Comment mettre en place une politique de mot de passe efficace ?

Que ce soit pour accéder à sa messagerie, aux réseaux sociaux ou tout autre service en ligne, créer un compte et un mot de passe est désormais une pratique courante à laquelle vous pouvez difficilement échapper. Étant donné le grand nombre de mots de passe à créer, il est très tentant d’opter pour la solution de facilité : un mot de passe générique de type 0123456789.

On retrouve également beaucoup de mots de passe basés sur une information personnelle comme la date de naissance. Ces mots de passe sont très faciles à trouver pour les cybercriminels. C’est pourquoi nous vous conseillons de respecter quelques consignes pour mettre en place une politique de mot de passe efficace.

Qu’est-ce qu’une politique de mot de passe en entreprise ?

Une politique de mot de passe est une suite de règles destinée à renforcer la sécurité des accès aux outils et données au sein d’une entreprise. Généralement, elle est mise en place par le service informatique dans l’objectif de définir comment sont créés et utilisés les mots de passe des collaborateurs.

Bien souvent, l’efficacité d’un mot de passe est liée à sa complexité. Une politique de mot de passe efficace doit définir une série d’éléments indispensables :

• La complexité d’un mot de passe
• Le renouvellement régulier
• La confidentialité
• L’utilisation de mots de passe différents pour chaque accès
• L’activation de la double authentification
• La sensibilisation de l’ensemble des collaborateurs
• Le contrôle et l’audit des bonnes pratiques
• L’utilisation d’un gestionnaire de mots de passe

La performance de votre politique de mot de passe ne sera assurée que si elle est parfaitement clarifiée auprès de vos collaborateurs et entièrement intégrée à la stratégie de sécurité globale de l’entreprise.

Les avantages d’une politique de mot de passe

Une politique de mot de passe apporte de nombreux avantages pour une entreprise. Elle permet de réduire considérablement les potentielles attaques informatiques visant à violer l’accès aux données et usurper l’identité de vos collaborateurs.

Elle permet également d’instaurer un cadre pratique à l’ensemble des salariés pour appliquer les bonnes pratiques pour la gestion de leur mot de passe.

Les bonnes pratiques

Créer un mot de passe complexe et sécurisé

La création d’un mot de passe complexe augmente considérablement la difficulté à le déceler, même par des cybercriminels équipés d’outils automatisés. Pour qu’un mot de passe soit considéré comme complexe il doit contenir :

• Au moins 12 caractères
• Des caractères spéciaux tels que des signes de ponctuation
• Des chiffres
• Des majuscules et minuscules

L’utilisation d’un mot de passe fort vous prémunit des attaques par force brute. Elles consistent à tester différentes combinaisons de manière automatisée jusqu’à trouver la bonne combinaison. De plus, n’utilisez pas de noms propres ou de mots du dictionnaire qui se révèlent être particulièrement vulnérables face aux attaques par dictionnaire utilisés par les cybercriminels.

Enfin, évitez toutes les dates et informations personnelles qui peuvent être retrouvées facilement par les hackers.

Gardez bien à l’esprit que créer un mot de passe complexe c’est bien, mais le retenir aussi. En effet, si vous créez un mot de passe tellement complexe que vous devez l’écrire dans un carnet ou un fichier informatique, cela perd tout son intérêt. Pour vous faciliter la tâche, nous vous proposons une méthode infaillible pour créer un mot de passe complexe et facile à retenir.

Commencez par choisir une phrase assez longue contenant des chiffres et des nombres et idéalement des caractères spéciaux. Vous pouvez utiliser une citation ou un proverbe si vous préférez.

Exemple : Celui qui ne sait pas est un imbécile, mais celui qui sait et ne dit rien est un criminel.

Ensuite, conservez les premières lettres, les chiffres et les caractères spéciaux. Vous pouvez bien évidemment ajouter des majuscules pour renforcer la sécurité de votre mot de passe.

Exemple : CqnSp&1ImcQs&ndR&1C

Renouveler régulièrement ses mots de passe

Avec le temps, même un mot de passe robuste peut être compromis. Nous vous recommandons de changer vos mots de passe tous les 3 mois. De plus, nous vous conseillons de modifier votre mot de passe au moindre doute de faille de sécurité. Par exemple, cela peut être le cas lorsque vous apprenez qu’une entreprise auprès de laquelle vous possédez un compte a été piratée.

La confidentialité des mots de passe

Pour protéger vos mots de passe, il convient de s’assurer de la confidentialité la plus totale. En ce sens, voici un ensemble de 7 règles à mettre en œuvre et à respecter à la lettre :

1. Ne partagez jamais vos mots de passe, même auprès d’un supérieur hiérarchique ou d’un collaborateur.
2. Ne demandez jamais à quelqu’un de générer un mot de passe pour vous.
3. Lors de la première connexion, si un mot de passe est attribué par défaut, modifiez-le tout de suite.
4. Ne communiquez jamais vos mots de passe que ce soit par mail, sms, téléphone ou même écrit.
5. N’écrivez jamais vos identifiants et mots de passe sur un support papier ou un fichier informatique comme Excel ou bloc-notes.
6. Ne réutilisez jamais un mot de passe déjà employé par le passé lors d’un changement de mot de passe.
7. Lorsque vous passez par une connexion partagée comme une connexion wifi public dans un hôtel, privilégiez l’utilisation d’une connexion privée ou d’un VPN. De cette manière, vous limitez les potentielles traces que vous laissez.

Utiliser des mots de passe différents pour chaque service

Nous vous conseillons de ne pas utiliser le même mot de passe pour accéder à des services différents. Par exemple, ne pas utiliser les mêmes identifiants et mots de passe pour accéder à sa messagerie et à son compte bancaire. Cela permet d’éviter de se faire hacker tous vos comptes d’un coup !

Imaginons qu’un cybercriminel réussisse à pirater l’un de vos comptes. Il va automatiquement tester votre mot de passe sur différents sites ou outils de travail pour accéder à davantage de données. C’est alors une grande partie du système d’information de votre entreprise qui risque d’être compromise.

Activer la double authentification

Certains services et outils proposent un système de double authentification ou authentification forte. Cette technologie implique au moins deux procédés de natures différentes pour vous connecter.

Par exemple, on vous demandera tout d’abord de vous connecter à l’aide de votre identifiant et mot de passe. Une fois cette étape validée, un message avec un code secret sera envoyé sur votre smartphone. Il sera nécessaire de réécrire ce code secret pour pouvoir se connecter.

Aujourd’hui, il existe également des authentifications biométriques sur les smartphones relatifs à une personne comme l’empreinte digitale.

Ces méthodes d’authentifications fortes sont disponibles sur de nombreux services comme la suite Google ou bien Meta.

Sensibiliser ses collaborateurs

Une politique de mot de passe se révèle efficace seulement si une démarche de sensibilisation est mise en place auprès de l’ensemble des collaborateurs. Nous vous recommandons d’informer les utilisateurs par rapport aux risques encourus, aux bonnes pratiques à adopter et à l’impact des mauvaises habitudes.

Effectuer des contrôles et audits

Du côté administrateur, il convient de procéder à des contrôles et audits réguliers. Cela permet de vérifier la robustesse des mots de passe utilisés par les collaborateurs, de détecter toute autre faille de sécurité mais également de pouvoir contacter un collaborateur en cas d’imprudence pour qu’il mette en place les bonnes pratiques.

Toutes ces vérifications peuvent être effectuées par une société tierce dont la mission est d’identifier les failles de sécurité au sein des entreprises. À ce titre, Cyber Preventys peut intervenir en cas de besoin pour tout audit de sécurité informatique au sein de votre société.

Utiliser un gestionnaire de mots de passe

Il peut être difficile de mémoriser la totalité de ces mots de passe. Par conséquent, nous sommes souvent tentés de recourir à des procédés dangereux comme écrire ses mots de passe sur un fichier Excel ou dans un carnet.

C’est en ce sens, que le gestionnaire de mots de passe vous simplifie la vie. Il se charge de mémoriser l’ensemble de vos mots de passe pour vous. Nous vous recommandons d’utiliser le logiciel Keepass, un outil français et gratuit certifié par l’Agence Nationale de la Sécurité des Systèmes d’information (ANSSI). Avec Keepass, seule la mémorisation d’un mot de passe dit « mot de passe maître » est nécessaire pour accéder à l’ensemble de vos identifiants. Le logiciel propose également une fonctionnalité de génération de mots de passe complexes et aléatoires pour vous faciliter la tâche. Grâce à cette méthode, vous ne perdez plus de temps à créer un mot de passe robuste.

Pour plus d’informations sur le gestionnaire de mots de passe et Keepass, n’hésitez pas à consulter notre article dédié : Qu’est qu’un gestionnaire de mots de passe ?