Proton
password policy

Les entreprises sont de plus en plus confrontées aux conséquences de la cybercriminalité(nouvelle fenêtre) : le nombre d’attaques est en augmentation et les dommages causés croissent de manière exponentielle. L’une des vulnérabilités les plus courantes pour les organisations sont leurs mots de passe. Étant donné qu’ils constituent votre point d’entrée dans un compte, ils sont aussi le point le plus faible de votre infrastructure de sécurité.

La première étape pour protéger cela est d’avoir des mots de passe forts et la meilleure façon de l’appliquer est d’avoir une politique de mots de passe forts pour votre équipe. Ci-dessous, nous passons en revue ce que nous considérons comme les parties les plus importantes de toute bonne politique de mots de passe.

Utilisez des mots de passe aléatoires d’une longueur minimale

Votre politique de mots de passe doit stipuler clairement que tous les mots de passe doivent être entièrement aléatoires, donc créés à l’aide d’un générateur de mots de passe(nouvelle fenêtre) et non par l’esprit humain. Cela s’explique par le fait que les humains ont tendance à créer des mots de passe faciles à mémoriser, plutôt que conçus pour résister à une attaque. En conséquence, ils sont vulnérables aux attaques par force brute, où les attaquants utilisent des logiciels pour « deviner » les mots de passe des utilisateurs.

La randomisation n’est pas la seule manière de créer des mots de passe forts(nouvelle fenêtre). Une autre manière d’augmenter la force d’un mot de passe(nouvelle fenêtre) consiste simplement à allonger le mot de passe(nouvelle fenêtre), avec au moins 16 caractères ou plus, bien que davantage soit préférable. Cela complique également la tâche des pirates informatiques, car plus le mot de passe est long, plus il leur est difficile de le deviner.

Une note sur les phrases secrètes

Les mots de passe aléatoires présentent un inconvénient : ils sont très difficiles à mémoriser. Il existe plusieurs solutions à ce problème, mais la plus simple est de choisir une approche qui combine la longueur du mot de passe et la mémorisation. Les phrases secrètes sont parfaites pour cela.

Nous détaillons davantage dans notre article comparant les phrases secrètes et les mots de passe(nouvelle fenêtre), mais en résumé, les phrases secrètes sont de longues chaînes de mots facilement mémorisables, comme par exemple embaumeur profusément décent aisément. La longueur les rend difficiles à pirater, tout en restant faciles à retenir. Une phrase secrète est idéale pour tout compte, mais son utilisation principale est de déverrouiller votre gestionnaire de mots de passe, ce que nous allons discuter plus loin.

Ne réutilisez jamais les mots de passe

Un autre point important qui devrait faire partie de toute politique de mots de passe est que vous ne devriez jamais réutiliser vos mots de passe. Cela signifie que tous vos comptes doivent avoir leurs propres mots de passe uniques et que vous ne devriez jamais recycler d’anciens mots de passe. Pour chaque nouveau compte que vous créez, vous devez générer un nouveau mot de passe aléatoire.

La raison en est ce qu’on appelle le remplissage d’identifiants(nouvelle fenêtre), où un pirate informatique prendra tous les identifiants divulgués lors d’une grande fuite de données et essaiera des centaines de sites pour voir s’ils fonctionneront également là-bas. C’est un risque sérieux, impliqué également dans des fuites de données de haut profil. Dans un cas, des pirates ont volé les identifiants d’un administrateur Dropbox(nouvelle fenêtre) puis les ont utilisés pour accéder aux pages GitHub de l’entreprise, provoquant toutes sortes de dégâts.

Ce type d’attaque est très courant, mais vous pouvez le rendre sans conséquence tant que vous ne réutilisez jamais les mots de passe et que vous assurez que les membres de votre équipe ne le font pas non plus.

Activez l’authentification à deux facteurs (A2F)

Si les mots de passe protègent vos comptes, l’authentification à deux facteurs(nouvelle fenêtre), mieux connue sous le nom d’A2F, peut protéger vos mots de passe. Si votre mot de passe est le premier facteur, le second facteur est un code temporaire, généralement généré par une application sur votre téléphone (il existe des variantes utilisant les SMS, mais elles ne sont pas très sécurisées(nouvelle fenêtre)). Lorsque vous accédez à un compte, vous devrez saisir à la fois le mot de passe et le code de l’application A2F.

Utiliser l’A2F signifie que même si quelqu’un de non autorisé parvenait à accéder à votre mot de passe, il aurait également besoin du téléphone ou de l’autre appareil qui possède votre application A2F pour accéder à votre compte. L’A2F est le meilleur moyen de se défendre contre les attaques de phishing(nouvelle fenêtre). C’est un outil puissant, mais malheureusement sous-utilisé.

Utilisez un gestionnaire de mots de passe pour assurer le respect des règles

Bien qu’une bonne politique de mots de passe puisse varier selon les équipes et les entreprises, ces éléments sont essentiels à la sécurité de toute organisation :

  • Mots de passe aléatoires
  • Mots de passe longs
  • Mots de passe uniques
  • A2F

Bien sûr, cela soulève une autre question, à savoir comment vous allez tout gérer. Se souvenir de mots de passe longs et aléatoires est pratiquement impossible, c’est d’ailleurs leur force, et les suivre manuellement sur un bout de papier n’est pas sécurisé.

Pour vous assurer que votre équipe met réellement en œuvre votre politique de mots de passe, elle aura besoin d’un gestionnaire de mots de passe(nouvelle fenêtre), un logiciel capable de stocker vos mots de passe pour vous.

Un bon gestionnaire de mots de passe ne se contentera pas de stocker les mots de passe, mais aura également un générateur de mots de passe intégré pour créer des mots de passe aléatoires de n’importe quelle longueur lorsque vous en aurez besoin. Il remplira également automatiquement les mots de passe chaque fois que vous vous connecterez à un site sur lequel vous avez un compte. Les gestionnaires de mots de passe ne sont donc pas seulement essentiels à la sécurité, ils améliorent aussi considérablement votre qualité de vie numérique.

Les meilleurs gestionnaires de mots de passe vous alerteront également lorsque vous dupliquez des mots de passe sur plusieurs comptes, afin que vous ne tombiez pas dans le piège de la réutilisation des mots de passe. Plutôt que d’avoir des dizaines de vulnérabilités, vous n’en avez qu’une seule et une phrase secrète bien utilisée peut également très bien protéger celle-ci.

Proton Pass et votre politique de mots de passe

Nous avons développé Proton Pass(nouvelle fenêtre) comme une alternative de gestionnaire de mots de passe qui fait tout ce qui précède et bien plus encore. Il peut non seulement gérer et générer des mots de passe, mais nous vous offrons également la possibilité de créer des phrases secrètes sécurisées, au cas où vous auriez besoin d’un mot de passe plus facile à mémoriser. Il suggère et remplit automatiquement(nouvelle fenêtre) vos informations pendant que vous naviguez, rendant l’administration de compte beaucoup plus simple.

Proton Pass offre également à votre organisation une sécurité sous d’autres formes, comme à travers nos alias d’adresse e-mail « hide-my-email »(nouvelle fenêtre), qui utilisent une adresse e-mail fictive lors de la création d’un nouveau compte en ligne, offrant une couche supplémentaire d’anonymat. Vous pouvez également choisir un de nos abonnements avancés et accéder à Proton Sentinel(nouvelle fenêtre), un programme poussé qui aide à protéger contre les attaques de phishing (hameçonnage).

Mais le plus important, c’est que Proton Pass for Business intègre la prise en charge de l’authentification à deux facteurs (A2F), rendant ainsi beaucoup plus facile pour vos membres d’équipe et pour l’entreprise dans son ensemble, d’adopter cet outil de sécurité essentiel. Au lieu de devoir gérer des applications encombrantes, tous vos outils sont au même endroit. La même sécurité, avec beaucoup moins de tracas.

Proton Pass for Business est le compagnon idéal pour toute politique de mots de passe que vous mettez en place pour votre équipe, permettant à vos collègues de partager de manière sécurisée les identifiants de connexion au travail. Et vous pouvez gérer vos utilisateurs depuis le panneau d’administration, afin de pouvoir accorder ou révoquer l’accès comme nécessaire ou imposer l’A2F. Si nos fonctionnalités vous intéressent, commencez dès aujourd’hui.

Articles similaires

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.