Les mots de passe sont le moyen le plus répandu pour gérer et restreindre l’accès à des ressources informatiques à des utilisateurs qui y sont autorisés. Or ce sont les utilisateurs eux mêmes qui choisissent les mots de passe et face au nombre croissant de mots de passe à gérer, ils sont tentés par la facilité et exposent l’entreprise. Faute de véritable stratégie, ils peuvent devenir le maillon faible de la sécurité d’une PME.

Comprendre les attaques sur les mots de passe

Pour élaborer une stratégie de mot de passe, il convient tout d’abord de comprendre les principales attaques dont ils font l’objet.  Les hackers élaborent des méthodes toujours plus inventives pour récupérer les mots de passe et s’introduire dans les systèmes.

• Les attaques dites de force brute :  Ce type d’attaque consiste à se connecter à un système et à tester successivement un grand nombre de mots de passe jusqu’à réussir à  y  pénétrer.
• Les attaques dites par pulvérisation de mots de passe :  Il s’agit à l’inverse de tester un même mot de passe avec une multiplicité d’identifiants.
• L’espionnage de clavier ou l’interception de mot de passe : Les hackers vont chercher à capter le mot de passe entre sa saisie  par l’utilisateur et son arrivée dans le système.
• L’hameçonnage ou phishing : Ce procédé consiste à inciter l’utilisateur à fournir son mot de passe, en lui faisant croire qu’il se connecte à un système habilité, ou qu’il l’envoi à un utilisateur de confiance. Une fois le mot de passe récupéré, le Hacker n’a plus qu’à se connecter.

10 mécanismes de protection à mettre en œuvre

Une bonne stratégie de mot de passe va d’abord viser à rendre la tâche des hackers plus ardue et cela porte sur 2 axes :  des mécanismes techniques mais aussi et surtout les comportements des utilisateurs. Voici 10 points auxquels penser pour renforcer vos mots de  passe et mettre les hackers en échec.

 1. Inciter les utilisateurs à ne pas avoir un même mot de passe pour différents services.

C’est la première précaution à mettre en œuvre. En effet, en cas de découverte, c’est l’effet domino assuré mettant instantanément à découvert l’ensemble des services utilisés par l’utilisateur.

 2. Obliger les utilisateurs à avoir des mots de passe complexes

Un mot de passe trop simple signifie qu’il pourra être découvert plus rapidement. Il convient donc d’obliger l’utilisateur à choisir un mot de passe suffisamment long, combinant des caractères variés tels que des signes de ponctuation, des minuscules, majuscules et des chiffres. Cette pratique est familière des utilisateurs car elle est largement utilisée par les services grand public de messagerie ou les réseaux sociaux.

3. Imposer une fréquence de renouvellement de mot de passe

Là aussi le but est de rendre la tâche des hackers plus ardue, selon le vieil adage selon lequel une cible mobile est plus difficile à atteindre qu’une cible qui ne bouge pas.

 4. Bloquer les accès après plusieurs tentatives infructueuses

Nombreuses sont les entreprises qui permettent un nombre illimité de tentatives d’authentification, ce qui permet aux hackers de patiemment essayer successivement les mots de passe jusqu’à trouver le bon. Bloquer l’accès et forcer la réinitialisation du mot de passe limite considérablement l’efficacité d’une attaque par force brute.

5. Sécuriser l’authentification par un algorithme de chiffrement

Ces algorithmes ont pour fonction d’éviter la transmission de mots de passe en clair et ainsi de mettre en échec les hackers qui tenteraient de l’intercepter.  Le mot de passe est crypté avant son envoi et décrypté à l’arrivée sur le système. Même s’il est intercepté, il est inutilisable par le Hacker.

6. Inciter les utilisateurs à ne pas stocker leurs mots de passe en clair.

Chaque utilisateur doit se souvenir en moyenne de nombreux mots de passe et cette tâche est devenue quasi impossible. Bien souvent les utilisateurs notent leur mot de passe en clair, sur leur smartphone, ou sur un post it, rendant les mots de passe accessibles, en cas d’accès au smartphone. L’une des solutions est d’inciter les utilisateurs à conserver leur mot de passe sous forme de message codé. Afin d’aider les utilisateurs à choisir un mot de passe robuste et également un moyen mnémotechnique, un outil a été mis en place par la CNIL pour générer un mot de passe à partir d’une phrase.

 7. Mettre en place des outils anti-spam et anti-phishing

Ces outils ont vocation à éviter que les utilisateurs reçoivent des tentatives d’hameçonnage, qui visent à tromper l’utilisateur et à obtenir le mot de passe de l’utilisateur lui même.

8. Sécuriser les ordinateurs portables et les mobiles

Les mots de passe peuvent être stockés sur les appareils mobiles qui peuvent être perdus, volés plus facilement lors des déplacements de vos collaborateurs. Les hackers ont également mis en place des attaques spécifiques sur mobile, rendant indispensable la mise en place de logiciels de sécurité de la flotte mobile (Mobile Device Management)

9. Mettre en place une authentification à double facteur

Ce mécanisme est désormais bien connu du grand public : le mot de passe est envoyé sur le mobile, sur un mail ou tout autre service, ce qui met en échec le hacker qui n’aurait pas accès à ce second appareil ou service.  Ces solutions sont facilement mises en place.

10. Former les utilisateurs à la sécurité

Sans travail de fond pour sensibiliser les utilisateurs à la sécurité, les stratégies de sécurité de mot de passe perdent de leur efficacité. Des utilisateurs sensibilisés sont de loin le meilleur rempart contre les attaques dont sont victimes les entreprises.

Réussir la mise en œuvre de votre politique de mots de passe

Comme toute politique, elle ne peut être efficace que si l’entreprise est en capacité de vérifier son application effective et ce dans la durée. Or ces mots de passe sont choisis par les utilisateurs eux mêmes. Il est donc indispensable de mettre en place des mécanismes techniques forçant les utilisateurs à adopter des pratiques plus sures et d’accompagner ces mécanismes par des actions de formation des utilisateurs. Il est à ce titre utile de se rapprocher d’un prestataire informatique qui saura vous conseiller dans la mise en œuvre d’une stratégie de mots de passe pour votre entreprise.