Flexible Security for Your Peace of Mind

Comment annoncer une nouvelle politique de mots de passe aux utilisateurs finaux ?


L’introduction d’une nouvelle politique de mots de passe sans plan de communication est l’assurance d’un désastre. Vous voulez à tout prix éviter une situation dans laquelle tous vos utilisateurs finaux sont invités à changer leurs mots de passe sans comprendre ce qu’ils font ni pourquoi – car cela déclencherait le chaos au sein de votre service desk ou votre équipe informatique. L’essentiel est d’aborder le déploiement avec un plan de communication clair sur la mise à jour de la politique.

Si votre politique est entièrement configurée et que vous êtes prêt à planifier le déploiement, vous êtes sur la bonne page. Mais si vous n’en êtes pas encore là, nous vous recommandons de consulter certains de nos guides sur les étapes précédentes du processus :

Ces conseils de communication proviennent de notre récent rapport : Comment déployer une politique de mots de passe dans Active Directory : étape par étape‘. En plus de l’aide à la configuration, vous recevrez des conseils de planification, des recommandations pour un déploiement fluide et les lignes directrices d’une bonne communication avec l’utilisateur final. Téléchargez le rapport complet ici.


Déploiement massif ou échelonné pour un changement de politique de mots de passe ?

En fin de compte, la décision vous revient, mais nous recommandons de segmenter votre Active Directory et de planifier un déploiement progressif. Ainsi, chaque groupe d’utilisateurs adoptera la nouvelle politique à des moments différents, évitant ainsi un afflux simultané de demandes d’assistance liées aux changements de mots de passe.

Si un groupe d’utilisateurs voit leurs mots de passe expirer bientôt, pourquoi ne pas leur appliquer en priorité la nouvelle politique ? En revanche, pour ceux qui viennent de changer leur mot de passe et disposent encore de plusieurs semaines avant expiration, il pourrait être frustrant de devoir le modifier à nouveau si rapidement. Il serait plus judicieux de leur permettre de conserver leur mot de passe actuel jusqu’à une date plus proche du déploiement.

Vous pouvez également isoler un groupe d’utilisateurs finaux à l’aide de Specops Password Auditor ou d’un autre outil. Le fait d’avoir identifié un groupe dont les mots de passe ont été compromis offre en réalité l’opportunité de tester rapidement votre déploiement. Vous pouvez utiliser ces comptes comme groupe pilote, ce qui signifie que vous traitez d’abord les utilisateurs les plus à risque, tout en obtenant également un retour d’information sur le bon déroulement du déploiement pilote.

Specops Password Auditor exécute une analyse en lecture seule de votre Active Directory et vous fournit un rapport détaillé et personnalisable sur les mots de passe expirés, les utilisateurs actuels dont les mots de passe ont été compromis et bien plus encore. Téléchargez votre outil d’audit gratuit ici.

Tableau de bord de Specops Password Auditor


Communiquer aux utilisateurs finaux l’annonce de votre nouvelle politique en matière de mots de passe

L’envoi d’un courrier électronique à vos utilisateurs finaux en amont de celui de la notification de réinitialisation facilitera son déploiement. La communication doit expliquer :

  • Pourquoi nous faisons cela
  • Les exigences de la nouvelle politique en matière de mots de passe
  • Un rappel des bonnes pratiques pour ne pas partager, écrire ou réutiliser les mots de passe
  • À qui s’adresser en cas de questions

Il est également recommandé de tester votre approche pour guider les utilisateurs finaux. Rappelez-vous : simplicité et clarté sont essentielles. Si les utilisateurs passent d’une politique exigeant des mots de passe courts et complexes (par exemple, huit caractères avec chiffres, majuscules, minuscules et un caractère spécial) à une passphrase plus longue mais plus simple, cela pourrait représenter un changement significatif par rapport à ce qu’ils connaissaient auparavant.


Modèle de courriel de communication

Voici un exemple de communication que vous pouvez adapter à vos besoins :

Cher/ Chère X,

Entre le X/X/X et le X/X/X, nous allons déployer une nouvelle politique de mots de passe au sein de toute l’organisation. Cette politique vous permettra, ainsi qu’à l’organisation, d’éviter que les mots de passe ne soient piratés ou devinés par des acteurs malveillants. Vous recevrez une notification vous demandant de créer un nouveau mot de passe Active Directory à un moment donné au cours de la période indiquée ci-dessus.

Les nouvelles exigences en matière de politique de mots de passe sont les suivantes :

  • Longueur : les nouveaux mots de passe devront comporter au moins 15 caractères
  • Complexité : les nouveaux mots de passe devront contenir au moins une lettre majuscule, un chiffre et un caractère spécial
  • Réutilisation : les mots de passe réutilisés ou seulement légèrement modifiés seront automatiquement rejetés
  • Vérification de compromission : les mots de passe compromis connus seront également automatiquement rejetés

Nous vous recommandons de créer une « passphrase », car c’est le moyen le plus simple de créer un mot de passe long, sûr et facilement mémorisable. Si vous avez besoin d’aide pour créer une passphrase, vous trouverez le guide suivant : Guide des meilleures pratiques en matière de passphrase.

Gardez également à l’esprit les bonnes pratiques en matière de mots de passe qui ont été mises en avant tout au long de votre formation à la cybersécurité. Ce qu’il ne faut pas faire :

  • Partager votre mot de passe
  • Noter votre mot de passe (à moins qu’il ne soit conservé dans un endroit sûr) 
  • Réutiliser votre mot de passe sur différents appareils, applications et sites web

Si vous avez des questions, contactez-nous à [email] pour obtenir de l’aide. 

Bien cordialement,

X


Les autres groupes d’utilisateurs auprès desquels communiquer

Il existe d’autres groupes d’utilisateurs au sein d’une organisation pour lesquels vous souhaiter peut-être adapter la communication ci-dessus. En voici quelques-uns parmi les plus importants.

  • Service desk/assistance informatique/équipes de sécurité : Ces équipes doivent être informées du moment où elles peuvent s’attendre à un volume accru de tickets et à d’éventuels problèmes liés aux mots de passe. Idéalement, le déploiement se passera sans encombre, et la communication avec les utilisateurs finaux sera efficace, même si des ajustements sont souvent nécessaires au début. Il est crucial que ces équipes maîtrisent parfaitement les nouvelles exigences de la politique. N’oubliez pas non plus que toute demande de réinitialisation de mot de passe doit être sécurisée par une vérification renforcée de l’identité (cliquez ici pour en savoir plus sur la vérification sécurisée pour le service desk).
  • L’équipe de direction/les cadres : Il est essentiel que ce groupe comprenne les motivations derrière la nouvelle politique, afin de favoriser son adhésion et son soutien au déploiement. Ses membres peuvent également jouer un rôle clé dans la communication avec les utilisateurs finaux. Partager avec eux des statistiques ou des données sur les risques de piratage et de compromission des mots de passe peut également renforcer leur engagement.
  • Les comptes de service : Ces comptes gèrent souvent des services et systèmes essentiels, et leurs mots de passe n’ont généralement pas de date d’expiration. Ils ne sont pas saisis manuellement de façon régulière, mais plutôt copiés/collés depuis un gestionnaire de mots de passe. Il est recommandé de définir une complexité et une longueur de mot de passe très élevées pour ces comptes, par exemple un minimum de 64 caractères. Vérifiez également s’ils sont vulnérables à des attaques de type déni de service via une mauvaise utilisation de votre politique de verrouillage des comptes.
  • Les administrateurs : Étant donné que ces utilisateurs ont un accès privilégié au réseau et/ou à des données sensibles, leurs comptes doivent bénéficier d’une protection renforcée par rapport aux comptes standards. Il est conseillé d’imposer des mots de passe ou des passphrases plus longs, ainsi que de maintenir une politique d’expiration des mots de passe, même en l’absence de compromission. Une communication supplémentaire peut être nécessaire pour clarifier ces exigences accrues.
  • Les employés en congé : Lors de la planification du déploiement, il est important de tenir compte des employés en congé prolongé, qui pourraient ne pas avoir accès aux systèmes pour modifier leurs mots de passe. Il est recommandé de consulter leurs responsables et les RH pour évaluer leurs besoins spécifiques, et de prévoir des mesures d’urgence avec le service d’assistance ou de fournir des instructions détaillées afin de les accompagner dans ce processus.

Les recommandations de cet article vous ont-elles été utiles ? Lisez le rapport complet «Comment déployer une politique de mots de passe dans Active Directory : étape par étape» ici.


Comment rendre le déploiement d’une politique de mot de passe plus user friendly ?

En complément d’un plan de communication solide, vous pouvez intégrer des éléments dans votre politique de mots de passe pour faciliter la vie des utilisateurs finaux. Des solutions comme l’authentification unique (SSO), les gestionnaires de mots de passe, ou l’utilisation de dispositifs d’authentification tels que les YubiKeys peuvent grandement améliorer leur expérience. Toutefois, il est essentiel de maintenir un juste équilibre entre facilité d’utilisation et sécurité. L’une des meilleures façons de soutenir les utilisateurs est de leur fournir un retour d’information en temps réel sur leurs actions.

Une meilleure expérience utilisateur signifie moins de tickets auprès du service d’assistance. Specops Password Policy propose un retour d’information interactif qui s’adapte à la saisie de l’utilisateur, l’aidant ainsi à créer des mots de passe forts tout en restant faciles à mémoriser. Comme illustré ci-dessous, le client Specops Authentication fournit un feedback en temps réel sur l’écran de réinitialisation du mot de passe, indiquant aux utilisateurs ce qu’ils doivent faire pour se conformer à la nouvelle politique (par exemple, une passphrase d’au moins 15 caractères). Il est également possible d’adopter un vieillissement basé sur la longueur, « récompensant » ainsi les utilisateurs en leur accordant un délai de réinitialisation plus long s’ils choisissent un mot de passe plus long.

Une expérience utilisateur simple et facile à comprendre évite la frustration et la fatigue liées aux mots de passe, ce qui signifie moins d’appels et d’e-mails au service d’assistance. Contactez-nous pour essayer Specops Password Policy.

Écran de réinitialisation du mot de passe pour l’utilisateur final de Specops Password Policy

(Dernière mise à jour le 26/11/2024)

Revenir sur le blog

© 2025 Specops Software. All rights reserved.

Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.

Politique de confidentialité

OK