Alors que les collaborateurs se connectent à de nombreux applicatifs depuis leurs portables, leurs smartphones ou leurs postes fixes, la gestion des mots de passe est un casse-tête pour les utilisateurs et un enjeu de sécurité pour les entreprises. Aussi, pour éviter toute intrusion, quelques bonnes pratiques peuvent être déployées afin d’optimiser la gestion des mots de passe.
Le mot de passe constitue la première porte d’entrée pour accéder aux données d’un ordinateur ou d’un système d’information d’entreprise. Utiliser un mot de passe complexe est donc un des premiers remparts pour éviter toute intrusion pouvant donner lieu à la destruction de données ou à l’espionnage industriel ou économique d’une entreprise.
Aussi, pour se prémunir contre ces phénomènes, les DSI doivent sensibiliser les collaborateurs à quelques bonnes pratiques, notamment en matière de gestion des mots de passe. Conseil en six actes.
- Créer les mots de passe
Selon une étude de Keeper, sur 10 millions de mots de passe analysés, il est courant de retrouver les mêmes, ou la même logique de construction. En 2016, les 25 mots de passe les plus utilisés par 50 % des utilisateurs sont les suites logiques « 123456 », « 123456789 » et « qwerty ». De telles suites logiques sont du pain béni pour les pirates.
Il est donc important de créer des mots de passe d’une dizaine de caractères et de les construire autour de majuscules, de minuscules, de chiffres et de caractères spéciaux. « Le nombre de combinaisons d’un mot de passe constitué d’un mix d’une dizaine de caractères peut se compter en dizaines de millions de possibilités, alors qu’un code pin constitué de 4 chiffres, comme ceux des smartphones ou des cartes bancaires, ne présente que 10 000 combinaisons possibles », souligne William Culbert, Directeur Technique de Bomgar.
D’où l’importance de créer des mots de passe complexes. Mais comment s’en souvenir ? Pour Vincent Gonnot, Directeur Europe du Sud de Couchbase, une des astuces consiste à « utiliser une phrase de la vie courante style “j’aime manger du pain le matin au petit déjeuner”, à prendre la première lettre de chaque mot et à intégrer entre chacune d’elle des chiffres comme sa date de naissance. Pour plus de sécurité, l’utilisateur peut modifier l’allure de la phrase avec des minuscules et majuscules. »
Et si pour des raisons pratiques les usagers utilisent souvent les mêmes mots de passe, que ce soit dans leur vie professionnelle ou personnelle, la découverte de ce sésame permet aux hackers de s’immiscer dans toute la vie numérique de l’utilisateur. C’est pourquoi face à la difficulté de trouver des centaines de mots de passe, l’utilisateur peut se rabattre sur des outils, type Dashlane, pour générer automatiquement des mots de passe forts et aléatoires.
- Gérer les mots de passe
« Il est courant de voir des mots de passe stockés dans des documents Word, dans les boites mail, ou encore sur des Post-its glissés sous le clavier. Toutes ces pratiques sont une invitation potentielle à une fuite des données, » explique Vincent Gonnot. Il est également préférable de proscrire la sauvegarde des mots de passe dans les navigateurs web, car ils sont stockés, exposés et donc susceptibles d’être utilisés. William Culbert insiste quant à lui sur le fait de bien séparer les documents de stockage des mots de passe et des logins et de les noter dans le désordre pour éviter toute concordance entre les deux.
Se pose alors le problème de se souvenir de tous ces mots de passe professionnels et personnels. William Culbert conseille aux entreprises d’inciter tous les collaborateurs à utiliser un gestionnaire de mots de passe. « Cet outil offre à l’utilisateur la possibilité de centraliser l’ensemble de ses mots de passe et identifiants dans une base de données accessible par un mot de passe unique. Et pour assurer la sécurité de celui-ci, il est bien d’utiliser une double authentification. » Le système de double authentification fonctionne avec un code à six chiffres envoyé sur le smartphone de l’utilisateur et lui permettant d’accéder à sa base de données après s’être identifié avec son code unique sur le gestionnaire de mots de passe. Il existe aujourd’hui plusieurs solutions sur le marché. L’entreprise peut donc inciter les collaborateurs à opter pour un outil, mais peut aussi leur laisser le choix, certains étant déjà adeptes de ce type d’outils dans leur vie personnelle.
Enfin, l’entreprise peut inciter les collaborateurs à encrypter leurs mots de passe ou à les déposer dans un coffre-fort électronique sécurisé.
- Partager les mots de passe
À l’heure du travail collaboratif, il est courant de voir des collègues envoyer par SMS un mot de passe pour que d’autres puissent accéder à un applicatif. Ce mot de passe perd alors toute confidentialité et est lâché dans la nature. Cette problématique d’envoi de mots de passe se pose lors des mises à jour effectuées par la DSI. Comment informer les collaborateurs de ce changement tout en préservant la sécurité informatique de l’entreprise ? « S’il n’y a pas de recette miracle, reconnait Vincent Gonnot, une des solutions peut consister à envoyer le nouveau mot de passe sur l’intranet de l’entreprise ou par mail en insistant sur l’obligation de détruire le message après lecture. »
- Changer les mots de passe
Le service informatique doit régulièrement changer les mots de passe d’accès aux applicatifs, surtout lorsque les données sont critiques. Par ailleurs, le départ de collaborateurs est également une raison de les changer. « Il est courant de voir des employés qui, bien qu’ils ne soient plus dans l’entreprise, continuent d’accéder à leurs comptes », insiste William Culbert. Il y a donc là un risque de sécurité important pour l’entreprise.
- Sensibiliser les collaborateurs
Pour inciter les collaborateurs à adopter les bons gestes dans la gestion de leurs mots de passe, il est recommandé de communiquer régulièrement sur les conséquences d’une attitude légère et de présenter quelques astuces pour que cette tâche, perçue comme rébarbative et chronophage, devienne un réflexe. Des formations peuvent accompagner la prise en main d’outils. L’essentiel est que chacun mesure les enjeux de la sécurité informatique de l’entreprise.
- Veiller à la sécurité
En charge de la sécurité des systèmes informatiques, la DSI doit définir les règles de création et de gestion des mots de passe et veiller à leur application. Ainsi elle doit contrôler la désactivation des mots de passe des anciens salariés, vérifier le degré de complexité des mots de passe utilisés par les collaborateurs, et mettre en place des systèmes automatiques de changement des mots de passe. Tous ces éléments s’inscrivent dans la politique de sécurité de l’entreprise.
