LMi-MAG17 avril - Flipbook - Page 62
Proposé par Specops
Sécurité des mots de passe
Sécurité des mots de passe en 2023
2022 a été une année mouvementée en termes de cybersécurité en France.
Bien que nous ne disposions pas des chiffres officiels des cybermenaces et des attaques
que le pays a connues cette année, nous avons tous entendu parler de cyberattaques
importantes contre de grandes entreprises françaises, des hôpitaux et des collectivités
locales. Les responsables informatiques subissent une pression énorme afin de protéger
leurs systèmes informatiques contre les pirates. Et il peut être difficile de déterminer
par où commencer, en particulier, pour les PME aux ressources parfois limitées.
Alors que les entreprises doivent considérer la sécurité de leur
infrastructure informatique de manière globale, beaucoup doivent se
concentrer en priorité sur le maillon le plus faible : les mots de passe
des utilisateurs finaux. Beaucoup ont conscience que les mots de passe
constituent une menace réelle pour leur sécurité informatique, mais la
plupart doivent être tenus informés de la vulnérabilité des mots de passe
de leurs utilisateurs finaux.
Alors faisons de 2023 l'année de la résolution des problèmes de sécurité
de mots de passe ! Avec les recommandations actualisées de la CNIL,
les responsables informatiques doivent prendre en compte 4 domaines
lors de l'examen de la sécurité des mots de passe de leur entreprise.
Concentrez-vous sur l'entropie plutôt
que sur la longueur
Auparavant, exiger un mot de passe long était considéré comme une
valeur sûre. Cependant, des études montrent que la longueur seule
est insuffisante pour protéger les entreprises des cyberattaques. Ainsi,
lorsque la CNIL met à jour ses recommandations sur les mots de passe,
elle suggère aux entreprises de viser une entropie de 80 bits ou plus. La
CNIL a proposé 3 exemples pour atteindre une entropie de 80 bits, dont
l'un incluait l'utilisation de phrases de passe. L'introduction de phrases
de passe peut être intéressant : faciles à retenir pour les utilisateurs, elles
peuvent répondre à l'exigence d'entropie sans difficulté.
Bloquer les mots de passe courants
80 % des fuites de données proviennent de mots de passe compromis.
Il est impératif de les bloquer. La CNIL recommande donc aux entreprises
de bloquer systématiquement les mots et expressions couramment
utilisés. Cependant, plutôt que de simplement bloquer les mots
couramment utilisés, il est essentiel de trouver des moyens d'empêcher
l'utilisation de mots de passe compromis, afin que les utilisateurs ne
créent pas de mots de passe déjà connus des pirates.
Supprimer - ou non - l'expiration du mot de passe telle est la question
La CNIL a revu sa position concernant l'expiration du mot de passe
et a recommandé aux entreprises de cesser d'exiger des utilisateurs
finaux qu'ils renouvellent régulièrement les mots de passe. La
raison ? La commission estime que cela n'atteint pas l’objectif de
sécurisation des mots de passe. Cependant, il s'agit d'une décision
dangereuse... Les mots de passe des utilisateurs peuvent avoir été
divulgués à un moment donné à leur insu. S'il n'y a pas d'exigences
de renouvellement de mot de passe, des mots de passe faibles
ou compromis pourraient mettre les entreprises en danger. C'est
donc un choix que les entreprises doivent considérer attentivement.
Notez également que la commission recommande de conserver
les renouvellements de mot de passe réguliers pour les comptes
administrateur ou privilégiés.
Mieux guider les utilisateurs finaux
dans le choix d'un mot de passe fort
À mesure que les exigences en matière de mot de passe deviennent
plus complexes, l'un des défis pour les utilisateurs finaux est de
comprendre ces exigences lors du renouvellement ou de la création de
nouveaux mots de passe. Malheureusement, Microsoft ne fournit pas