Normes de conformité
Certaines organisations sont tenues de respecter une ou plusieurs normes de conformité pour leurs politiques d'authentification. Specops Password Auditor offre un moyen d'évaluer dans quelle mesure vos politiques se mesurent par rapport à différentes normes de conformité, telles que NIST, NCSC et PCI, entre autres. Pour une liste complète des normes prises en charge, voir la section ci-dessous.
Le rapport de conformité de la Password Policy dans Specops Password Auditor fournit un aperçu des politiques dans votre Active Directory (ou la partie de votre AD que vous avez définie au début de votre analyse). Password Auditor fournira des résultats pour la Default Domain Password Policy, toutes les Fine-Grained Password Policies, ainsi que toutes les politiques de Specops Password Policy (si installées).
Rapport de conformité de la Password Policy
Ce rapport fournit un aperçu de la conformité aux normes de l'industrie pour chaque politique. Chaque norme a des critères différents pour l'authentification.
Indicateurs de conformité
Le rapport de conformité de la Password Policy répertorie la conformité aux normes de l'industrie pour chaque politique au moyen d'indicateurs.
- Rouge: non-conformité. La politique ne répond à aucun des critères définis par la norme.
- Jaune: conformité partielle. La politique répond à certains mais pas à tous les critères définis par la norme.
- Vert: conformité totale. La politique répond à tous les critères définis par la norme.
Visualisation de la conformité avec les normes individuelles
- Cliquez sur l'un des indicateurs de conformité
- Un tableau est affiché avec chaque ligne représentant une règle de la norme, le paramètre de la politique actuelle pour cette règle et l'exigence de la norme.
Ajustement de l'aperçu de la conformité
Vous pouvez afficher ou masquer n'importe quelle colonne dans l'aperçu.
- Cliquez sur le menu déroulant Sélectionner
- Supprimez la coche à côté de la norme que vous souhaitez masquer ou cochez-la pour l'afficher à nouveau.
Entropie
La colonne d'entropie n'est pas spécifiquement liée aux normes de conformité décrites. Au lieu de cela, elle mesure à quel point les mots de passe autorisés par les différentes politiques sont « forts ».
Normes de conformité
Specops Password Auditor prend en charge les normes suivantes:
Remarque
Specops Password Auditor vérifiera à la fois les politiques Windows intégrées ainsi que celles créées avec Specops Password Policy (avec Specops Breached Password Protection).
Par exemple, les normes qui exigent que les utilisateurs n'utilisent pas de mots du dictionnaire (Interdire les mots de passe du dictionnaire) seront marquées comme non conformes si Specops Password Policy n'est pas utilisé, ou si la politique dans Specops Password Policy n'est pas configurée pour satisfaire le critère.
Les tableaux ci-dessous montrent quels critères de conformité nécessitent des outils de politique supplémentaires:
- *: Specops Password Policy
- **: Specops Breached Password Protection
NIST
Description
L'Institut National des Normes et de la Technologie (NIST) établit les normes de sécurité de l'information pour les agences fédérales aux États-Unis.
Avec un fort accent sur la simplification des mots de passe pour les utilisateurs et en plaçant la charge sur les systèmes d'authentification, l'application du dictionnaire est un composant important des recommandations du NIST.
Avec Specops Password Policy, vous pouvez créer votre propre dictionnaire pour bloquer les mots courants à votre organisation ou utiliser Breached Password Protection pour bloquer l'utilisation de plus de 3 milliards de mots de passe compromis.
| Règle | Valeur |
|---|---|
| Longueur minimale | 8 |
| Interdire les mots de passe du dictionnaire* | Oui |
| Interdire les mots de passe compromis** | Oui |
PCI V4
Description
Les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS) sont un ensemble de normes et de directives pour les entreprises afin de gérer et sécuriser les données personnelles liées aux cartes de crédit. C'est une norme mondiale établie par les principales sociétés de cartes de crédit - Visa, Mastercard et American dans un effort pour protéger les données des cartes de crédit contre le vol.
Les exigences PCI-DSS sont fortement axées sur la composition des mots de passe et peuvent être facilement atteintes avec un outil de politique de mot de passe tiers, tel que Specops Password Policy.
Si vous souhaitez vous protéger contre les attaques modernes sur les mots de passe, vous pouvez utiliser le dictionnaire personnalisé de Specops Password Policy pour empêcher l'utilisation de mots de passe courants à votre organisation. Avec Specops Breached Password Protection, vous pouvez bloquer l'utilisation de plus de 3 milliards de mots de passe compromis.
| Règle | Valeur |
|---|---|
| Longueur minimale | 7 |
| Âge maximal | 90 jours |
| Utiliser une phrase de passe* | Oui |
| Historique des mots de passe | 4 |
| Complexité | Chiffre, Minuscule |
CJIS
Description
La Division des Services d'Information de Justice Criminelle (CJIS) du Bureau Fédéral d'Investigation (FBI) des États-Unis donne accès aux agences d'application de la loi et de justice criminelle des États, locales et fédérales à des informations de justice criminelle (CJI) — par exemple, des dossiers d'empreintes digitales et des antécédents criminels.
Les agences d'application de la loi et autres agences gouvernementales aux États-Unis doivent s'assurer que leur utilisation des services cloud pour la transmission, le stockage ou le traitement des CJI est conforme à la politique de sécurité CJIS, qui établit des exigences et des contrôles de sécurité minimaux pour protéger les CJI.
La politique de sécurité CJIS décrit deux ensembles de normes de mot de passe - Basique et Avancé. Le rapport ici montre comment les politiques de mot de passe se comparent à la norme Basique.
| Règle | Valeur |
|---|---|
| Longueur minimale | 8 |
| Âge minimal | 90 jours |
| Interdire les mots de passe du dictionnaire* | Oui |
| Interdire les mots de passe compromis** | Oui |
| Historique des mots de passe | 10 |
| Interdire les mots de passe incrémentiels* | Oui |
HITRUST
Description
Le Health Information Trust (HITRUST) est un cadre qui fournit un moyen de se conformer aux normes souvent vagues qui s'appliquent à l'industrie des soins de santé aux États-Unis, telles que la Health Insurance Portability and Accountability Act (HIPAA).
| Règle | Valeur |
|---|---|
| Longueur minimale | 8 |
| Âge maximal | 90 jours |
| Interdire les mots de passe du dictionnaire* | Oui |
| Interdire les mots de passe compromis** | Oui |
| Historique des mots de passe | 4 |
| Interdire les mots de passe incrémentiels* | Oui |
| Complexité | 2 de Chiffre, Minuscule, Spécial |
NCSC
Description
Le National Cyber Security Centre (NCSC) est une organisation du gouvernement britannique dont le schéma d'accréditation approuvé, Cyber Essentials, fournit une base standardisée pour les politiques, contrôles et technologies de cybersécurité.
Avec un fort accent sur la simplification des mots de passe pour les utilisateurs et en plaçant la charge sur les systèmes d'authentification, l'application du dictionnaire et l'encouragement à l'utilisation de phrases de passe sont des composants importants de la norme britannique.
Avec Specops Password Policy, vous pouvez créer votre propre dictionnaire pour bloquer les mots courants à votre organisation ou utiliser Breached Password Protection pour bloquer l'utilisation de plus de 3 milliards de mots de passe compromis.
| Règle | Valeur |
|---|---|
| Longueur minimale | 8 |
| Utiliser une phrase de passe* | Oui |
| Interdire les mots de passe du dictionnaire* | Oui |
| Interdire les mots de passe compromis** | Oui |
BSI
Description
Le Bureau Fédéral Allemand pour la Sécurité de l'Information (Bundesamt für Sicherheit in der Informationstechnik, abrégé en BSI) est une agence responsable de la sécurité de l'information pour le gouvernement fédéral allemand.
Le BSI est également l'organisme central de certification pour les systèmes informatiques. Cela signifie que tout produit ou système informatique qui doit être utilisé par le gouvernement fédéral doit répondre aux normes de sécurité du BSI.
| Règle | Valeur |
|---|---|
| Longueur minimale | 8 |
| Interdire les mots de passe du dictionnaire* | Oui |
| Interdire les mots de passe compromis** | Oui |
| Historique des mots de passe | 4 |
| Complexité | 2 de Chiffre, Minuscule, Spécial, Majuscule |
ANSSI
Description
L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) est l'autorité nationale française chargée de soutenir et de sécuriser le développement de la technologie numérique.
La norme de sécurité ANSSI comprend plusieurs recommandations sur les mots de passe, y compris la vérification par rapport à une liste de mots de passe compromis connus et l'encouragement à l'utilisation de phrases de passe.
| Règle | Valeur |
|---|---|
| Longueur minimale | 15 |
| Utiliser une phrase de passe* | Oui |
| Interdire les mots de passe du dictionnaire* | Oui |
| Interdire les mots de passe compromis** | Oui |
| Historique des mots de passe | 4 |
| Complexité | 3 de Chiffre, Minuscule, Spécial, Majuscule |
CNIL
Description
La confidentialité des données est devenue une priorité pour les entreprises mondiales en raison de réglementations de grande envergure telles que le Règlement Général sur la Protection des Données (RGPD). En même temps, d'autres organismes de réglementation continuent d'appliquer les lois locales sur la confidentialité des données. En France, par exemple, l'autorité de protection des données est la Commission nationale de l'informatique et des libertés (CNIL).
La CNIL fournit des conseils en cybersécurité liés à la collecte, au stockage et à l'utilisation des données personnelles. Naturellement, sécuriser les mots de passe est une partie importante des conseils.
| Règle | Valeur |
|---|---|
| Longueur minimale | 12 |
| Interdire les mots de passe compromis** | Oui |
| Complexité | Chiffre, Minuscule, Spécial, Majuscule |