Article
Meilleures pratiques en matière de gestion des mots de passe
La gestion des mots de passe combine systèmes et processus pour émettre, stocker et maintenir les mots de passe en toute sécurité. Avec la prolifération des systèmes et appareils, elle est devenue essentielle dans la trousse à outils de toute équipe informatique. Elle facilite l’application des meilleures pratiques tout au long du cycle de vie des mots de passe, de leur création à leur désactivation.
Découvrez comment utiliser la gestion des mots de passe pour réduire les appels au service d’assistance, renforcer la sécurité et améliorer l’expérience utilisateur.
À mesure que les cybermenaces deviennent plus sophistiquées et efficaces, la gestion des mots de passe devient une défense essentielle contre l’accès non autorisé aux systèmes, aux applications et aux données.
La gestion des mots de passe aide les organisations à prévenir les comportements négligents menant aux aux violations de données. Voici quelques exemples :
- La création de mots de passe simples et faciles à deviner.
- Le partage de mots de passe par des échanges verbaux au bureau, dans des documents, des e-mails, par téléphone ou par SMS.
- L’utilisation d’un mot de passe identique pour toutes les connexions
- L’écriture des mots de passe
En plus d’atténuer les pratiques à risque en matière de mots de passe, la gestion des mots de passe :
- Élimine le besoin de mémoriser les mots de passe
- Chiffre les mots de passe des utilisateurs pour renforcer la protection
- Assure la conformité avec les réglementations et les meilleures pratiques
- Facilite la création de mots de passe forts, complexes et difficiles à deviner
- Permet de créer, gérer et utiliser les mots de passe plus rapidement et plus facilement
- Minimise la réutilisation des mots de passe
- Informez les utilisateurs si leurs informations d’identification sont compromises lors d’une violation de données ou d’une tentative d’hameçonnage.
- Active le remplissage automatique des identifiants lorsque le système détecte un formulaire de connexion avec un nom d’utilisateur et un mot de passe enregistrés.
- Prend en charge la synchronisation des informations d’identification sur plusieurs appareils
Gestionnaires de mots de passe du navigateur
Les gestionnaires de mots de passe du navigateur se sont popularisés. Les navigateurs sont le moyen le plus courant pour les utilisateurs d’accéder aux sites et aux services. La gestion des mots de passe est incluse dans toutes les principales plateformes de navigateur.
Cela permet aux utilisateurs de sauvegarder les informations d’identification des comptes ; le navigateur les remplit automatiquement. De nombreux utilisateurs s'en servent sans comprendre les risques de sécurité, qui incluent les éléments suivants:
Les navigateurs n’ont pas été conçus pour la gestion des mots de passe. Étant donné qu'elle a été ajoutée aux navigateurs, la plupart d’entre eux manquent des fonctionnalités de sécurité et de productivité des solutions conçues à cet effet.
Si un appareil est volé, les mots de passe peuvent être récupérés à partir des navigateurs ouverts. Comme la plupart des utilisateurs ne se déconnectent pas des navigateurs, la gestion des mots de passe du navigateur est une approche à haut risque en matière de gestion et sécurité.
Les mots de passe deviennent compromis si un navigateur est attaqué. Les navigateurs sont vulnérables aux cyberattaques qui infectent les appareils par des pièces jointes d’e-mails malveillants ou des fichiers infectés. Cela peut aussi se produire lorsqu’un utilisateur télécharge un fichier infecté ou visite un site compromis. Les cybercriminels compromettent également les navigateurs via des logiciels malveillants intégrés aux extensions. Ils utilisent aussi des logiciels partagés, gratuits, publicitaires et espions pour infiltrer les systèmes.
Qu’est-ce que FIDO ?
FIDO signifie Fast Identity Online. La FIDO Alliance, une organisation à but non lucratif, a été créée en juillet 2012 avec Infineon, PayPal, Lenovo, Nok Nok, Validity Sensors et Agnitio comme entreprises fondatrices. Les normes FIDO visent à remplacer les mots de passe par un jeton unique utilisé pour l’authentification et à exploiter l’authentification multi-facteurs pour améliorer la sécurité et la convivialité.
Les utilisateurs se connectent avec des passkeys résistants à l’hameçonnage grâce à FIDO. Les passkeys remplacent les connexions basées uniquement sur les mots de passe. FIDO permet aux utilisateurs de se connecter avec des passkeys sur tous leurs appareils en utilisant une biométrie ou une clé de sécurité.
Qu’est-ce que les passkeys ?
Les passkeys sont un type d’authentification permettant aux utilisateurs de se connecter sans mot de passe. Elles fonctionnent avec les appareils déjà utilisés par les utilisateurs, comme leur smartphone ou ordinateur portable. Basées sur la norme d’authentification Web, les passkeys s’appuient sur la cryptographie à clé publique pour assurer la sécurité. Cela permet d’éviter leur vol dans le cadre de cyberattaques, telles que l’hameçonnage. Avec les passkeys, la clé privée est stockée sur les appareils des utilisateurs, et la clé publique est sur les serveurs des organisations.
L’utilisation de passkeys pour l’authentification des utilisateurs élimine le recours à des noms d’utilisateur et des mots de passe vulnérables. Les passkeys remplacent les informations d’identification traditionnelles par des informations d’identification numériques analogues à des clés physiques. Les utilisateurs accèdent à ces clés numériques en se connectant à leurs appareils via un code NIP, un motif de balayage ou des données biométriques (comme les empreintes digitales).
Les avantages couramment cités des passkeys sont les suivants :
- Une expérience d’authentification simplifiée pour les utilisateurs.
- Une accessibilité améliorée pour les utilisateurs en situation de handicap
- Réduction de la charge de travail du service d’assistance grâce à la diminution des demandes de réinitialisation de mots de passe.
- Une résistance accrue aux attaques par hameçonnage
- Une approche basée sur des normes qui accélère l’intégration des fonctionnalités d’authentification pour les développeurs
Fonctionnement des gestionnaires de mots de passe
Les solutions de gestion des mots de passe, ou gestionnaires de mots de passe, fournissent un ensemble de fonctionnalités conçues pour automatiser, rationaliser et sécuriser les fonctions liées aux mots de passe. Ses fonctionnalités incluent celles qui suivent.
Créer des politiques de mots de passe personnalisées.
Pour les organisations dont les équipes ont des exigences d’accès variées, les politiques de gestion des mots de passe peuvent être appliquées de manière granulaire. Par exemple, des exigences d’autorisation renforcées peuvent s’appliquer aux utilisateurs ayant accès à des informations sensibles.
Détecter les changements
Un système de gestion des mots de passe peut détecter automatiquement les modifications et les synchroniser sur toutes les applications appropriées.
Activer l’authentification multi-facteurs
La gestion des mots de passe fournit des fonctionnalités d’authentification multi-facteurs robustes pour garantir la validité des utilisateurs tentant d’accéder. Cela peut inclure la possibilité de déclencher une authentification multi-facteurs lorsque des comportements inhabituels sont détectés.
Mettre en application les exigences de mot de passe.
La gestion des mots de passe permet de mettre en œuvre et d’appliquer automatiquement les politiques de mots de passe. Elle garantit que les exigences sont respectées dans tout le réseau. Cela inclut les mots de passe forts, les mises à jour régulières et des mots de passe uniques pour chaque application, service et système.
Générer des mots de passe robustes
Une solution de gestion des mots de passe peut automatiquement créer des mots de passe uniques et robustes que les utilisateurs ont du mal à créer.
Synchroniser sur plusieurs appareils et systèmes d’exploitation
Comme les utilisateurs dépendent de plusieurs appareils, la gestion des mots de passe partage automatiquement les mots de passe entre les appareils, éliminant ainsi le besoin de saisir manuellement le mot de passe sur ces différents appareils.
Les solutions robustes offrent d’autres fonctionnalités :
- La capacité d’enregistrer, de surveiller et de résilier les mots de passe des utilisateurs
- Un contrôle d’accès pour les appareils des employés
- Des options de déploiement sur site et dans le cloud.
- La gestion des mots de passe sur les terminaux des employés
- Des outils de rapport
- Des fonctionnalités en libre-service
Des certifications de sécurité globale pour la gestion des mots de passe
Il existe de nombreuses certifications de sécurité associées à la gestion des mots de passe. Voici quelques-unes des certifications les plus couramment utilisées par les organisations internationales.
Règles de confidentialité transfrontalières (CBPR) de la Coopération économique pour l'Asie-Pacifique (APEC)
La APEC CBPR est une accréditation de confidentialité des données soutenue par le gouvernement. Elle permet aux entreprises de prouver qu’elles respectent des mesures de protection reconnues internationalement. Cette certification met l’accent sur des pratiques de confidentialité strictes pour garantir que les données personnelles des clients de l’APEC sont protégées, y compris lors de transferts transfrontaliers.
Reconnaissance de la confidentialité pour les sous-traitants (PRP) de la Coopération économique pour l'Asie-Pacifique (APEC)
La certification APEC PRP est destinée aux sous-traitants de données qui travaillent pour le compte de leurs clients (contrôleurs de données). Elle démontre leur capacité à mettre en œuvre efficacement les exigences de confidentialité fixées par les contrôleurs.
Catalogue de contrôles de conformité du Cloud Computing (C5) de l'Office fédéral de la sécurité des technologies de l’information (BSI)
BSI C5 est une norme auditée qui établit une base minimale obligatoire pour la sécurité du cloud et l’adoption de solutions de cloud public. Elle a été introduite en Allemagne par le Bureau fédéral de la sécurité de l'information (BSI).
ISO 27001
ISO 27001 est une spécification reconnue internationalement pour un système de management de la sécurité de l’information (ISMS), qui évalue la gestion globale de la sécurité de l’information.
SOC2 Type II
Un audit de contrôle d'entreprise de service (SOC) Type II évalue la manière dont un fournisseur de services cloud gère les informations sensibles. Il couvre l’adéquation des contrôles d’une entreprise et son efficacité opérationnelle.
SOC3
Un audit de contrôle d'entreprise de service (SOC) III évalue les contrôles internes en matière de sécurité, de disponibilité, d’intégrité du traitement et de confidentialité.
Règlement général sur la protection des données (RGPD)
Le RGPD est un règlement qui fournit un ensemble de lois standardisées de protection des données dans l’Union européenne (UE) pour renforcer la confidentialité et étendre les droits des citoyens de l’UE en matière de données.
Bouclier de protection des données Union européenne (UE)-États-Unis (US)
Le bouclier de protection des données UE-US est un cadre juridique qui réglemente les échanges transatlantiques de données personnelles à des fins commerciales entre l’Union européenne et les États-Unis et exige des protections des données.
Défis liés à la gestion des mots de passe
La gestion des mots de passe présente de nombreux avantages, mais aussi plusieurs défis notables. Comprendre les défis permet aux organisations d’extraire de manière sécurisée et efficace la valeur maximale des solutions.
Les défis comprennent :
- Interopérabilité
Il n’existe pas de normes obligatoires, tous les sites Web ne sont pas compatibles avec l’ensemble des systèmes de gestion des mots de passe. - Vulnérabilité du mot de passe principal
Les solutions de gestion des mots de passe utilisent un mot de passe principal pour accéder aux autres mots de passe. Une compromission de ce mot de passe principal pourrait donc exposer tous les autres. En outre, si ce mot de passe principal est perdu, l’utilisateur risque de perdre l’accès à ses applications, services et systèmes. - Préoccupations en matière de sécurité
Ces préoccupations reposent sur l'idée que la gestion des mots de passe pourrait constituer un point unique de défaillance. En effet, tous les mots de passe risqueraient d'être exposés en cas de compromission du système. - Adoption par les utilisateurs
Dans certains cas, les utilisateurs ont du mal à configurer et à utiliser de nouveaux systèmes de gestion.
Principales cybermenaces pesant sur la gestion des mots de passe
Un autre ensemble de défis concerne les cybermenaces, qui pèsent sur la protection des mots de passe dans les cas suivants :
- Attaques par force brute
Des outils automatisés sont utilisés pour voler ou deviner des mots de passe. - Violations de données
Les cybercriminels obtiennent un accès non autorisé aux réseaux et dérobent des informations d’identification de connexion des bases de données de sites Web. - Usurpation de connexion
Les cybercriminels utilisent des mots de passe collectés illégalement via une fausse page de connexion. - Attaques par observation
Les mots de passe sont volés par un cybercriminel observant l’entrée des utilisateurs dans les systèmes (par exemple, en utilisant une caméra cachée). - Attaques par reniflement de paquets
Les mots de passe sont volés en utilisant plusieurs tactiques illégales, telles que le vol physique, le keylogging et les logiciels malveillants.
Meilleures pratiques en matière de gestion des mots de passe
Interdire la réutilisation des mots de passe
Les mots de passe ne doivent pas être réutilisés sur différents appareils ou applications. Chaque compte doit avoir un mot de passe unique. Cela peut être difficile à suivre sans gestion des mots de passe.
Créer et appliquer une politique de gestion des mots de passe
Fournir aux employés et aux administrateurs un guide clair pour la gestion des mots de passe afin de faciliter le respect des bonnes pratiques par les utilisateurs et leur mise en œuvre par les administrateurs.
Sensibiliser les membres de l’équipe à la sécurité en ligne
L’éducation est essentielle pour que les utilisateurs adoptent les meilleures pratiques de gestion des mots de passe. Voici quelques moyens d’expliquer l’importance des meilleures pratiques de gestion des mots de passe et d’encourager leur respect, ce qui contribuera à instaurer et à maintenir une culture de la sécurité en tant que priorité.
- Expliquer le rôle de la gestion des mots de passe dans la prévention des violations de données
- Former les employés aux meilleures pratiques de gestion
- Aider les employés à suivre les meilleures pratiques avec l’automatisation
- Cette formation devrait être accessible à tout moment et fournir des ressources que les employés peuvent consulter à leur convenance.
- Proposer des incitations telles qu’une prime en espèces ou des cartes-cadeaux peut encourager les employés à participer à la formation et aux exercices de gestion
Renforcer la protection des comptes et des mots de passe des utilisateurs privilégiés
Utiliser la gestion des accès privilégiés pour ajouter une couche supplémentaire de protection aux comptes qui ont un niveau d’accès plus élevé aux données et aux applications et qui sont recherchés par les cybercriminels.
Identifier rapidement les problèmes de sécurité et aider les employés à corriger les comptes à risque
La gestion des mots de passe doit identifier de manière proactive les problèmes de sécurité liés aux mots de passe et les comptes à risque. Lorsque des problèmes sont détectés, la solution doit proposer des réponses automatisées pour les corriger. Elle doit également émettre des alertes pour les comptes jugés à haut risque.
Implémenter l’authentification multi-facteurs
L’authentification multi-facteurs (MFA) exige que les utilisateurs fournissent deux preuves (facteurs) ou plus pour vérifier leur identité avant d’accorder l’accès. Ces facteurs comprennent :
- Quelque chose que vous savez : mot de passe ou numéro d’identification personnel (NIP)
- Quelque chose que vous avez : smartphone, téléphone mobile ou jeton
- Quelque chose que vous êtes : biométrie (par exemple, empreinte digitale ou reconnaissance faciale)
Rendre les changements de mot de passe obligatoires
Exiger des utilisateurs qu’ils changent leurs mots de passe selon un calendrier défini. La gestion des mots de passe automatise ce processus pour garantir la conformité.
Éliminer progressivement la gestion des mots de passe basée sur le navigateur
La gestion des mots de passe basée sur le navigateur représente un risque de sécurité. Les organisations sont encouragées à élaborer des plans visant à éliminer l’utilisation de ce type de gestion par navigateur et à le remplacer par une solution spécifique.
Exiger des mots de passe robustes
Les mots de passe doivent être complexes et uniques pour empêcher les cybercriminels de les déchiffrer. Les systèmes de gestion peuvent automatiquement générer des mots de passe forts qui comprennent :
- Plus de huit caractères
- Une combinaison de caractères majuscules et minuscules
- Différents chiffres et symboles
Stocker les mots de passe dans un système de gestion des mots de passe
Utilisez une gestion des mots de passe conçue à cet effet pour rationaliser les processus pour les utilisateurs et faciliter l’administration par les équipes informatiques. Cela permet de définir des règles de gestion et d’améliorer la sécurité.
Utiliser le chiffrement des mots de passe
Le chiffrement bout en bout irréversible est essentiel pour protéger les informations d'identification. Même le mot de passe le plus fort reste vulnérable s’il n’est pas chiffré. Ce chiffrement sécurise les données stockées ou transférées en les codant grâce à la cryptographie. Cela empêche leur lecture ou leur déchiffrement sans la clé ou le mot de passe adéquat.
Gestion des mots de passe : une mise à niveau de sécurité simple, mais performante
La cybersécurité présente des défis croissants à mesure que les cybercriminels renforcent leurs tactiques grâce à des technologies sophistiquées, telles que l’intelligence artificielle et l’apprentissage automatique. Toutes les technologies mises à profit pour les empêcher d’entrer sont utilisées pour obtenir un accès non autorisé. Les équipes de sécurité utilisent un ensemble de solutions pour fournir une protection.
La gestion des mots de passe est l’une des solutions de sécurité les plus faciles à mettre en œuvre et dont l’efficacité a été prouvée. Elle permet d’éliminer presque totalement un vecteur d’attaque très exploité. Elle empêche la compromission des informations d’identification qui expose les organisations à des dommages incalculables.