4 points à examiner dans le cadre du renforcement de votre politique de mots de passe AD
Pour commencer à résoudre votre problème de mots de passe faibles, vous devez examiner les 4 points suivants :
1. Quantifier votre problème de mots de passe AD
La première étape consiste à identifier à quel point votre problème de mot de passe est massif (ou non). Les mots de passe sont le maillon le plus faible de la sécurité informatique, et un mot de passe compromis peut vous coûter des millions d'euros.
Vous pouvez exécuter l'audit de mot de passe AD par vous-même, ou pouvez également utiliser un outil gratuit comme Specops Password Auditor, un logiciel en lecture seule disponible en téléchargement. Il peut exécuter un audit en quelques minutes et générer un rapport de synthèse PDF à partager avec vos collègues de l'équipe de sécurité informatique.
2. Examiner les éléments clés de la création de mots de passe forts
Maintenant que vous avez déterminé où résident les vulnérabilités dans vos mots de passe AD, vous pouvez commencer à examiner les éléments clés de toute bonne politique de mots de passe. L'ANSSI recommande que les mots de passe :
- Incluent au moins 1 majuscule ou minuscule ou chiffre ou symbole ;
- N’incluent aucun caractère spécifique (« 123 ») ;
- N’utilise pas de motifs répétitifs (« aaaa ») ;
- N’utilise pas de modèles de mots-clés (« azerty ») ;
- Aient une longueur minimale (15 caractères pour être considéré comme « fort ») ;
- Soient vérifiés au moment de leur création : ils ne doivent pas figurer sur les listes de mots de passe compromis.
Cependant, selon les recherches de Specops Software, des mots de passe longs et robustes ne garantissent pas à eux seuls la sécurité des mots de passe. Le point évoqué ci-dessus - bloquer systématiquement un mot de passe compromis déjà connu - est essentiel pour assurer la sécurité de votre infrastructure informatique.
3. Définissez les exigences de mots de passe en fonction des privilèges d'accès
Plutôt que de créer une nouvelle stratégie de mot de passe, vous devez également envisager de modifier les exigences de mot de passe en fonction des privilèges d'accès. Renforcez la politique pour les comptes avec des privilèges d'accès étendus, comme ceux des administrateurs système. De cette façon, vous pouvez fournir un renforcement supplémentaire de manière sélective.
4. Encouragez la création de mots de passe forts grâce à des systèmes de récompense
Parce que les entreprises exigent des mots de passe forts, les utilisateurs finaux doivent souvent se souvenir de nombreux mots de passe complexes pour le travail. Pour inciter les utilisateurs finaux à participer à l'amélioration de la cyberdéfense de votre entreprise, pensez également à récompenser les bons comportements. Vous pouvez par exemple modifier l'expiration du mot de passe en fonction de sa force. Les utilisateurs qui créent un mot de passe long et complexe peuvent continuer à l’utiliser plus longtemps que ceux qui utilisent des mots de passe de force moyenne.
Attendre augmente le risque de cybermenace – mieux vaut prévenir que guérir.
Bien qu'il existe des moyens de traiter vous-même les points ci-dessus, Microsoft ne fournit pas forcément toutes les fonctionnalités nécessaires, et leur mise en œuvre peut nécessiter beaucoup d'efforts et de temps. C'est pourquoi de nombreuses organisations ont encore des politiques de mot de passe très faibles et autorisent leurs utilisateurs à utiliser des mots de passe tels que "P@ssw0rd!".
Il est beaucoup plus économique de prévenir les cyberattaques plutôt que de s'en remettre. Nous vous recommandons donc de résoudre votre problème de mot de passe faible en 2022 ! Si vous ne pouvez pas résoudre vous-même votre problème de mot de passe, il existe des solutions, telles que Specops Password Policy, qui peuvent vous aider à gérer le problème très facilement et rapidement. Investissez dans la prévention pour ne pas avoir à payer pour la récupération de vos données.