Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Politiques et directives relatives aux mots de passe
L’utilisation d’une politique de mots de passe est un élément important pour améliorer la sécurité des mots de passe de votre organisation. Le nombre de cyberattaques continue d’exploser dans le monde entier avec une grande variété de techniques utilisées pour compromettre les mots de passe des entreprises. Pour se défendre contre ces attaques, les entreprises ont recours à des politiques de mots de passe de garantir l’utilisation de mots de passe sécurisés et ainsi protéger les données de l’entreprise.
Qu’est-ce qu’une politique de mots de passe ?
Une politique de mot de passe est un ensemble d’exigences concernant les mots de passe au sein d’une organisation. Cela peut inclure des exigences liées à la longueur et à la complexité du mot de passe, à la période d’expiration, à la réutilisation du mot de passe et l’interdiction des mots de passe compromis connus.
Quelle est la meilleure politique de mots de passe ?
Après avoir recherché les différentes politiques de mot de passe qui pourraient s’appliquer à votre organisation, vous devez décider quelles exigences doivent être mises en place afin de respecter la conformité, assurer la meilleure sécurité et garantir son adoption par l’utilisateur final. Il y a actuellement un débat sur les inconvénients de l’expiration des mots de passe et des exigences de complexité. En effet, les utilisateurs finaux ont tendance à toujours réutiliser les mêmes mots de passe lorsqu’ils sont confrontés à ces exigences. Le forum professionnel de l’informatique Spiceworks, sur lequel les professionnels de l’informatique fournissent des conseils sur les politiques de mots de passe est une mine de ressources utiles.
Une stratégie de mots de passe n’est pas un paramètre réseau défini une fois pour toutes et oublié. Il convient d’établir un calendrier pour réajuster la politique à intervalles réguliers après avoir s’être renseigné sur les recommandations les plus récentes des experts de l’industrie et les normes de conformité.
Voici une liste de bonnes pratiques et directives en matière de politiques de mot de passe.
Types de stratégie de mots de passe
- Politique de mots de passe Office 365 – Les utilisateurs du seul cloud sur Office 365 sont soumis à la politique de mot de passe intégrée à Azure AD. Microsoft fournit des conseils et des exigences.
- Politique de mots de passe Active Directory – Une politique de mot de passe Active Directory est un ensemble de règles qui définit les mots de passe autorisés dans une organisation et leur durée de validité. La stratégie est appliquée à tous les utilisateurs dans le cadre du GPO de la politique de domaine par défaut ou en appliquant une stratégie de mot de passe affinée (FGPP) aux groupes de sécurité.
- Politique de mots de passe NIST – Les normes et exigences de mot de passe les plus récentes du National Institute of Standards and Technology (NIST).
- Politique de mot de passe affinée – Dans Windows 2008, Microsoft a introduit la fonctionnalité Politiques de mot de passe affinées (FGPP), permettant aux administrateurs de configurer différentes politiques de mot de passe basées sur les groupes de sécurité Active Directory.
Paramètres de stratégie de mot de passe
- Politique d’expiration du mot de passe – Les bonnes pratiques pour définir la politique d’âge minimum et maximum du mot de passe.
- Comment appliquer la politique de mot de passe – Assurez-vous que la politique est appliquée à l’aide de ces paramètres de stratégie de groupe.
- Bonnes pratiques en matière de longueur de mot de passe – Longueur minimale du mot de passe pour créer des mots de passe forts.
Industrie
- Agence nationale de la sécurité des systèmes d’information (ANSSI) – Autorité nationale française chargée d’accompagner et de sécuriser le développement du numérique.
- National Cyber Security Center (NCSC) – Organisation du gouvernement du Royaume-Uni qui fournit conseils et assistance aux secteurs public et privé sur la manière d’éviter les menaces informatiques.
- Conformité PCI Royaume-Uni – Recommandations de sécurité de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) requises pour toute entreprise qui accepte, stocke, transmet ou traite les données des titulaires de carte.
- Politique de mot de passe HIPPA – La loi HIPAA (Health Insurance Portability and Accountability Act) est conçue pour protéger les données contre les accès non autorisés. Découvrez le rôle des mots de passe dans la conformité HIPAA.
- Politique de mot de passe HITRUST CSF – Formé en 2007 pour combler le vide des exigences de l’HIPAA, le Health Information Trust offre un cadre qui fournit un moyen de se conformer aux normes telles que la série ISO/IEC 27000 et l’HIPAA.
- Division des services d’information sur la justice pénale (CJIS) – La politique de sécurité du CJIS intègre les directives présidentielles et du FBI, les lois fédérales et les décisions du Conseil consultatif de la communauté de la justice pénale, ainsi que les conseils du National Institute of Standards and Technology (NIST).
- Certification du modèle de maturité de la cybersécurité (CMMC) – Le CMMC est en grande partie un regroupement de plusieurs exigences émanant de différents organismes de l’industrie dans un ensemble cohérent de directives, à l’usage des sous-traitants du DoD.
- Le règlement général sur la protection des données (RGPD)/ICO – RGPD est un règlement du droit de l’UE sur la protection des données et la vie privée dans l’Union européenne et l’Espace économique européen. La RGPD ne dit rien de spécifique sur les mots de passe ; ICO, l’organisme public britannique responsable de l’application de la RGPD, fournit des conseils non contraignants sur les mots de passe.
Autres ressources
- Bonnes pratiques en matière de politique de mots de passe – Liste de points à prendre en compte lors de la création ou de la mise à jour de votre politique de mots de passe.
- Rapport de conformité de la politique de mots de passe – Quiconque souhaite évaluer dans quelle mesure ses politiques de mot de passe existantes sont conformes à différentes normes peut bénéficier d’une analyse gratuite avec Specops Password Auditor.
Prenez au sérieux la sécurité des mots de passe avec Specops Password Policy.
Specops Password Policy est une solution riche en fonctionnalités avec notamment des contrôles robustes sur les paramètres de mots de passe Active Directory. La fonction Specops Breached Password Protection comprend une vérification en temps réel des mots de passe ce qui peut empêcher les utilisateurs de sélectionner des mots de passe vulnérables.
(Dernière mise à jour le 04/12/2024)