Flexible Security for Your Peace of Mind

Exigences de la FFIEC en matière de mots de passe

(Dernière mise à jour le 05/11/2021)

Les cyberattaques visent souvent le secteur financier en raison de la nature des informations qu’il traite. L’une des organisations qui fournissent des conseils et des normes de cybersécurité aux institutions financières est le Federal Financial Institutions Examination Council (FFIEC). Bien que le FFIEC ne propose pas de caractéristiques spécifiques pour les mots de passe dans le cadre de ses recommandations, nous pouvons utiliser les directives pour établir un principe de base pour les mots de passe dans l’environnement. 

IDans son rapport Joint Statement – Cyber Attacks Compromising Credentials, la FFIEC détaille l’importance de se prémunir contre le vol d’informations d’identification et les risques encourus. Le rapport recommande les contrôles suivants pour les systèmes critiques : 

  • Crypter les données sensibles des systèmes internes et externes en transit et, le cas échéant, au repos.
  • Mettre en œuvre une politique de mot de passe adéquate.
  • Revoir les processus opérationnels liés à la récupération des mots de passe.
  • Testez régulièrement les contrôles de sécurité, tels que les pare-feu d’application web.
  • Mettre en place des procédures pour la destruction et l’élimination des supports contenant des informations sensibles, en fonction du risque lié à la sensibilité des informations et du type de support utilisé pour stocker les informations.
  • Filtrez l’accès à Internet en établissant une liste blanche des sites Web. Le cas échéant, limiter l’accès des employés aux seuls sites Web nécessaires à l’exercice de leurs fonctions.
  • Effectuez des sauvegardes incrémentielles et complètes des fichiers importants et stockez les données sauvegardées hors ligne.

Les conclusions du rapport soulignant le danger des comptes compromis et l’importance de la mise en œuvre d’une politique de mot de passe et d’un processus de récupération de mot de passe adéquats, certains domaines de la sécurité des mots de passe sont clairement mis en évidence. 

Répondre aux exigences de la FFIEC en matière de mots de passe 

Pour résumer les trois domaines critiques liés aux directives de la FFIEC, nous pouvons affirmer ce qui suit :

  • Se protéger contre les informations d’identification compromises
  • Mettre en place une politique de mot de passe forte
  • Mettre en place des mécanismes sécurisés pour récupérer ou réinitialiser les mots de passe.

Protection contre les informations d’identification compromises

Outre les recommandations écrites de la FFIEC, les conseils relatifs à la sécurité et à la protection des mots de passe n’ont cessé d’évoluer au cours des dernières années. Des experts du secteur et des organisations de cybersécurité ont publié des directives actualisées, soulignant que les politiques traditionnelles en matière de mots de passe ne sont plus suffisantes pour sécuriser les mots de passe. Microsoft et le NIST recommandent tous deux de mettre en place des listes de mots de passe basées sur des dictionnaires (article en anglais), ainsi qu’une protection contre les intrusions. 

Mettre en œuvre une politique de mots de passe forts

La mise en œuvre globale d’une politique de mots de passe forts est toujours nécessaire et fortement recommandée. Les entreprises doivent prendre note des recommandations du cadre de cybersécurité de l’industrie concernant les politiques de mots de passe sûrs et solides dans leur environnement, y compris les normes de mot de passe du NIST (article en anglais). N’oubliez pas que la recommandation relative aux politiques en matière de mots de passe forts doit inclure une protection basée sur le dictionnaire et une protection en cas de violation du mot de passe.

Processus sécurisé de récupération et de réinitialisation des mots de passe

Lorsqu’un utilisateur final appelle le service d’assistance et demande une réinitialisation de son mot de passe, comment les techniciens du service d’assistance peuvent-ils vérifier en toute sécurité qu’il est bien celui qu’il prétend être ? Il s’agit d’une zone de risque révélatrice que de nombreuses entreprises n’ont pas prise en compte. Des processus et des solutions techniques doivent être mis en place pour vérifier l’identité de manière sécurisée en utilisant une approche multifactorielle afin de garantir que les informations d’identification ne tombent pas entre de mauvaises mains.

Répondre aux recommandations de la FFIEC en matière de mots de passe avec Specops

Specops Software aide les entreprises à sécuriser les politiques de mots de passe dans leur environnement grâce à des dictionnaires personnalisés, une protection contre les violations de mots de passe et des solutions de réinitialisation sécurisée des mots de passe.

Specops Password Policy 

Specops Password Policy permet aux entreprises de mettre en œuvre des politiques de mot de passe basées sur des dictionnaires et une protection contre les violations de mot de passe, des capacités qui ne sont pas facilement mises en œuvre avec la fonctionnalité native d’Active Directory. Grâce à Specops Password Policy, vous pouvez appliquer une protection contre les mots de passe compromis dans votre environnement Active Directory, ce qui oblige les utilisateurs dont les mots de passe ont été divulgués à changer leur mot de passe lors de la prochaine connexion. 

Specops Breached Password protection

Specops uReset

Grâce à Specops uReset, les entreprises peuvent facilement mettre en œuvre des réinitialisations de mot de passe en libre-service (SSPR) dans leur environnement Active Directory. La solution minimise les appels au service d’assistance en vérifiant les utilisateurs finaux avec une authentification multifactorielle, avant de leur permettre de réinitialiser leur mot de passe en toute sécurité.

Voici un exemple d’invite que l’utilisateur final verra lors de la réinitialisation de son mot de passe. L’utilisateur doit vérifier son identité au moyen de plusieurs systèmes d’authentification. Les utilisateurs ne peuvent réinitialiser leur mot de passe que lorsqu’ils ont satisfait au nombre de facteurs d’authentification requis.<w

Authentification Specops uReset identifiant un utilisateur final pour la réinitialisation du mot de passe en libre-service (SSPR)
Réinitialisation de mots de passe utilisateur
Simplifiez la vie de votre service d'assistance technique

Dernières réflexions

Les cyberattaques sont en constante augmentation dans tous les secteurs d’activité et toutes les industries. Cependant, les services financiers ont toujours été une cible privilégiée des attaquants. Les directives de la FFIEC relatives aux politiques de mot de passe recommandent des politiques de mot de passe fortes, une protection contre les comptes compromis et des procédures sécurisées de récupération et de réinitialisation des mots de passe. Le logiciel Specops permet aux entreprises de mettre en place un cadre solide de protections des mots de passe pour se protéger contre la compromission des comptes.

Revenir sur le blog