Sécurité des mots de passe en 2023

2022 a été une année mouvementée en termes de cybersécurité en France. Bien que nous ne disposions pas des chiffres officiels des cybermenaces et des attaques que le pays a connues cette année, nous avons tous entendu parler de cyberattaques importantes contre de grandes entreprises françaises, des hôpitaux et des collectivités locales. Les responsables informatiques subissent une pression énorme afin de protéger leurs systèmes informatiques contre les pirates. Et il peut être difficile de déterminer par où commencer, en particulier, pour les PME aux ressources parfois limitées.

Alors que les entreprises doivent considérer la sécurité de leur infrastructure informatique de manière globale, beaucoup doivent se concentrer en priorité sur le maillon le plus faible : les mots de passe des utilisateurs finaux. Beaucoup ont conscience que les mots de passe constituent une menace réelle pour leur sécurité informatique, mais la plupart doit être tenue informée de la vulnérabilité des mots de passe de leurs utilisateurs finaux.

Alors faisons de 2023 l'année de la résolution des problèmes de sécurité de mots de passe ! Avec les recommandations actualisées de la CNIL, les responsables informatiques doivent prendre en compte 4 domaines lors de l'examen de la sécurité des mots de passe de leur entreprise.

Concentrez-vous sur l'entropie plutôt que sur la longueur

Auparavant, exiger un mot de passe long était considéré comme une valeur sûre. Cependant, des études montrent que la longueur seule est insuffisante pour protéger les entreprises des cyberattaques. Ainsi, lorsque la CNIL met à jour ses recommandations sur les mots de passe, elle suggère aux entreprises de viser une entropie de 80 bits ou plus. La CNIL a proposé 3 exemples pour atteindre une entropie de 80 bits, dont l'un incluait l'utilisation de phrases de passe. L'introduction de phrases de passe peut être intéressant : faciles à retenir pour les utilisateurs, elles peuvent répondre à l'exigence d'entropie sans difficulté.

Bloquer les mots de passe courants

80 % des fuites de données proviennent de mots de passe compromis. Il est impératif de les bloquer. La CNIL recommande donc aux entreprises de bloquer systématiquement les mots et expressions couramment utilisés. Cependant, plutôt que de simplement bloquer les mots couramment utilisés, il est essentiel de trouver des moyens d'empêcher l'utilisation de mots de passe compromis, afin que les utilisateurs ne créent pas de mots de passe déjà connus des pirates.

Supprimer - ou non - l'expiration du mot de passe - telle est la question

La CNIL a revu sa position concernant l'expiration du mot de passe et a recommandé aux entreprises de cesser d'exiger des utilisateurs finaux qu'ils renouvellent régulièrement les mots de passe. La raison ? La commission estime que cela n'atteint pas l’objectif de sécurisation des mots de passe. Cependant, il s'agit d'une décision dangereuse... Les mots de passe des utilisateurs peuvent avoir été divulgués à un moment donné à leur insu. S'il n'y a pas d'exigences de renouvellement de mot de passe, des mots de passe faibles ou compromis pourraient mettre les entreprises en danger. C'est donc un choix que les entreprises doivent considérer attentivement. Notez également que la commission recommande de conserver les renouvellements de mot de passe réguliers pour les comptes administrateur ou privilégiés.

Mieux guider les utilisateurs finaux dans le choix d'un mot de passe fort

À mesure que les exigences en matière de mot de passe deviennent plus complexes, l'un des défis pour les utilisateurs finaux est de comprendre ces exigences lors du renouvellement ou de la création de nouveaux mots de passe. Malheureusement, Microsoft ne fournit pas de fonctionnalités affichant la politique de mot de passe sur la page de configuration du mot de passe de l'utilisateur final. Trouver un outil qui complète les fonctionnalités existantes d'Active Directory serait une sage décision pour réduire les appels au service d'assistance liés à la création et au renouvellement des mots de passe.

Specops Password Policy - une solution unique pour adopter rapidement les 4 recommandations

Comment réaliser tout cela ? Malheureusement, Microsoft n'offre pas de fonctionnalités dans Active Directory. Les responsables informatiques auront donc besoin d'une solution telle que Specops Password Policy pour se conformer à ces recommandations. Le logiciel aide les responsables informatiques à :

Mesurer automatiquement l'entropie de sa politique de mot de passe ;
Afficher les exigences de mot de passe pour les utilisateurs finaux lors de la création d'un nouveau mot de passe ;
Proposer l'utilisation de phrases de passe ;
Bloquer les mots de passe compromis connus.

Specops Password Policy est conçu pour aider les responsables informatiques à mieux guider leurs utilisateurs dans la sélection de mots de passe forts. Que 2023 soit l'année du renforcement de la sécurité de vos mots de passe et de l’amélioration de votre première ligne de cyberdéfense.

Sur le même thème

Partenaires