Politique de mots de passe
La politique de mots de passe
Mon Cyber Guide
Objectif
Les utilisateurs doivent utiliser un outil de vérification de mot de passe pour s'assurer que le mot de passe respecte les exigences minimales en termes de longueur et de complexité.
Réinitialisation et récupération du mot de passe
En cas d'oubli de mot de passe, les utilisateurs devront passer par une procédure de récupération via email de secours ou un questionnaire de sécurité validé.Toute tentative de réinitialisation du mot de passe devra être validée par un code temporaire envoyé par SMS ou email.
L’utilisation de gestionnaires de mots de passe
Les utilisateurs sont encouragés à utiliser des gestionnaires de mots de passe pour stocker de manière sécurisée leurs identifiants et mots de passe.
Les comportements prohibés
Il est strictement interdit de :
- Partager son mot de passe avec d’autres utilisateurs, même si ceux-ci sont autorisés.
- Écrire ou stocker des mots de passe de manière non sécurisée (ex : sur des post-it, dans des fichiers non cryptés).
Authentification multifactorielle (MFA)
L’authentification multifactorielle (MFA), ou authentification à plusieurs facteurs, est un processus de sécurité qui exige de l'utilisateur qu'il fournisse plusieurs preuves (ou "facteurs") pour prouver son identité avant de pouvoir accéder à un système, une application ou un service en ligne. Il peut s’agir par exemple d’un code reçu par SMS, de l’empreinte ou la reconnaissance faciale, d’un code temporaire… Plusieurs applications comme Google Authentificator ou Microsoft Authentificator permettent d’avoir des codes temporaires.
L’authentification multifactorielle doit être activée pour toutes les applications et services supportant cette fonction, afin de renforcer la sécurité d’accès.
Sanctions
Le non-respect de cette politique pourra entraîner des sanctions disciplinaires, pouvant aller jusqu'à la suspension de l'accès aux systèmes informatiques de l'entreprise.
Responsabilités des utilisateurs
La politique est revue annuellement pour s’assurer qu’elle reste adaptée aux besoins de sécurité actuels et aux évolutions des technologies.
🛠️ Outils Mon Cyber Guide 🛠️
Afin de renforcer la sécurité de vos mots de passe, Mon Cyber Guide met à votre disposition plusieurs gestionnaires de mot de passe open source :
- Keepass Password Safe : c’est un gestionnaire de mot de passe publié sous licence libre GPL-2.0-or-later.
- Vaultwarden : c’est un gestionnaire de mot de passe gratuit, OpenSource et SelfHosted basé sur Bitwarden. Il inclut pas mal de fonctionnalités intéressantes tels que : Une application pour Windows, Mac et Linux. Également une application iOS et Android.
- Passbolt : c’est un gestionnaire de mots de passe orienté plutôt “équipe” qui permet à ses différents membres de stocker et de partager des secrets de manière sécurisée.
L'objectif de cette politique est d’assurer la sécurité des systèmes informatiques et des informations sensibles de l’entreprise ou la collectivités en garantissant l’utilisation de mots de passe forts et sécurisés. Cela permet de réduire les risques de cyberattaques et d'accès non autorisés.
Exigences générales pour les mots de passe
Exigences générales pour les mots de passe
- Longueur minimale : Le mot de passe doit comporter au minimum 8 caractères. Cependant, cette exigence de 8 caractères n’est pas assez solide aujourd’hui avec l’arrivée de l’IA, il vaut mieux utiliser 12 à 16 caractères.
- Complexité : Le mot de passe doit contenir au moins :
- Une majuscule (A-Z),
- Une minuscule (a-z),
- Un chiffre (0-9),
- Un caractère spécial (par exemple : !, @, #, $, %, &, *).
- Évitez les mots simples ou évidents : Les mots de passe ne doivent pas inclure de données personnelles facilement accessibles, telles que le nom, la date de naissance, ou des suites logiques (ex : "123456", "password", "qwerty").
- Changement périodique : Les mots de passe doivent être modifiés tous les 90 jours.
- Historique des mots de passe : Un utilisateur ne pourra pas réutiliser ses cinq derniers mots de passe.
Les utilisateurs doivent utiliser un outil de vérification de mot de passe pour s'assurer que le mot de passe respecte les exigences minimales en termes de longueur et de complexité.
Réinitialisation et récupération du mot de passe
En cas d'oubli de mot de passe, les utilisateurs devront passer par une procédure de récupération via email de secours ou un questionnaire de sécurité validé.Toute tentative de réinitialisation du mot de passe devra être validée par un code temporaire envoyé par SMS ou email.
L’utilisation de gestionnaires de mots de passe
Les utilisateurs sont encouragés à utiliser des gestionnaires de mots de passe pour stocker de manière sécurisée leurs identifiants et mots de passe.
Les comportements prohibés
Il est strictement interdit de :
- Partager son mot de passe avec d’autres utilisateurs, même si ceux-ci sont autorisés.
- Écrire ou stocker des mots de passe de manière non sécurisée (ex : sur des post-it, dans des fichiers non cryptés).
Authentification multifactorielle (MFA)
L’authentification multifactorielle (MFA), ou authentification à plusieurs facteurs, est un processus de sécurité qui exige de l'utilisateur qu'il fournisse plusieurs preuves (ou "facteurs") pour prouver son identité avant de pouvoir accéder à un système, une application ou un service en ligne. Il peut s’agir par exemple d’un code reçu par SMS, de l’empreinte ou la reconnaissance faciale, d’un code temporaire… Plusieurs applications comme Google Authentificator ou Microsoft Authentificator permettent d’avoir des codes temporaires.
L’authentification multifactorielle doit être activée pour toutes les applications et services supportant cette fonction, afin de renforcer la sécurité d’accès.
Sanctions
Le non-respect de cette politique pourra entraîner des sanctions disciplinaires, pouvant aller jusqu'à la suspension de l'accès aux systèmes informatiques de l'entreprise.
Responsabilités des utilisateurs
- Chaque utilisateur est responsable de la confidentialité et de la sécurité de ses mots de passe.
- En cas de suspicion de compromission d’un mot de passe, l’utilisateur doit immédiatement signaler l’incident à l’équipe de sécurité informatique pour une réinitialisation rapide.
La politique est revue annuellement pour s’assurer qu’elle reste adaptée aux besoins de sécurité actuels et aux évolutions des technologies.
🛠️ Outils Mon Cyber Guide 🛠️
Afin de renforcer la sécurité de vos mots de passe, Mon Cyber Guide met à votre disposition plusieurs gestionnaires de mot de passe open source :
- Keepass Password Safe : c’est un gestionnaire de mot de passe publié sous licence libre GPL-2.0-or-later.
- Vaultwarden : c’est un gestionnaire de mot de passe gratuit, OpenSource et SelfHosted basé sur Bitwarden. Il inclut pas mal de fonctionnalités intéressantes tels que : Une application pour Windows, Mac et Linux. Également une application iOS et Android.
- Passbolt : c’est un gestionnaire de mots de passe orienté plutôt “équipe” qui permet à ses différents membres de stocker et de partager des secrets de manière sécurisée.
