De nombreuses organisations sont confrontées à des politiques de mots de passe qui semblent solides sur le papier mais qui échouent dans la pratique parce que souvent trop rigides pour être suivies, trop vagues pour être appliquées ou encore déconnectées des besoins réels en matière de sécurité. Certaines sont si fastidieuses et complexes que les employés écrivent leurs mots de passe sur des Post-It sous leurs claviers, sur leur écran ou sur leurs tiroirs de bureaux. D’autres établissent des règles si souples qu’elles pourraient tout aussi bien ne pas exister. Et beaucoup se contentent de copier des normes génériques qui ne répondent pas aux problèmes de sécurité spécifiques de telle ou telle organisation.

Créer une politique de mots de passe qui fonctionne dans le monde réel nécessite un équilibre délicat : elle doit être suffisamment stricte pour protéger vos systèmes, suffisamment flexible pour permettre le travail quotidien et suffisamment précise pour être appliquée de manière cohérente. Explorons cinq stratégies pour créer une politique de mots de passe qui fonctionne dans le monde réel.

1. Élaborer des pratiques de mots de passe conformes

Votre entreprise appartient-elle à un secteur réglementé comme la santé, l'agriculture ou les services financiers ? Si tel est le cas, l’une de vos principales priorités devrait être de vous assurer de respecter les règles de gestion des mots de passe de votre secteur. Pour garantir la sécurité et la confidentialité des données (et la conformité), votre organisation doit respecter les normes relatives aux mots de passe qui s'appliquent à votre emplacement physique et à votre secteur d'activité. 

En suivant les directives de gestion des mots de passe spécifiques à votre secteur, vous renforcerez votre posture de sécurité tout en remplissant vos obligations légales. Pour obtenir de meilleurs résultats, allez au-delà de la conformité aux normes du secteur et créez une politique de mots de passe qui répond aux obligations réglementaires tout en offrant un plus haut niveau de protection. 

2. Passez en revue vos obligations en matière de mot de passe existantes

Avant d’élaborer de nouvelles exigences en matière de mots de passe, faites le point sur vos obligations existantes. Si votre organisation est comme beaucoup d'autres, vous constaterez peut-être que vous avez des exigences en matière de mots de passe différentes en fonction des accords commerciaux passés, peut-être avec des normes incohérentes d'un document à l'autre.

Commencez par examiner les contrats des fournisseurs, les accords avec les clients et les documents de partenariat – et n’oubliez pas que les exigences en matière de mots de passe peuvent être cachées dans les clauses de traitement des données ou les annexes relatives à la sécurité. N'oubliez pas de vérifier les documents internes comme votre manuel de l'employé, les procédures de sécurité ou même les directives spécifiques à votre service. En identifiant les domaines dans lesquels les exigences en matière de mot de passe se chevauchent et les domaines de conflit potentiel, vous pourrez déterminer les domaines dans lesquels il vous faudra peut-être négocier des changements ou maintenir des normes plus strictes. 

3. Créer une politique basée sur des données réellesexistantes

Trop d'organisations se contentent d'établir des règles sans véritablement comprendre les problèmes d'authentification auxquels elles sont confrontées. Avant d'élaborer votre nouvelle politique en matière de mots de passe, dressez un tableau précis de votre situation en matière de sécurité. Réalisez un audit complet de votre Active Directory pour découvrir la réalité de votre environnement - des comptes d'administration obsolètes aux mots de passe compromis actuellement utilisés.

Considérez l'audit d'Active Directory comme la base de toute votre stratégie en matière de mots de passe. Lorsque vous comprenez à quel endroit les mots de passe sont les plus faibles, quels sont les départements qui ont du mal à respecter les règles et quelles sont les véritables lacunes en matière de sécurité, vous pouvez élaborer une politique qui résout les problèmes réels plutôt que d'ajouter une complexité inutile.

Lorsque vous êtes prêt à effectuer votre audit Active Directory, pensez à télécharger un outil gratuit comme Specops Password Auditor. Avec Specops Password Auditor, vous pouvez identifier les utilisateurs actifs ayant des mots de passe précédemment piratés, les comptes administrateur obsolètes et d'autres vulnérabilités liées aux mots de passe. Téléchargez votre outil gratuit en lecture seule dès aujourd'hui.

4. Renforcez votre politique de mots de passe

Nous savons tous ce qui se passe sur une route de campagne où la police ne patrouille jamais : le panneau de limitation de vitesse indique 80, mais les véhicules roulent régulièrement beaucoup plus vite. Il en va de même pour les politiques de mots de passe : c'est une bonne chose d'avoir des règles documentées, mais sans une application efficace, les gens ignoreront les directives et feront ce qu'ils veulent, mettant ainsi en péril la sécurité de votre organisation.

Lorsque vous élaborez votre politique de mots de passe, déterminez comment vous pourrez la mettre en œuvre le plus efficacement possible. Qu'est-ce qui constitue une violation ? Comment allez-vous détecter les infractions ? Quelles sont les sanctions ? Et comment les recours seront-ils traités ? Ensuite, communiquez votre approche de l'application de la politique des mots de passe à toutes les parties prenantes. Lorsque les employés voient que la direction prend la sécurité des mots de passe au sérieux et applique les règles de manière juste, ils sont plus susceptibles de donner la priorité au respect de ces règles.

5. Créer des normes de mots de passe qui tiennent la route

Donnez à votre politique de mots de passe un espace propre plutôt que de l'enfouir dans la documentation informatique générale. Un document de politique autonome aura plus de poids et de visibilité tout en rendant les mises à jour plus simples.

Votre documentation doit parler clairement de ce qui importe : quels systèmes sont couverts par ces règles, qui doit les respecter et comment. Oubliez le jargon et privilégiez la clarté, qu'il s'agisse de la longueur minimale du mot de passe ou des types de caractères requis.

Avant de finaliser, faites relire votre projet par des correcteurs de différentes unités commerciales. Par exemple :

Les équipes techniques doivent en valider la faisabilité Les équipes juridiques doivent garantir la conformité réglementaire Les équipes RH doivent tenir compte de la facilité d'utilisation et de la la dimension user-friendly Les dirigeants doivent confirmer l’alignement stratégique.

En procédant à un examen sous différents angles, vous renforcerez votre politique et son adoption à travers toute l'organisation. 

Améliorer durablement la sécurité

La politique de mot de passe de votre organisation constitue le fondement de sa stratégie de sécurité, mais son efficacité dépend entièrement de la qualité de sa planification et de son exécution. Commencez par bien comprendre vos exigences réglementaires et vos obligations existantes. Construisez sur cette base avec des données réelles provenant de votre environnement Active Directory.

Créer des normes claires et applicables qui correspondent à vos besoins en matière de sécurité et aux réalités opérationnelles. Et surtout, n'oubliez pas qu'une politique de mot de passe n'est pas un document statique - c'est un cadre qui nécessite une attention et des ajustements permanents. En suivant ces lignes directrices, vous créerez des exigences en matière de mots de passe qui satisferont les auditeurs et amélioreront durablement la sécurité.

Une fois que vous avez planifié votre nouvelle politique, il faut passer à sa mise en pratique. Découvrez comment Specops Password Policy peut bloquer en continu plus de 4 milliards de mots de passe uniques compromis, appliquer facilement les normes et réduire votre charge d'assistance en offrant aux utilisateurs finaux une meilleure expérience en matière de sécurité. Échangez avec un expert Specops de votre situation en matière de mots de passe dès aujourd'hui.