Flexible Security for Your Peace of Mind
Passwort Tools

La politique de mots de passe Cyber ​​Essentials

Les mots de passe jouent un rôle important dans le schéma Cyber ​​Essentials car ils sont un moyen courant d’authentifier les vrais utilisateurs, tout en empêchant tout accès non autorisé. Deux des cinq contrôles du certificat Cyber ​​​​Essentials du gouvernement britannique traitent directement des exigences de sécurité sur les mots de passe. Les contrôles de sécurité sont conçus pour se défendre contre les cyberattaques courantes, telles que le phishing et le fait de deviner les mots de passe (manuellement ou de façon automatisée).

5 contrôles clés de Cyber ​​​​Essentials

Selon le gouvernement britannique, les contrôles de sécurité Cyber ​​Essentials permettent d’empêcher environ 80 % des cyberattaques. Cinq contrôles techniques sont inclus dans le programme :

  • Pare-feu ;
  • Configuration sécurisée ;
  • Contrôle d’accès utilisateur ;
  • Protection contre les logiciels malveillants ;
  • Gestion des correctifs.

Les conseils sur la stratégie de mot de passe Cyber ​​Essentials se trouvent dans Configuration sécurisée et Contrôle d’accès utilisateur .

Qu’est-ce que la configuration sécurisée ?

L’objectif de la configuration sécurisée est de s’assurer que les ordinateurs et les périphériques réseau sont configurés de façon à réduire le niveau de vulnérabilités inhérentes. Les appareils ne doivent fournir que le service requis pour remplir leur rôle. Outre les exigences relatives aux ordinateurs et aux périphériques réseau, le contrôle de configuration sécurisée détaille l’authentification par mot de passe. En n’ayant plus recours à la complexité des mots de passe, les exigences déplacent le fardeau technique des mots de passe sur les systèmes – au lieu de compter sur les utilisateurs pour suivre les bonnes pratiques. Pour obtenir le certificat, un candidat doit remplir les conditions suivantes (d’après le site Web Cyber ​​​​Essentials ):

  • Protégez-vous contre la devinette de mot de passe par force brute, en utilisant au moins l’une des méthodes suivantes :
    • Verrouiller les comptes après 10 tentatives infructueuses de connexion
    • Limiter le nombre de suppositions autorisées dans une période de temps donnée – pas plus  de 10 suppositions en 5 minutes
  • Définir une longueur minimale de mot de passe d’au moins 8 caractères
  • Ne pas définir une longueur maximale de mot de passe
  • Changer rapidement les mots de passe lorsque le demandeur sait ou soupçonne qu’ils ont été compromis
  • Opter pour une politique de mots de passe qui indique aux utilisateurs :
    • Comment éviter de choisir des mots de passe évidents (ceux basés sur des informations faciles à découvrir comme le nom d’un animal de compagnie par exemple)
    • Qu’il ne faut pas choisir de mots de passe communs – cela pourrait être mis en œuvre par des moyens techniques, en utilisant une liste de mots de passe refusés
    • De ne pas utiliser le même mot de passe ailleurs, au travail ou à la maison
    • Où et comment ils peuvent enregistrer les mots de passe pour les stocker et les récupérer en toute sécurité – par exemple, dans une enveloppe scellée dans une armoire sécurisée
    • S’ils peuvent utiliser un logiciel de gestion de mot de passe – si oui, lequel et comment
    • Quels mots de passe ils doivent vraiment mémoriser et ne pas enregistrer n’importe où.

L’administrateur n’est pas tenu :

  • D’appliquer l’expiration régulière du mot de passe pour tous les comptes (nous le déconseillons en fait – pour plus d’informations, voir Les problèmes liés à l’expiration forcée régulière du mot de passe régulier)
  • D’appliquer les exigences de complexité des mots de passe.

Qu’est-ce que le contrôle d’accès utilisateur ?

Le contrôle d’accès des utilisateurs garantit que les comptes d’utilisateurs sont attribués uniquement aux personnes autorisées. L’accès ne doit être accordé qu’aux applications, ordinateurs et réseaux dont l’utilisateur a réellement besoin pour remplir ses missions. Vous pouvez diminuer le risque de vol ou d’endommagement des informations en n’accordant que des accès strictement nécessaires. Ce contrôle technique définit les exigences pour les comptes privilégiés et les processus de limitation d’accès. Les exigences incluent les éléments suivants (à partir du site web Cyber ​​​​Essentials):

  • Avoir un processus de création et d’approbation de compte utilisateur
  • Authentifier les utilisateurs avant d’accorder l’accès aux applications ou aux appareils, à l’aide d’informations d’identification uniques (voir Authentification par mot de passe)
  • Supprimer ou désactiver les comptes d’utilisateurs lorsqu’ils ne sont plus nécessaires (lorsqu’un utilisateur quitte l’organisation ou après une période définie d’inactivité du compte par exemple)
  • Mettre en œuvre l’authentification à deux facteurs lorsque cela est possible
  • Utiliser des comptes administrateurs pour effectuer des activités administratives uniquement (pas d’envoi d’e-mails, de navigation sur le Web ou d’autres activités utilisateur standard susceptibles d’exposer les privilèges administrateurs à des risques inutiles)
  • Supprimer ou désactiver les privilèges d’accès spéciaux dès lors qu’ils ne sont plus nécessaires (lorsqu’un membre du personnel change de poste par exemple).

Organismes de certification et d’accréditation Cyber ​​Essentials

L’objectif global du programme Cyber ​​​​Essentials est d’aider les organisations à se prémunir contre les cybermenaces courantes et à montrer leur engagement envers la cybersécurité. Il existe cinq organismes d’accréditation qui peuvent aider à l’évaluation et à la certification. Les organismes d’accréditation suivants sont répertoriés sur le site Web du NCSC : APMG, CREST, IASME, IRM et QG Management Standards. La certification Cyber ​​​​Essential est un sceau d’approbation qui atteste qu’une organisation a mis en place les mesures de cybersécurité les plus cruciales.

Pour plus d’informations sur la certification Cyber ​​Essentials, consultez la FAQ sur le site web du NCSC. N’oubliez pas que la certification Cyber ​​Essentials doit être renouvelée chaque année pour rester dans le registre officiel des entreprises certifiées.

Exigences de la politique de mot de passe Cyber ​​Essentials

Si vous prévoyez une accréditation Cyber ​​Essentials, vous devrez vous assurer que votre politique de mots de passe est à la hauteur du défi. Soulagez vos utilisateurs de la question de la gestion du mot de passe et reposez-vous plutôt sur les systèmes techniques. Par exemple, vous pouvez utiliser une liste de mots de passe refusés pour arrêter les fuites de mots de passe ; verrouiller les comptes après des tentatives de connexion répétées et arrêter les expirations périodiques des mots de passe. Vous devez également limiter le nombre d’utilisateurs disposant d’un accès privilégié et n’utiliser ces comptes que pour les tâches qui leur sont confiées.

Outil gratuit d’audit de mot de passe pour détecter les mots de passe piratés

Specops Password Auditor est un outil gratuit qui peut traiter les menaces liées aux mots de passe dans Active Directory. Les services informatiques ont recours à ce logiciel pour identifier les comptes de leur organisation qui utilisent des mots de passe compromis. Cet auditeur indique également comment les paramètres de mots de passe de votre organisation se conforment aux normes de l’industrie. 

(Dernière mise à jour le 07/04/2022)

Revenir sur le blog