10 règles pour sécuriser son SI : le mot de passe

Retour à Actualités

Nous débutons cette série d’articles sur la sécurisation de votre système informatique par un sujet que beaucoup d’entre nous évitent d’aborder tant-il peut-être complexe à mettre en place et pénible à retenir (promis, on vous donne la solution dans l’article) : le mot de passe.

Complexe à mettre en place mais nécessaire !

Les cyberattaques n’arrivent pas qu’aux grands groupes, PTE et PME sont tout aussi menacées et c’est justement parce qu’elles ne sont pas suffisamment sensibilisées à la cybersécurité qu’elles sont impactées par 60% des attaques.*

La première barrière à dresser face à cette menace est un mot de passe solide.

Près d’une entreprise sur trois ne change jamais ses mots de passe. Or 41% des TPE interrogées ont déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques, soit presque autant que les PME.**

La faille se trouve généralement être l’utilisateur, car sa première erreur va être de noter son mot de passe, de le répéter sur l’ensemble de ses plateformes et de le simplifier.

Générer un mot de passe

Depuis quelque temps, les utilisateurs sont obligés de choisir un mot de passe répondant à des critères précis (au moins un chiffre, une majuscule, 10 ou 12 caractères etc…) mais malgré ces contraintes, soyons honnêtes, nous tapons toujours des informations personnelles.
Ex : « SocieteMartin1981 » ou « M@rtin02janv2001 » ou encore « 19rueMartinParis ».

Oui, mais retenir « Xfgt45GH566Twa », seul Forrest Gump en serait capable, surtout s’il faut en changer tous les 90 jours et en avoir des différents ! Pour se souvenir facilement d’une suite de caractères et de chiffres nous devons y mettre de l’affect.

C’est pour cette raison que la CNIL nous propose une solution : la passphrase. Le principe est simple, il suffit de taper une phrase qui ait du sens pour nous et d’en retenir uniquement les premières lettres. Il est toujours nécessaire de mettre au moins un chiffre, une majuscule et un caractère spécial mais à l’usage nous nous y faisons.
Ex : Lorsque j’avais 6 ans je n’étais pas grand > Lj’a6ajn’épg

Pour vous aider la CNIL propose un générateur de passphrase

Comment Ostin peut vous accompagner ? : Au niveau du réseau, Ostin peut imposer des critères à respecter pour créer ou modifier tout mot de passe

Répertorier les mots de passe

A présent que nous disposons d’une méthode pour générer des mots de passe « dépersonnalisés » reste à en générer plusieurs pour nos différents usages : connexion à l’ordinateur, aux plateformes professionnelles, aux mails…
Évitons surtout de sortir nos petits carnets, spécialement ceux, très en vogue, dédiés à cette fonction avec écrit en gros « Codes Secrets » sur la couverture.

Il existe des logiciels libres de gestion des mots de passe et l’ANSSI1 en recommande un en particulier : Keepass.

Un gestionnaire de mot de passe répertorie tous les mots de passe et les cryptes. Pour y accéder, un mot de passe (nous n’y échapperons pas) est nécessaire mais cela n’en fait plus qu’un seul à retenir.

Comment Ostin peut vous accompagner ? : En installant ce logiciel sur vos postes et en organisant une formation de prise en main.

Actualiser les mots de passe

Enfin comme nos mémoires sont faillibles rien de plus simple que d’utiliser l’agenda en ligne et de créer une alerte récurrente tous les 3 mois pour penser à renouveler l’ensemble des mots de passe.

Comment Ostin peut vous accompagner ? : En permettant l’activation automatique de demande de changement de mot de passe.

Fini la prise de tête ! A présent, le plus difficile sera de convertir chacun de vos collègues et collaborateurs à cette méthode. Car dans ce domaine, seul l’être humain reste fiable !

*https://www.nosyweb.fr
** Source : La cybersécurité des Entreprises (mois de 50 salariés), enquête CPME réalisée en partenariat avec CINOV-IT, le CLUSIF (Club de la sécurité de l’information français), membres avec la CPME du dispositif cybermalveillance.gouv.fr, l’Union-IHEDN, la Cyber task force ainsi que les associations Hexatrust et ACN (Association Confiance Numérique), Janvier 2019. www.chefdentreprise.com
1 Agence nationale de la sécurité des systèmes d’information
Retour à Actualités