ProtonBlog(new window)
S'abonner par RSS
password policy

Création d’une politique de mots de passe pour votre organisation

Partagez cette page

Les entreprises sont de plus en plus confrontées aux conséquences de la cybercriminalité(new window) : le nombre d’attaques est en augmentation et les dommages causés croissent de manière exponentielle. L’une des vulnérabilités les plus courantes pour les organisations sont leurs mots de passe. Étant donné qu’ils constituent votre point d’entrée dans un compte, ils sont aussi le point le plus faible de votre infrastructure de sécurité.

La première étape pour protéger cela est d’avoir des mots de passe forts et la meilleure façon de l’appliquer est d’avoir une politique de mots de passe forts pour votre équipe. Ci-dessous, nous passons en revue ce que nous considérons comme les parties les plus importantes de toute bonne politique de mots de passe.

Utilisez des mots de passe aléatoires d’une longueur minimale

Votre politique de mots de passe doit stipuler clairement que tous les mots de passe doivent être entièrement aléatoires, donc créés à l’aide d’un générateur de mots de passe(new window) et non par l’esprit humain. Cela s’explique par le fait que les humains ont tendance à créer des mots de passe faciles à mémoriser, plutôt que conçus pour résister à une attaque. En conséquence, ils sont vulnérables aux attaques par force brute, où les attaquants utilisent des logiciels pour « deviner » les mots de passe des utilisateurs.

La randomisation n’est pas la seule manière de créer des mots de passe forts(new window). Une autre manière d’augmenter la force d’un mot de passe(new window) consiste simplement à allonger le mot de passe(new window), avec au moins 16 caractères ou plus, bien que davantage soit préférable. Cela complique également la tâche des pirates informatiques, car plus le mot de passe est long, plus il leur est difficile de le deviner.

Une note sur les phrases secrètes

Les mots de passe aléatoires présentent un inconvénient : ils sont très difficiles à mémoriser. Il existe plusieurs solutions à ce problème, mais la plus simple est de choisir une approche qui combine la longueur du mot de passe et la mémorisation. Les phrases secrètes sont parfaites pour cela.

Nous détaillons davantage dans notre article comparant les phrases secrètes et les mots de passe(new window), mais en résumé, les phrases secrètes sont de longues chaînes de mots facilement mémorisables, comme par exemple embaumeur profusément décent aisément. La longueur les rend difficiles à pirater, tout en restant faciles à retenir. Une phrase secrète est idéale pour tout compte, mais son utilisation principale est de déverrouiller votre gestionnaire de mots de passe, ce que nous allons discuter plus loin.

Ne réutilisez jamais les mots de passe

Un autre point important qui devrait faire partie de toute politique de mots de passe est que vous ne devriez jamais réutiliser vos mots de passe. Cela signifie que tous vos comptes doivent avoir leurs propres mots de passe uniques et que vous ne devriez jamais recycler d’anciens mots de passe. Pour chaque nouveau compte que vous créez, vous devez générer un nouveau mot de passe aléatoire.

La raison en est ce qu’on appelle le remplissage d’identifiants(new window), où un pirate informatique prendra tous les identifiants divulgués lors d’une grande fuite de données et essaiera des centaines de sites pour voir s’ils fonctionneront également là-bas. C’est un risque sérieux, impliqué également dans des fuites de données de haut profil. Dans un cas, des pirates ont volé les identifiants d’un administrateur Dropbox(new window) puis les ont utilisés pour accéder aux pages GitHub de l’entreprise, provoquant toutes sortes de dégâts.

Ce type d’attaque est très courant, mais vous pouvez le rendre sans conséquence tant que vous ne réutilisez jamais les mots de passe et que vous assurez que les membres de votre équipe ne le font pas non plus.

Activez l’authentification à deux facteurs (A2F)

Si les mots de passe protègent vos comptes, l’authentification à deux facteurs(new window), mieux connue sous le nom d’A2F, peut protéger vos mots de passe. Si votre mot de passe est le premier facteur, le second facteur est un code temporaire, généralement généré par une application sur votre téléphone (il existe des variantes utilisant les SMS, mais elles ne sont pas très sécurisées(new window)). Lorsque vous accédez à un compte, vous devrez saisir à la fois le mot de passe et le code de l’application A2F.

Utiliser l’A2F signifie que même si quelqu’un de non autorisé parvenait à accéder à votre mot de passe, il aurait également besoin du téléphone ou de l’autre appareil qui possède votre application A2F pour accéder à votre compte. L’A2F est le meilleur moyen de se défendre contre les attaques de phishing(new window). C’est un outil puissant, mais malheureusement sous-utilisé.

Utilisez un gestionnaire de mots de passe pour assurer le respect des règles

Bien qu’une bonne politique de mots de passe puisse varier selon les équipes et les entreprises, ces éléments sont essentiels à la sécurité de toute organisation :

  • Mots de passe aléatoires
  • Mots de passe longs
  • Mots de passe uniques
  • A2F

Bien sûr, cela soulève une autre question, à savoir comment vous allez tout gérer. Se souvenir de mots de passe longs et aléatoires est pratiquement impossible, c’est d’ailleurs leur force, et les suivre manuellement sur un bout de papier n’est pas sécurisé.

Pour vous assurer que votre équipe met réellement en œuvre votre politique de mots de passe, elle aura besoin d’un gestionnaire de mots de passe(new window), un logiciel capable de stocker vos mots de passe pour vous.

Un bon gestionnaire de mots de passe ne se contentera pas de stocker les mots de passe, mais aura également un générateur de mots de passe intégré pour créer des mots de passe aléatoires de n’importe quelle longueur lorsque vous en aurez besoin. Il remplira également automatiquement les mots de passe chaque fois que vous vous connecterez à un site sur lequel vous avez un compte. Les gestionnaires de mots de passe ne sont donc pas seulement essentiels à la sécurité, ils améliorent aussi considérablement votre qualité de vie numérique.

Les meilleurs gestionnaires de mots de passe vous alerteront également lorsque vous dupliquez des mots de passe sur plusieurs comptes, afin que vous ne tombiez pas dans le piège de la réutilisation des mots de passe. Plutôt que d’avoir des dizaines de vulnérabilités, vous n’en avez qu’une seule et une phrase secrète bien utilisée peut également très bien protéger celle-ci.

Proton Pass et votre politique de mots de passe

Nous avons développé Proton Pass(new window) comme une alternative de gestionnaire de mots de passe qui fait tout ce qui précède et bien plus encore. Il peut non seulement gérer et générer des mots de passe, mais nous vous offrons également la possibilité de créer des phrases secrètes sécurisées, au cas où vous auriez besoin d’un mot de passe plus facile à mémoriser. Il suggère et remplit automatiquement(new window) vos informations pendant que vous naviguez, rendant l’administration de compte beaucoup plus simple.

Proton Pass offre également à votre organisation une sécurité sous d’autres formes, comme à travers nos alias d’adresse e-mail « hide-my-email »(new window), qui utilisent une adresse e-mail fictive lors de la création d’un nouveau compte en ligne, offrant une couche supplémentaire d’anonymat. Vous pouvez également choisir un de nos abonnements avancés et accéder à Proton Sentinel(new window), un programme poussé qui aide à protéger contre les attaques de phishing (hameçonnage).

Mais le plus important, c’est que Proton Pass for Business intègre la prise en charge de l’authentification à deux facteurs (A2F), rendant ainsi beaucoup plus facile pour vos membres d’équipe et pour l’entreprise dans son ensemble, d’adopter cet outil de sécurité essentiel. Au lieu de devoir gérer des applications encombrantes, tous vos outils sont au même endroit. La même sécurité, avec beaucoup moins de tracas.

Proton Pass for Business est le compagnon idéal pour toute politique de mots de passe que vous mettez en place pour votre équipe, permettant à vos collègues de partager de manière sécurisée les identifiants de connexion au travail. Et vous pouvez gérer vos utilisateurs depuis le panneau d’administration, afin de pouvoir accorder ou révoquer l’accès comme nécessaire ou imposer l’A2F. Si nos fonctionnalités vous intéressent, commencez dès aujourd’hui.

Protégez votre vie privée avec Proton
Créer un compte gratuit

Articles similaires

Une communication sécurisée et fluide est la base de toute entreprise. Alors que de plus en plus d’organisations sécurisent leurs données avec Proton, nous avons considérablement élargi notre écosystème avec de nouveaux produits et services, de notre
what is a brute force attack
En matière de cybersécurité, un terme qui revient souvent est l’attaque par force brute. Une attaque par force brute est toute attaque qui ne repose pas sur la finesse, mais utilise plutôt la puissance de calcul brute pour craquer la sécurité ou même
Note : les liens dans cet article renvoient à des contenus en anglais. La section 702 du Foreign Intelligence Surveillance Act est devenue tristement célèbre comme justification juridique permettant à des agences fédérales telles que la NSA, la CIA
En réponse au nombre croissant de fuites de données, Proton Mail propose une fonctionnalité aux abonnés payants appelée surveillance du dark web. Notre système vérifie si vos identifiants ou autres données ont été divulgués sur des marchés illégaux e
Votre adresse e-mail est votre identité en ligne et vous la partagez chaque fois que vous créez un nouveau compte pour un service en ligne. Cette solution est pratique, mais elle expose votre identité au cas où des pirates parviendraient à accéder au
proton pass f-droid
Notre mission chez Proton est de contribuer à l’avènement d’un internet qui protège votre vie privée par défaut, sécurise vos données et vous donne la liberté de choix. Aujourd’hui, nous franchissons une nouvelle étape dans cette direction avec le l