaître les meilleures pratiques à mettre en place dans chaque organisation, et découvrez comment protéger vos informations vulnérables tout en adoptant de meilleures politiques de sécurité.
Mots de passe forts : quelles sont les règles ?
La protection de vos comptes et de vos réseaux passe par un mot de passe fort, qui représente votre première ligne de défense. Lors de la création de nouveaux mots de passe, veillez à appliquer ces bonnes pratiques :
- Complexité : assurez-vous que vos mots de passe incluent à la fois des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. À noter toutefois que les règles de création, par exemple l’utilisation de minuscules, de symboles, etc., ne sont plus recommandées par le NIST. Libre à vous, donc, de les utiliser ou non.
- Longueur : en règle générale, les mots de passe les plus longs sont les plus forts. Le plus souvent, la longueur prime également sur la complexité. Votre objectif : au moins 6 à 8 caractères.
- Imprévisibilité : Évitez l’utilisation d’expressions ou de suites logiques connues. N’utilisez pas non plus des informations faciles à deviner, notamment des dates d’anniversaire ou des noms. Créez plutôt des chaînes de caractères uniques difficiles à deviner pour les pirates.
Sélection de contenu connexe :
La combinaison de ces facteurs rend les mots de passe plus difficiles à deviner. Si un mot de passe comporte par exemple huit caractères, et comprend des lettres majuscules et minuscules, des chiffres et des caractères spéciaux, le nombre total de combinaisons possibles s’élève à (26 + 26 + 10 + 30)^8. Une quantité astronomique de possibilités qui rend extrêmement difficile pour un attaquant de deviner le mot de passe.
Évidemment, si l’on tient compte des recommandations mises à jour du NIST, utiliser une solution de gestion des mots de passe constitue la meilleure approche pour une sécurité efficace : non seulement vous serez en mesure de créer et de stocker vos mots de passe, mais un tel outil vous permet également de rejeter de manière automatique les mots de passe les plus courants et les plus faciles à deviner (ceux inclus dans des vidages de mots de passe). L’utilisation de gestionnaires de mots de passe augmente significativement la sécurité contre certains types d’attaques. En voici une liste.
Attaques par devinette de mot de passe
La compréhension des techniques utilisées par vos adversaires pour deviner les mots de passe des utilisateurs est essentielle en matière de sécurité. Voici quelques-unes des principales attaques qu’il vous faut connaître :
Attaque par force brute
Une attaque par force brute consiste, pour un attaquant, à essayer toutes les combinaisons possibles de caractères jusqu’à trouver le mot de passe correct. Il s’agit d’une méthode qui prend du temps, mais qui peut s’avérer efficace si le mot de passe est faible.
Les mots de passe forts permettent de déjouer les attaques par force brute. Ils augmentent en effet le nombre de combinaisons possibles, ce qui rend peu probable qu’un attaquant puisse deviner le mot de passe dans un délai raisonnable.
Attaque par dictionnaire
Il s’agit d’un type d’attaque par force brute lors de laquelle un adversaire utilise une liste de mots et d’expressions courants, ainsi que des mots de passe répandus pour tenter d’obtenir un accès.
Pour déjouer les attaques par dictionnaire, un mot de passe unique est essentiel : les attaquants ont en effet recours à des mots habituels et des expressions fréquentes. L’utilisation d’un mot de passe qui ne contient aucun terme du dictionnaire ou qui n’est pas une suite logique connue réduit considérablement la probabilité qu’il soit deviné. Par exemple, la chaîne de caractères « Xc78dW34aa12! » ne figure ni dans le dictionnaire ni dans la liste des mots de passe les plus utilisés, ce qui la rend beaucoup plus sûre qu’un choix plus ordinaire comme « mot de passe ».
Attaque par dictionnaire et remplacement de caractères
Les adversaires, lors de certaines attaques par dictionnaire, utilisent des mots communs, mais tentent également de remplacer des caractères semblables, comme la lettre « a » par le symbole « @ » ou « e » par « 3 ». Par exemple, ils peuvent tenter de se connecter en utilisant le mot « mot de passe », mais également la variante « m0t de p@sse ».
Pour déjouer ces attaques, faire le choix d’un mot de passe complexe et imprévisible est essentiel. Pour rendre la tâche difficile aux attaquants, il est donc conseillé d’utiliser des combinaisons uniques et d’éviter les suites logiques facilement devinables.
Gestionnaires de mots de passe : sécurité renforcée
Les gestionnaires de mots de passe sont indispensables pour stocker et organiser vos mots de passe en toute sécurité. Ces outils offrent plusieurs avantages significatifs :
- Sécurité : en stockant les mots de passe et en les saisissant pour vous, les gestionnaires de mots de passe évitent aux utilisateurs de devoir tous les retenir. La seule chose dont ils doivent se souvenir, c’est le mot de passe principal de leur outil de gestion des mots de passe. Les utilisateurs peuvent donc utiliser des mots de passe longs et complexes sans avoir peur de les oublier, et suivre ainsi les meilleures pratiques recommandées. Ils n’ont plus besoin d’avoir recours à des pratiques peu sûres, par exemple noter leurs mots de passe sur un morceau de papier ou les réutiliser sur des applications ou des sites différents.
- Générateur de mots de passe : en générant un mot de passe fort et unique pour chaque compte d’utilisateur, les gestionnaires de mots de passe évitent aux utilisateurs d’avoir à en créer un.
- Chiffrement : les coffres-forts de mots de passe sont chiffrés par les outils de gestion de mots de passe, assurant ainsi la sécurité des données, même en cas de compromission.
- Utilisation facile : grâce à un gestionnaire de mots de passe, les utilisateurs peuvent accéder facilement à leurs mots de passe sur plusieurs appareils.
Lorsque vous choisissez une solution de gestion de mots de passe, la prise en compte des besoins spécifiques de votre organisation est importante, notamment la prise en charge des plateformes utilisées, les tarifs, la simplicité d’utilisation et l’historique des violations de données des fournisseurs. N’hésitez pas à effectuer des recherches et à lire des avis pour identifier l’outil de gestion des mots de passe qui correspond le mieux aux besoins de votre organisation. Certaines options sont à mettre en avant, notamment Netwrix Password Secure, LastPass, Dashlane, 1Password et Bitwarden.
Authentification multifacteurs (MFA) : une couche de sécurité supplémentaire
L’authentification multifacteurs permet de renforcer la sécurité en exigeant au moins deux formes de vérification avant d’octroyer un accès. Plus précisément, vous devez fournir au moins deux des facteurs d’authentification suivants :
- Quelque chose que vous savez : votre mot de passe, par exemple.
- Quelque chose dont vous disposez : en général, un dispositif physique (un smartphone, par exemple) ou un jeton de sécurité.
- Une caractéristique physique : ici, il s’agit de données biométriques, comme les empreintes digitales ou la reconnaissance faciale.
L’authentification multifacteurs permet de rendre un mot de passe volé inutile : mettez-la en place aussi souvent que possible.
Gestion de l’expiration des mots de passe
Les politiques d’expiration jouent un rôle essentiel lorsqu’il s’agit de maintenir une sécurité élevée des mots de passe. Tout comme l’utilisation d’un gestionnaire de mots de passe et la création de mots de passe forts. Si vous n’en avez pas encore défini une, assurez-vous de mettre en place une stratégie pour vérifier tous les mots de passe au sein de votre organisation. Les violations de données sont en augmentation, et les listes de mots de passe (comme rockyou.txt, la plus connue, et ses variantes) utilisées dans les attaques par force brute ne cessent de s’allonger. Le site web haveibeenpawned.com propose un service permettant de vérifier si un mot de passe donné a été divulgué. En matière de sécurité des mots de passe, et notamment en ce qui concerne leur expiration, voici les meilleures pratiques que devraient connaître tous les utilisateurs :
- Suivez les recommandations : respectez la politique d’expiration des mots de passe de votre organisation. Modifiez notamment votre mot de passe lorsqu’on vous le demande et choisissez-en un fort conformes aux exigences.
- Établissez des rappels : si votre organisation n’a pas mis en place de notifications d’expiration, définissez vos propres rappels pour modifier votre mot de passe au bon moment. Assurez-vous de contrôler régulièrement votre e-mail ou les notifications système pour vérifier la présence de messages.
- Évitez les suites logiques : lorsque vous changez de mot de passe, évitez l’utilisation de variantes du mot de passe précédent ou des enchaînements logiques prévisibles, par exemple « MotdePasse1 », « MotdePasse2 », etc.
- Signalez toute activité suspecte : si vous remarquez une activité suspecte sur votre compte ou des demandes de changement de mot de passe non autorisées, signalez-les immédiatement au service informatique ou à l’assistance technique de votre organisation.
- Soyez vigilant avec les demandes de réinitialisation de mot de passe : savoir identifier un hameçonnage fait partie des bonnes pratiques en matière de sécurité des mots de passe. Si vous recevez un e-mail inattendu vous invitant à réinitialiser votre mot de passe, vérifiez son authenticité. Bien souvent, les attaquants envoient des e-mails d’hameçonnage dans lesquels ils usurpent l’identité d’une organisation légitime afin de voler vos identifiants de connexion.
Sécurité et conformité des mots de passe
Les normes de conformité exigent l’application de meilleures pratiques en matière de sécurité et de gestion des mots de passe afin de protéger les données, de maintenir la confidentialité et d’empêcher les accès non autorisés. Voici quelques-unes des principales réglementations qui incluent la sécurité des mots de passe dans leurs mesures :
- HIPAA (Health Insurance Portability and Accountability Act) / (Loi sur la portabilité et la responsabilité des assurances-maladie): la norme HIPAA impose aux organismes de soins de santé la mise en œuvre de mesures de protection des informations électroniques protégées sur la santé (ePHI), notamment par le biais de pratiques de sécurisation des mots de passe.
- PCI DSS (Payment Card Industry Data Security Standard) / (Norme de sécurité des données de l’industrie des cartes de paiement): afin de protéger les données des titulaires de cartes, cette norme exige des organisations qu’elles mettent en place des contrôles d’accès stricts, notamment en ce qui concerne la sécurité des mots de passe, pour le traitement des données de cartes de paiement sur leur site web.
- RGPD (Règlement général sur la protection des données) : pour protéger leurs données personnelles, le RGPD impose à toute organisation qui stocke ou traite les données des résidents de l’Union européenne la mise en œuvre de mesures de sécurité appropriées. La sécurité des mots de passe est un aspect essentiel de la protection des données dans le cadre du RGPD.
- FERPA (Family Educational Rights and Privacy Act) / (Loi relative à la confidentialité et aux droits des familles en matière d’éducation): La norme FERPA régit la confidentialité des dossiers éducatifs des étudiants. Elle comprend des exigences liées à la sécurisation de l’accès à ces documents, notamment en matière de sécurité des mots de passe.
Les organisations soumises à ces normes de conformité doivent mettre en œuvre des stratégies de mot de passe fortes et appliquer les meilleures pratiques connues en matière de sécurité des mots de passe. Le non-respect des exigences peut entraîner de lourdes amendes et d’autres sanctions.
Il existe également des cadres volontaires qui aident les organisations à élaborer des stratégies de mot de passe fortes. Voici les deux plus connus :
- Cadre de cybersécurité du NIST : l’Institut national des normes et de la technologie (National Institute of Standards and Technology ou NIST, pour son acronyme anglais) fournit des lignes directrices et des recommandations afin d’améliorer la cybersécurité, notamment en ce qui concerne les meilleures pratiques en matière de mots de passe.
- ISO 27001 : la norme ISO 27001 est une norme internationale pour les systèmes de gestion de la sécurité de l’information (SGSI). Elle comprend des exigences liées à la gestion des mots de passe dans le cadre de son modèle de sécurité plus large.
Application concrète des meilleures pratiques en matière de mots de passe
Utilisons maintenant un exemple concret pour appliquer ces meilleures pratiques :
Supposons que vous vous appeliez Jean Dupont et que vous soyez né le 10 décembre 1985. Plutôt que d’utiliser « JeanDupont121085 » comme mot de passe (facilement devinable), suivez ces bonnes pratiques en matière de mot de passe :
- Créez un mot de passe long et unique (et impossible à deviner), par exemple : « M3an85DJ121! »
- Conservez-le dans votre gestionnaire de mots de passe de confiance.
- Activez l’authentification multifacteurs lorsqu’elle est disponible.
10 bonnes pratiques en matière de mots de passe
Si vous souhaitez renforcer votre sécurité, suivez ces bonnes pratiques en matière de mots de passe :
- Supprimez les indices de mot de passe et l’authentification basée sur la connaissance : le NIST recommande de ne pas utiliser l’authentification basée sur la connaissance (KBA), qui repose sur des questions comme « Dans quelle ville êtes-vous né ? ». L’institut préconise plutôt l’utilisation de méthodes plus sûres, notamment l’authentification à 2 facteurs.
- Chiffrez les mots de passe : chiffrez les mots de passe pour les protéger, à la fois lorsqu’ils sont stockés et lorsqu’ils sont transmis sur les réseaux. Le chiffrement les rend inutiles pour tout pirate informatique qui parviendrait à les voler.
- Évitez le stockage en texte en clair ou d’une manière facilement réversible : les mots de passe des utilisateurs et des applications ne doivent jamais être stockés en texte en clair ou sous une quelconque forme qu’un attaquant pourrait facilement convertir en texte en clair. Veillez à ce que votre routine de gestion des mots de passe n’inclue pas l’utilisation de texte en clair (comme dans un fichier XLS).
- Choisissez un mot de passe unique pour chaque compte : ne réutilisez pas le même mot de passe, ni même des variantes, pour différents comptes. Essayez plutôt de créer un mot de passe unique pour chaque compte.
- Utilisez une solution de gestion des mots de passe : un gestionnaire peut vous aider à choisir de nouveaux mots de passe conformes aux exigences de sécurité. Il permet d’envoyer des notifications d’expiration et de mettre à jour vos mots de passe à l’aide d’une interface conviviale.
- Mettez en place des stratégies de mot de passe fortes : mettez en place et appliquez des politiques de mots de passe fortes qui imposent une longueur minimum de mot de passe et des exigences de complexité. Établissez également une règle pour l’historique des mots de passe afin d’interdire la réutilisation d’anciens mots de passe.
- Mettez à jour les mots de passe lorsque cela est nécessaire : veillez à vérifier et, le cas échéant, à mettre à jour vos mots de passe afin de réduire le risque d’accès non autorisé, en particulier après toute violation de données.
- Surveillez toute activité suspecte : surveillez en permanence vos comptes pour détecter toute activité suspecte, notamment plusieurs tentatives de connexion infructueuses, et mettez en place des verrouillages de comptes et des alertes pour atténuer les menaces.
- Éduquez les utilisateurs : organisez ou participez à des formations régulières de sensibilisation à la sécurité pour connaître les meilleures pratiques en matière de mots de passe, les menaces d’hameçonnage et l’importance de conserver des mots de passe forts et uniques pour chaque compte.
- Mettez en œuvre des politiques d’expiration des mots de passe : afin de renforcer la sécurité, appliquez des politiques d’expiration des mots de passe qui exigent des changements de mot de passe en fonction de certains critères.
Comment Netwrix peut vous aider
Respecter les meilleures pratiques en matière de mots de passe est essentiel pour protéger les informations sensibles et éviter tout accès non autorisé.
Netwrix Password Secure offre des fonctionnalités avancées pour garantir le suivi des politiques de mots de passe, détecter et répondre aux activités suspectes et assurer la conformité aux réglementations du secteur. Alertes en temps réel, rapports complets et interface conviviale : notre solution permet aux organisations d’identifier et de traiter de manière proactive les risques liés aux mots de passe, d’appliquer des stratégies de mot de passe fortes et de maintenir une sécurité élevée sur l’ensemble de leur environnement informatique.
Conclusion
Nous vivons dans un monde où les cybermenaces sont en constante évolution. Pour protéger votre présence numérique, il est donc essentiel d’adopter les meilleures pratiques de gestion des mots de passe. Avant toute chose, créez un mot de passe fort et unique pour chaque système ou application. N’oubliez pas que l’utilisation d’un gestionnaire de mots de passe facilite grandement le respect de cette bonne pratique essentielle. Par ailleurs, mettez en place l’authentification multifacteurs chaque fois que cela est possible afin de repousser tout attaquant qui parviendrait à voler votre mot de passe. En suivant ces recommandations, vous profiterez d’une expérience en ligne plus sûre et vous protégerez vos actifs numériques les plus précieux.