Normes de conformité

Certaines organisations sont tenues de respecter une ou plusieurs normes de conformité pour leurs stratégies d’authentification. Specops Password Auditor fournit un moyen d’évaluer dans quelle mesure vos stratégies respectent les différentes normes de conformité, telles que NIST, NCSC et PCI, entre autres. Pour une liste complète des normes prises en charge, veuillez consulter la section ci-dessous.

Le rapport de conformité à la stratégie de mot de passe dans Specops Password Auditor fournit un aperçu des stratégies de votre Active Directory (ou de la partie de votre AD que vous avez définie au début de votre analyse). Password Auditor fournira des résultats pour la stratégie de mot de passe du domaine par défaut, toutes les stratégies de mot de passe détaillées, ainsi que toutes les stratégies Specops Password Policy (si installées).

Rapport de conformité à la stratégie de mot de passe


Ce rapport fournit un aperçu de la conformité aux normes du secteur pour chaque stratégie. Chaque norme présente des critères d’authentification différents.

Indicateurs de conformité

Le rapport de conformité à la stratégie de mot de passe répertorie la conformité aux normes du secteur pour chaque stratégie au moyen d’indicateurs.

  • Rouge : non-conformité. La stratégie ne répond à aucun des critères établis par la norme.
  • Jaune : conformité partielle. La stratégie répond à certains des critères établis par la norme, mais pas à tous.
  • Vert : conformité totale. La stratégie répond à tous les critères établis par la norme.

Affichage de la conformité aux normes individuelles

  1. Cliquez sur l’un des indicateurs de conformité
  2. Un tableau s’affiche , chaque ligne représentant une règle dans la norme, le paramètre de stratégie actuel pour cette règle et les exigences de la norme.

Ajuster la présentation de la conformité

Vous pouvez afficher ou masquer toutes les colonnes de la présentation.

  1. Cliquez sur la liste déroulante Sélectionner
  2. Décochez la case à côté de la norme que vous souhaitez masquer ou cochez-la pour l’afficher à nouveau.

Entropie

La colonne d’entropie n’est pas spécifiquement liée aux normes de conformité indiquées. Il s’agit plutôt d’une mesure de la « force » des mots de passe autorisés par les différentes stratégies.

Normes de conformité


Specops Password Auditor prend en charge les normes suivantes :

NOTE

Specops Password Auditor will check against both the built-in Windows policies as well as those created with Specops Password Policy (with Specops Breached Password Protection).

For example, standards that require users not to use dictionary words (Disallow passwords from dictionary) will be marked as non-compliant if Specops Password Policy is not used, or if the policy in Specops Password Policy is not configured to satisfy the criterium.

The tables below show which compliance criteria require additional policy tools:

  • *: Specops Password Policy
  • **: Specops Breached Password Protection

NIST

Description

Le National Institute of Standards and Technology (NIST) établit les normes de sécurité de l’information pour les agences fédérales aux États-Unis.

En mettant l’accent sur la simplification des mots de passe pour les utilisateurs et en imposant la charge sur les systèmes d’authentification, l’application du dictionnaire est un élément important des recommandations NIST.

Avec Specops Password Policy, vous pouvez créer votre propre dictionnaire pour bloquer les mots communs à votre organisation ou utiliser Breached Password Protection pour bloquer l’utilisation de plus de 3 milliards de mots de passe compromis.

Règles du Nist
RègleValeur
Longueur minimale8
Interdire les mots de passe du dictionnaire*Oui
Interdire les mots de passe compromis**Oui

PCI V4

Description

Les normes de sécurité des données du secteur des cartes de paiement (PCI DSS) sont un ensemble de normes et de directives permettant aux entreprises de gérer et de sécuriser les données personnelles relatives aux cartes bancaires. Il s’agit d’une norme mondiale établie par les principales sociétés de cartes bancaires (Visa, Mastercard et American), dans le but de protéger les données de cartes bancaires contre le vol.

Les exigences PCI-DSS sont fortement axées sur la composition des mots de passe et peuvent être facilement satisfaites avec un outil de stratégie de mot de passe tiers, tel que Specops Password Policy.

Si vous souhaitez être à l’abri des attaques de mots de passe modernes, vous pouvez utiliser le dictionnaire personnalisé de Specops Password Policy pour empêcher l’utilisation de mots de passe communs à votre organisation. Avec Specops Breached Password Protection, vous pouvez bloquer l’utilisation de plus de 3 milliards de mots de passe compromis.

Règles PCI
RègleValeur
Longueur minimale7
Âge maximal90 jours
Utiliser la phrase secrète*Oui
Historique des mots de passe4
ComplexitéChiffre, minuscule

CJIS

Description

La division des services d’information sur la justice pénale (CJIS) du Federal Bureau of Investigation (FBI) des États-Unis permet aux organismes des forces de l’ordre et de justice pénale des États locaux et fédéraux d’accéder aux informations de justice pénale (CJI), par exemple, les dossiers d’empreintes digitales et les casiers judiciaires.

Les forces de l’ordre et autres agences gouvernementales aux États-Unis doivent s’assurer que leur utilisation des services cloud pour la transmission, le stockage ou le traitement de CJI est conforme à la politique de sécurité CJIS, qui établit des exigences de sécurité minimales et des contrôles pour protéger les CJI.

La politique de sécurité CJIS décrit deux ensembles de normes de mot de passe : de base et avancées. Le rapport présente ici une comparaison des stratégies de mots de passe par rapport à la norme de base.

Règles CJIS
RègleValeur
Longueur minimale8
Âge minimal90 jours
Interdire les mots de passe du dictionnaire*Oui
Interdire les mots de passe compromis**Oui
Historique des mots de passe10
Interdire les mots de passe incrémentiels*Oui

HITRUST

Description

Le Health Information Trust (HITRUST) est un cadre qui fournit un moyen de se conformer aux normes souvent vagues qui s’appliquent au secteur de la santé aux États-Unis, telles que la Health Insurance Portability and Accountability Act (HIPAA).

Règles HITRUST
RègleValeur
Longueur minimale8
Âge maximal90 jours
Interdire les mots de passe du dictionnaire*Oui
Interdire les mots de passe compromis**Oui
Historique des mots de passe4
Interdire les mots de passe incrémentiels*Oui
Complexité2 chiffres, minuscule, spécial

NCSC

Description

Le National Cyber Security Center (NCSC) est une organisation du gouvernement britannique dont le système d’accréditation approuvé, Cyber Essentials, fournit une base de référence normalisée pour les stratégies, les contrôles et les technologies de cybersécurité.

En mettant fortement l’accent sur la simplification des mots de passe pour les utilisateurs et en plaçant la charge sur les systèmes d’authentification, l’application du dictionnaire et l’incitation à l’utilisation de phrases secrètes sont des éléments importants de la norme britannique.

Avec Specops Password Policy, vous pouvez créer votre propre dictionnaire pour bloquer les mots communs à votre organisation ou utiliser Breached Password Protection pour bloquer l’utilisation de plus de 3 milliards de mots de passe compromis.

Règles NCSC
RègleValeur
Longueur minimale8
Utiliser la phrase secrète*Oui
Interdire les mots de passe du dictionnaire*Oui
Interdire les mots de passe compromis**Oui

BSI

Description

L’Office fédéral allemand de la sécurité de l’information (Bundesamt für Sicherheit in der Informationstechnik, ou BSI) est une agence chargée de la sécurité de l’information pour le gouvernement fédéral allemand.

Le BSI est également l’organisme central de certification des systèmes informatiques. Cela signifie que tout produit ou système informatique destiné à être utilisé par le gouvernement fédéral doit répondre aux normes de sécurité du BSI.

Règles BSI
RègleValeur
Longueur minimale8
Interdire les mots de passe du dictionnaire*Oui
Interdire les mots de passe compromis**Oui
Historique des mots de passe4
Complexité2 chiffres, minuscule, spécial, majuscule

ANSSI

Description

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale française chargée d’accompagner et de sécuriser le développement du numérique.

La norme de sécurité de l’ANSSI comprend plusieurs recommandations concernant les mots de passe, notamment la vérification par rapport à une liste de mots de passe compromis connus et l’incitation à l’utilisation de phrases secrètes.

Règles ANSSI
RègleValeur
Longueur minimale15
Utiliser la phrase secrète*Oui
Interdire les mots de passe du dictionnaire*Oui
Interdire les mots de passe compromis**Oui
Historique des mots de passe4
Complexité3 chiffres, minuscule, spécial, majuscule

CNIL

Description

La confidentialité des données est devenue une priorité pour les sociétés mondiales en raison de réglementations importantes telles que le Règlement général sur la protection des données (RGPD). Parallèlement, d’autres organismes de réglementation continuent à faire respecter les lois locales sur la confidentialité des données. En France, par exemple, l’autorité de protection des données est la Commission nationale de l’informatique et des libertés (CNIL).

La CNIL fournit des conseils de cybersécurité liés au recueil, au stockage et à l’utilisation des données personnelles. Bien entendu, la sécurisation des mots de passe est une partie importante des conseils.

Règles CNIL
RègleValeur
Longueur minimale12
Interdire les mots de passe compromis**Oui
ComplexitéChiffre, minuscule, spécial, majuscule