Suppression des mots de passe faibles pour Cyber Essentials

Les mots de passe faibles empêchaient le Greater Manchester West Mental Health NHS Foundation Trust d’obtenir la certification Cyber Essentials Plus. Le Trust devait interdire ces mots de passe faibles pour montrer son engagement en matière de cybersécurité. Grâce à Specops Password Policy, le Trust a pu atteindre son objectif de bloquer les mots de passe faibles tout en bénéficiant en plus de multiples politiques de configuration et d’un retour clair pour les utilisateurs finaux. 

André de Araujo, responsable des systèmes d’information au sein du Greater Manchester West Mental Health NHS Foundation Trust, a été chargé de résoudre les problèmes liés aux mots de passe faibles. Ils utilisaient une politique de mots de passe précise dans Active Directory, mais l’incapacité à bloquer les dictionnaires de mots de passe laissait passer des centaines de mots de passe très faibles. 

« Nous avons exécuté un script pour rechercher des hashs pouvant être déchiffrés »,  explique André. « Des centaines d’utilisateurs avaient des mots de passe incluant le jour de la semaine, le mois, ou même le mot ‘password’, souvent suivi d’un chiffre ou d’un point d’exclamation. C’était intéressant de constater combien de personnes suivent les mêmes schémas, ce qui aboutit à des mots de passe faciles à deviner. » 

Le Trust compte environ 6 000 collaborateurs, parmi lesquels des employés de bureau, des aides à domicile, du personnel de nettoyage, et bien d’autres. Tous doivent se connecter à un ordinateur, ne serait-ce que pour suivre une formation professionnelle ou accéder à leurs courriels, mais la familiarité avec la technologie et la cybersécurité varie fortement selon les différents groupes d’utilisateurs. 

Pour évaluer Specops Password Policy et la fonctionnalité Breached Password Protection (BPP), le Trust a mis en place une preuve de concept complète. L’objectif principal de ce test était d’utiliser ce service pour bloquer les mots de passe faibles déjà connus et recourir à des dictionnaires personnalisés, intégrant les mots de passe fréquents au sein du Trust. Pendant l’évaluation, le Trust a constaté qu’il pouvait exploiter d’autres fonctionnalités pour adopter une approche plus granulaire des politiques de mot de passe. La possibilité de définir des politiques différentes selon les groupes d’utilisateurs constituait un avantage, tout comme le retour d’information aux utilisateurs finaux, qui explique pourquoi leur mot de passe ne répond pas aux exigences. 

« Specops Password Policy est simple à déployer et fonctionne comme annoncé, » affirme André. « Nous avons bénéficié d’un accompagnement tout au long du processus de preuve de concept, et je recommanderais volontiers cette solution à toute organisation souhaitant renforcer la sécurité de ses mots de passe. » 

Les exigences de Cyber Essentials incluent le transfert de la responsabilité des mots de passe des utilisateurs vers les systèmes techniques. Parmi les mesures clés, on trouve le blocage des mots de passe faibles ou compromis, le verrouillage des comptes après plusieurs tentatives de connexion infructueuses, ainsi que la suppression des expirations périodiques obligatoires des mots de passe. Il est également essentiel de limiter le nombre d’utilisateurs disposant de privilèges élevés et de s’assurer que ces comptes ne soient utilisés que pour les tâches qui leur sont assignées. 

La dernière mise à jour de Specops Password Policy faciliterait l’obtention de la certification Cyber Essentials grâce à une gestion de l’expiration des mots de passe basée sur la longueur. Les administrateurs IT peuvent ainsi faire correspondre la durée de vie d’un mot de passe à sa longueur — plus le mot de passe est long, plus la période avant expiration est étendue.