Les bonnes pratiques pour votre politique de mots de passe

Je pense que nous pouvons tous convenir que les règles à mettre en place sont l’un des aspects les plus ennuyeux d’un programme de sécurité. Elles provoquent souvent un faux sentiment de sécurité et tendent à faciliter la complaisance. L’hypothèse selon laquelle si les règles en polace ont été bien documentées c’est qu’elles doivent être efficaces est un état d’esprit communément courant chez les cadres supérieurs. Ils voient les équipes informatiques et de sécurité dépenser temps, argent et efforts sans compter. Mais cela ne garantit pas toujours une sécurité positive et la résilience du réseau. Les règles n’ont que très peu de poids dans le cadre plus large d’un programme de sécurité de l’information si elles ne sont pas correctement gérées et appliquées. Ceci s’applique aussi bien aux mots de passe qu’à tous les domaines de la sécurité. Il convient donc de déterminer si votre politique actuelle de mots de passe est adéquate et contribue positivement au bon fonctionnement de l’entreprise.

De nombreuses entreprises n’ont pas encore mis en place une politique de mots de passe bien pensée. Je constate souvent dans le cadre de mon travail des situations dans lesquelles la politique de mots de passe annonce quelque chose et le réseau fait tout autrement. C’est précisément le genre de chemin que votre entreprise ne doit pas suivre. 

Posez-vous les questions suivantes lors de la création ou la mise à jour de votre politique de mots de passe : 

• Qu’essayons-nous précisément d’accomplir avec cette politique ? Il s’agit d’envisager la mission globale, les objectifs et la philosophie de l’organisation en matière de gestion des risques liés à l’information et les transactions commerciales dans votre secteur. 
• Quels risques avons-nous identifiés concernant les mots de passe et quelles exigences minimales de mots de passe devons-nous respecter ?   Ne suivez pas aveuglément les directives sur les mots de passe, telles que les directives d’identité numérique du NIST, les stratégies de mot de passe prédéfinies basées sur les GPO ou les stratégies de mot de passe détaillées de Microsoft. Au lieu de cela, découvrez ce qui est vraiment nécessaire en fonction de vos besoins propres. Vous constaterez probablement que vous devez affiner vos politiques pour faciliter la création de mots de passe sécurisés, la prise en charge des phrases secrètes pour une complexité granulaire plus importante et les capacités de gestion améliorées concernant l’expiration des mots de passe et les rapports en continu.  
• Que faisons-nous pour nous assurer que notre politique et nos normes de mots de passe sont appliquées sur l’ensemble de notre réseau ?  Les documents papiers sans mise en application ne resteront que des suggestions. Si vous documentez la politique mise en place, les gens la retiendront mieux. Il vous faudra veillez à bien mettre en place ce que vous annoncez. Autrement, vos règles pourraient finir par se retourner contre vous, créant plus de problèmes (d’obligations) qu’elles n’en résolvent. 

En vous penchant sur les points ci-dessus, vous devriez éviter de créer des règles de mots de passe arbitraires sans comprendre pleinement les risques de sécurité liés à l’authentification. Pensez à vos propres standards internes qui sont à prendre en compte pour mettre en place des mots de passe raisonnables. Tenez également compte de ce qui a été engagé en termes de contrats avec les clients et les partenaires commerciaux, de lois et de réglementations, etc. Assurez-vous que tout le vocabulaire interne lié à la politique de mots de passe qui pourrait se trouver dans le manuel de l’employé ou dans d’autres documents commerciaux, coïncide bien avec votre politique de mot de passe formelle. 

Votre politique de mots de passe doit être expliquée dans un document unique et à part entière plutôt qu’intégrée dans un document général sur la sécurité informatique ou sur les usages de l’entreprise. Il doit énoncer clairement et dans un langage simple, son objectif et sa portée ainsi que les rôles et responsabilités spécifiques de chacun. La présentation de politique actuelle décrira les détails techniques sur les exigences de mots de passe impliquant la longueur, la complexité, etc. Vous voudrez être clair sur les systèmes, les applications et les appareils pour lesquels la politique s’applique ou ne s’applique pas (y compris tout système, service ou exception utilisateur). Enfin, vous devrez également prévoir des explications sur les procédures spécifiques et la manière dont la politique est mise en œuvre et appliquée.  

Les politiques de sécurité consistent à définir des attentes (de la part des utilisateurs). On peut mesurer la solidité d’une politique de mots de passe lorsque celle-ci indique clairement : voici comment nous procédons ici. Il est fréquent d’oublier de préciser comment la conformité sera mesurée, quelles seront les sanctions en cas de violation et l’examen/l’évaluation qui en découlerait. Assurez-vous que vous abordez chacun de ces point et que votre comité de sécurité et vos utilisateurs sont au courant de ce qui est attendu de leur part.  

Soyez vigilant avec votre politique de mots de passe – avec toute politique de sécurité d’ailleurs – car elle décrit ce qui est attendu et, probablement ce qui a déjà été fait. Tout le monde peut observer si vous dites une chose sans y donner suite ou que vous faites autre chose, et ils ne prendront pas très au sérieux votre politique de mot de passe ni votre programme de sécurité globale. La formule du succès d’un mot de passe est simple : 1) faites un solide état des lieux 2) appréhendez les risques et 3) prenez des mesures raisonnables pour y remédier. Rien de plus, rien de moins.