Guide pratique de la politique d'entreprise en matière de mots de passe
Dès qu'il y a un appareil, il y a une politique de mot de passe. Cette pratique est parfaitement justifiée, surtout sur le lieu de travail. À un niveau micro, un mot de passe de 6 caractères exigé sur un smartphone individuel est une politique de mot de passe minimale.
Le rôle des mots de passe est évident dans la protection des données des entreprises. La Bank of North Dakota (BND), une institution financière américaine appartenant à l'État, a fait état d'un étonnant « 81 % » de violations de données d'entreprise causées par de mauvais mots de passe.
La sécurité des mots de passe doit faire l'objet d'une bonne stratégie et être le premier frein aux cyberattaques croissantes. Une entreprise peut faire bien plus avec une politique de mots de passe qu'avec un code d'accès à 6 chiffres minimum. Cet article est là pour vous aider. Nous vous invitons maintenant à poursuivre votre lecture et à découvrir comment mettre en place une bonne politique de mot de passe pour une entreprise. Les exigences et les outils utiles sont présentés ci-dessous.
- Partie 1 : Qu'est-ce que la politique de l'entreprise en matière de mots de passe ?
- Partie 2 : Approche : Ce qu'il faut faire avant de créer une politique de l'entreprise en matière de mots de passe
- Partie 3 : 7 règles d'or en matière de mots de passe pour améliorer la sécurité de l'entreprise
- Partie 4 : Pourquoi les entreprises ont-elles besoin d'une politique de mot de passe ?
- Partie 5 : Comment appliquer une politique de mot de passe sur les appareils appartenant à l'entreprise avec un MDM ?
- Partie 6 : Questions fréquentes
1Qu'est-ce que la politique de l'entreprise en matière de mots de passe ?
Lorsqu'une politique de mot de passe est mise en place au niveau de l'entreprise, il ne s'agit pas seulement de savoir combien de bits un mot de passe doit contenir. Les activités et les outils de gestion des mots de passe doivent également être pris en compte.
Qu'est-ce qu'une politique d'entreprise en matière de mots de passe ? Il s'agit d'une stratégie de mot de passe mise en place par une entreprise et appliquée par les employés afin de normaliser leur utilisation des mots de passe et de mieux protéger les actifs de l'entreprise. La politique doit tenir compte des aspects suivants :
- Exigences relatives au paramétrage du mot de passe
- Règles relatives à la sauvegarde, à la protection et à la gestion des mots de passe sur les appareils professionnels
- Recommandations pour la gestion de la sécurité des mots de passe
- Autres règles incluant la formation des employés, la réaction de l'entreprise en cas de pertes graves, etc.
La politique de l'entreprise en matière de mots de passe n'est pas immuable. Les entreprises doivent revoir et mettre à jour régulièrement leur politique de mots de passe pour que les règles restent efficaces. Une politique de mots de passe d'entreprise solide peut aider à faire face aux cybermenaces externes, aux accès non autorisés et aux violations de données dues à des erreurs humaines. Il est essentiel de garantir la confidentialité, l'intégrité et la disponibilité des données de l'entreprise.
2Approche : Ce qu'il faut faire avant de créer une politique de l'entreprise en matière de mots de passe
Avant d'élaborer une politique en matière de mots de passe, les entreprises doivent prendre quelques mesures préliminaires pour s'assurer qu'elle fonctionnera. Voici les six étapes à suivre :
1. Déterminer les éléments pour lesquels l'organisation doit définir des mots de passe.
L'entreprise doit collecter ses actifs et déterminer lesquels nécessitent une protection par mot de passe, tels que les systèmes de bureautique, les ordinateurs, les ordinateurs portables, les smartphones, les applications professionnelles, etc.
Il est surtout essentiel de classer ces éléments par ordre de priorité en fonction de leur niveau de sensibilité et de l'impact potentiel en cas de violation. Ainsi, l'équipe informatique peut utiliser judicieusement des règles de mot de passe plus ou moins strictes.
2. Découvrez des méthodes ou des technologies d'authentification hautement sécurisées.
L'authentification unique (SSO), les mots de passe à usage unique (OTP), l'authentification à deux facteurs (2FA) et l'authentification à plusieurs facteurs (MFA) sont couramment utilisés. Ces méthodes permettent de renforcer considérablement la sécurité des comptes d'utilisateurs et de les protéger contre les accès non autorisés.
3. Choisissez des outils de gestion des mots de passe adaptés à votre organisation.
Il existe un grand nombre de gestionnaires de mots de passe pour les entreprises sur le marché SaaS. Choisissez-en un qui a été vérifié après avoir consulté les commentaires et effectué des tests. Un gestionnaire de mots de passe peut aider à générer des mots de passe complexes et uniques, des vérifications multiples, des alertes, etc.
En outre, vous pouvez utiliser des solutions MDM ou EMM pour sécuriser et gérer les appareils appartenant à l'entreprise et aux employés. Ces outils protègent à la fois le matériel physique et les données. De plus, créer une politique de mot de passe, limiter l'utilisation des appareils et des applications, utiliser le mode kiosque, et prendre en charge automatiquement les flux de travail à distance sont également disponibles.
- Mode kiosque
- Gestion des applications
- Géofencing et suivi
4. Confier à des employés la responsabilité de la sécurité et de la gestion des mots de passe.
Les mots de passe pour les biens de l'entreprise peuvent être considérables. Même un employé peut utiliser plusieurs mots de passe dans le cadre de son travail. Il est donc nécessaire de disposer d'une équipe spécialisée pour prendre en charge la sécurité et la gestion des mots de passe.
Parmi les tâches qu'ils peuvent être amenés à effectuer, citons la détection des points faibles, la vérification des listes de mots de passe, les demandes de réinitialisation et de modification des mots de passe, la gestion des situations d'urgence telles que la perte d'un appareil, et la formation.
Avec une équipe spécialisée, l'entreprise peut s'assurer que les employés respectent les politiques en matière de mots de passe. Cela peut contribuer à prévenir les violations de données et à améliorer la situation générale en matière de sécurité.
5. Préciser les exigences en matière de création et de sauvegarde de mots de passe pour les employés.
Cela sensibilise les gens à la sécurité des mots de passe et les encourage à créer des mots de passe plus substantiels et plus complexes.
6. Créer un plan de mise en œuvre de la politique de sécurité des mots de passe de l'entreprise.
Description de la stratégie, de ce qu'il faut faire et du personnel responsable du travail. Le plan doit également contenir des directives détaillées sur les meilleures façons d'utiliser les mots de passe et les conséquences pour les employés qui ne les respectent pas.
37 règles d'or en matière de mots de passe pour améliorer la sécurité de l'entreprise
Préparez-vous pour les étapes préliminaires. Il est temps de passer à l'action. Il s'agit maintenant d'examiner les meilleures pratiques pour une bonne politique de mot de passe. Nous énumérons ici les politiques de mot de passe que les employés doivent respecter et la manière dont l'entreprise peut en assurer la mise en œuvre.
1Définissez des mots de passe d'au moins dix caractères.
La longueur recommandée pour un mot de passe est d'au moins 10 caractères, ce qui le rend plus difficile à découvrir (Source : www.security.org).
De nombreuses sources en ligne affirment qu'un code d'accès à 8 chiffres est le meilleur. Cela dépend principalement du système d'exploitation des appareils. Cependant, selon Statista, une machine peut désormais découvrir un mot de passe de huit caractères en 22 minutes.
Plus le mot de passe est long, plus il est difficile à trouver et plus il est sûr. Ce tableau peut rendre la corrélation plus évidente.
Source: Hive Systems Password Table
Mais cela ne signifie pas que les employés doivent définir un code secret sans restrictions. Lorsque vous créez un mot de passe pour le travail, vous devez tenir compte de la difficulté de mémorisation. Vous ne voulez certainement pas réinitialiser votre mot de passe tous les jours parce que vous n'arrivez pas à vous en souvenir.
En outre, les limites de longueur des mots de passe dans les dispositifs de travail doivent également être prises en compte. La définition d'un mot de passe d'une longueur convenable est le meilleur choix. Les appareils Android peuvent comporterer jusqu'à 16 caractères, tandis que les appareils iOS ont six chiffres par défaut. Les ordinateurs fonctionnant sous Windows peuvent être définis avec un maximum de 14 caractères. Si vous souhaitez en savoir plus sur la politique recommandée en matière de mots de passe sur les appareils mobiles, voici un conseil.
Meilleure pratique en matière de longueur de mot de passe pour les appareils mobiles
2Inclure des caractères de plusieurs catégories dans le mot de passe.
La complexité est un autre moyen d'améliorer la sécurité des mots de passe de l'entreprise. Un mot de passe solide doit contenir des lettres majuscules, des lettres minuscules, des chiffres de 0 à 9 et des caractères non alphanumériques. Il est suggéré aux employés de respecter les exigences lors de la création des mots de passe afin d'éviter les attaques par devinette ou par force brute.
Alors, à quoi ressemble un mot de passe fort ? Voici quelques bonnes pratiques en matière de complexité des mots de passe :
- Z6jk3%ec4@
- #Zjn6a$7rO
- EM%ub4!2v5
Un testeur de force en ligne sera efficace si vous souhaitez tester la force de votre mot de passe. Cliquez ici pour commencer le test.
3Évitez d'utiliser des caractères répétitifs dans le mot de passe, mais utilisez plutôt des passphrases.
Les pirates peuvent rapidement deviner ou décrypter les mots de passe qui utilisent des caractères ou des schémas répétés. Ainsi, pour éviter cela, les employés ne doivent pas inclure plus de deux caractères identiques (par ex. 111 or aaa) ou plus de deux caractères consécutifs (e.g., 123 or abc) pour les mots de passe liés au traveil.
La passphrase, expression à connotation sémantique, est une excellente solution en matière de mots de passe, facile à mémoriser mais difficile à déchiffrer, comme "Miloismydog".
4Ne réinitialisez les mots de passe de l'entreprise qu'en cas de nécessité.
À quelle fréquence les employés doivent-ils mettre à jour leurs mots de passe professionnels ? La réponse est qu'il n'est pas nécessaire d'être régulier, mais seulement s'il y a un risque de fuite.
Selon Business Insider, de nombreux consultants en cybersécurité mettent en avant cette politique de réinitialisation des mots de passe et estiment qu'avoir un mot de passe fort est plus utile que de changer de mot de passe. Il est fort probable que la réinitialisation trop fréquente des mots de passe augmente la possibilité de réutiliser les mots de passe, ce qui les rend plus vulnérables aux attaques sur Internet.
Par conséquent, l'entreprise doit préciser, dans la politique de mot de passe, les situations qui nécessitent une réinitialisation des mots de passe. Par exemple, en cas de compromission avérée ou suspectée, de départ d'un employé, ou lorsque'un appareil est perdu.
5Identifier les mauvaises habitudes en matière de mots de passe et les interdire.
La plupart des employés ne se rendent pas compte des graves problèmes que pose le fait de ne pas conserver les mots de passe. Les entreprises devraient les aider et faire une « Liste de choses à ne pas faire ».
Meilleures pratiques en matière de politique des mots de passe pour réguler le comportement des employés
Ne partagez pas vos mots de passe au travail.
Cette pratique est assez fréquente chez les employés. D'après l'enquête de Beyond Identity, 41.7% des salariés communiquent leurs mots de passe sur leur lieu de travail. À qui ? Notamment, mais pas exclusivement, à leurs collègues de travail et à leurs sous-traitants, mais aussi à leur famille et à leurs amis.
En réalité, il est difficile pour une entreprise de suivre et de contrôler la circulation des mots de passe par des tiers, en particulier les personnes qui ne travaillent pas au bureau. La perte de comptes peut se produire en un clin d'œil.
N'envoyez pas de mots de passe par courriel ou par SMS.
En ce qui concerne les violations de données, les courriels et les SMS sont les principales sources de fraude en ligne. Que se passe-t-il si les employés envoient des mots de passe sur ces supports ? La perte de données est certaine.
N'enregistrez pas les mots de passe dans le navigateur, ou alors ajoutez une protection supplémentaire.
Bien sûr, l'enregistrement des mots de passe dans un navigateur est très pratique pour le travail. Mais lorsque l'appareil est volé, cela peut tourner à la catastrophe. Les voleurs peuvent facilement pénétrer dans le système de l'entreprise. En tant que société, il est préférable de rappeler ceci aux employés.
Dans la pratique, certains employés ne suivront pas la consigne de l'entreprise de ne pas enregistrer le mot de passe dans le navigateur. Pour y remédier, l'entreprise doit incorporer un système de gestion des appareils mobiles dans sa politique de mot de passe, pour ajouter une mesure de sécurité supplémentaire.
Ne réutilisez pas vos mots de passe professionnels sur plusieurs comptes.
Une politique de réutilisation des mots de passe est indispensable dans une entreprise. Certains employés utilisent un seul mot de passe pour leurs comptes et appareils professionnels. Ce taux s'élève à 63%, selon le rapport de Visual Objects.
Source: Visual Objects
Bien que cela soit moins compliqué pour les employés, c'est plus risqué pour l'entreprise. En effet, une fois qu'un mot de passe est déchiffré, l'entreprise perd des données en utilisant le même mot de passe. C'est pourquoi l'entreprise doit empêcher ses employés de réutiliser leurs mots de passe.
Un outil MDM, tel que AirDroid Business, permet aux administrateurs informatiques d' imposer des mots de passe sur les appareils et de les modifier conformément aux exigences de l'entreprise.
6Appliquer la politique de l'entreprise en matière de mots de passe en utilisant un gestionnaire de mots de passe ou des outils de gestion des appareils.
Il ne suffit pas d'inciter les employés à utiliser correctement les mots de passe. Les entreprises doivent également faire bon usage des outils de gestion de la politique de mots de passe pour s'assurer que cette politique fonctionne efficacement.
Comment les entreprises peuvent-elles en bénéficier ? Voici quelques bonnes méthodes.
Mettre en place une politique de verrouillage des comptes en cas d'échec des tentatives de connexion.
Un fournisseur de MDM peut contribuer à sécuriser les appareils de l'entreprise en bloquant les accès non vérifiés. L'équipe informatique est autorisée à définir le nombre de tentatives de saisie du mot de passe. En cas de dépassement, l'appareil est réinitialisé.
Appliquer les règles en matière de définition des mots de passe.
Dans la politique MDM, les administrateurs informatiques peuvent configurer des politiques de mot de passe, comme la complexité et la longueur du mot de passe, et les appliquer aux appareils. En outre, l'administrateur peut créer lui-même un mot de passe pour l'écran de verrouillage, et l'utilisateur de l'appareil ne peut pas le modifier.
Verrouiller automatiquement l'écran ou effacer les données de l'appareil.
Les alertes constituent une autre fonction de sécurité du MDM. Avec AirDroid Business, l'entreprise peut définir les conditions de déclenchement telles que les mouvements de l'appareil, l'appareil quittant une zone géographique spécifique, la carte SIM placée ou retirée, les applications en cours d'exécution, etc. Ensuite, il est possible de configurer un flux de travail automatique en cas d'alarme.
Configurer le MFA ou le 2FA.
Une authentification supplémentaire est disponible pour ajouter des options à des applications installées, des courriels, des sites web, des services de stockage en Cloud ou autres.
En savoir plus : La solution MDM peut vous aider :
- Politique : désactiver les fonctions de l'appareil telles que l'accès USB, la connectivité réseau, le transfert de fichiers, etc.
- Gestion des applications : autoriser ou interdire l'utilisation de certaines applications et configurer les paramètres des applications.
- Commande à distance : verrouillage à distance de l'écran, effacement des données et réinitialisation d'usine ;
- Géofencing : suivre et surveiller la localisation de l'appareil.
- Alertes et flux de travail automatiques : définissez des déclencheurs et recevez des notifications immédiates ; exécutez automatiquement une commande prédéfinie lorsque le déclenchement se produit.
- Autres : Mode kiosque, transfert de fichiers en grand nombre, gestion des appareils et des utilisateurs, etc.
Guide du débutant pour le MDM AirDroid Business
Si vous souhaitez en savoir plus sur les solutions MDM et la compatibilité des appareils, cliquez ici.
7Former les employés à la création et à la protection des mots de passe.
Former les employés à la création de mots de passe forts, éviter les mauvaises habitudes en matière de mots de passe. En outre, encourager les employés à utiliser des gestionnaires de mots de passe pour sécuriser ces mots de passe sur le lieu de travail. Si l'entreprise a l'intention d'utiliser des solutions de gestion des appareils, il est nécessaire d'en informer les employés et de leur donner des explications à l'avance. Sinon, ces activités de surveillance d'exécution pourraient donner lieu à des litiges portant sur la protection de la vie privée.
4Pourquoi les entreprises ont-elles besoin d'une politique en matière de mots de passe ?
● Renforcer la sécurité des données
Les données d'entreprise constituent un capital important. Elles sont suffisamment précieuses pour contribuer à la réussite de l'entreprise. Le nombre d'entreprises ayant fait faillite à la suite de violations de données est plus important que les prévisions.
Le mot de passe, en tant que premier moyen de défense contre la perte de données, joue un rôle crucial. Et les entreprisess peuvent encore améliorer la sécurité grâce à une politique globale en matière de mots de passe.
● Faciliter la gestion des mots de passe et des comptes
Avec une politique à suivre, les employés peuvent mieux protéger leurs comptes et mots de passe professionnels et être sensibilisés, et le personnel d'encadrement responsable peut également gérer efficacement la perte de mots de passe ou d'autres accidents.
● Respect de la réglementation
Certains secteurs ont des réglementations légales auxquelles les entreprises doivent se conformer, comme les soins de santé. Une politique en matière de mots de passe fait partie des mesures de sécurité de l'entreprise.
5Comment appliquer une politique de mots de passe sur les appareils d'une entreprise et profiter pleinement de la gestion des droits d'accès (MDM) ?
Pour appliquer une politique de mot de passe sur les appareils d'une entreprise, vous pouvez utiliser AirDroid Business. Voici les étapes à suivre :
- Étape 1 : Créez un compte AirDroid Business et connectez-vous à la console d'administration.
- Vous pouvez gérer et surveiller à distance tous les appareils de l'entreprise, configurer les applications et les mises à jour, et mettre en place des politiques de sécurité pour garantir la sécurité des données sensibles. Cliquez ici pour une inscription gratuite.
- Étape 2 : Inscrivez l'appareil sur le compte de l'entreprise.
- Répartissez des appareils mobiles dans des listes d'appareils. Vous pouvez créer différents groupes pour mieux les gérer.
- Étape 3 : Créez un fichier de configuration de politique, appliquez cette politique aux appareils.
- Cela permet de s'assurer que les appareils sont conformes aux normes et réglementations de sécurité de l'entreprise.
- Pour la politique de mot de passe, vous pouvez créer des règles exigeant l'utilisation de lettres de l'alphabet, de chiffres ou des deux dans le code de passe, la longueur minimum du mot de passe et le nombre maximum de tentatives échouées. En outre, vous pouvez créer vous-même un mot de passe et l'imposer aux appareils inscrits.
- Étape 4 : Caractéristiques supplémentaires pour sécuriser les biens de l'entreprise.
- Vous pouvez configurer d'autres politiques pour qu'elles s'appliquent aux appareils, par exemple des restrictions sur l'utilisation de l'USB, du WiFi, des applications, du transfert de fichiers, etc.
Questions fréquentes
Laisser une réponse.