La bonne gestion des mots de passe, première ligne de défense contre les accès non autorisés
D’après un rapport d’IBM sorti en 2021, la compromission d’information d’identification aurait été responsable de 20% des exploitations malveillantes des failles cette année-là.
Les vols de mot de passe constituent une des formes de violation des données confidentielles les plus fréquentes pour les entreprises. La méthode la plus utilisée par les pirates informatiques est l’attaque par « force brute » qui consiste à essayer toutes les combinaisons possibles de caractères jusqu’à trouver celle qui forme le mot de passe. Mais le vol de mot de passe peut également être rendu possible à travers l’attaque de phishing redirigeant la victime vers un site web malveillant lui demandant de réinitialiser son mot de passe, voire par attaque « Man-in-the-middle » consistant pour l’attaquant à se positionner entre deux personnes ou systèmes et déchiffrer les informations échangées, dont les fameux mots de passe, ou encore par l’installation d’un logiciel malveillant « enregistreur de frappe » conçu pour suivre les frappes sur le clavier et donc communiquer les mots de passe, entre autres, à l’attaquant. Dans ces cas-là, la sensibilisation du personnel, le chiffrement des données et l’analyse régulière des appareils informatiques grâce à un antivirus fonctionnel sont des éléments primordiaux pour maximiser la sécurité, même s’ils sont insuffisants.
Pour minimiser ces risques de compromission, voici ci-dessous les principaux conseils de nos experts.
LES CONSEILS DE MOONTECH POUR UNE BONNE GESTION DE SES MOTS DE PASSE
Mettre en place au sein de l’entreprise une politique de mot de passe ferme, la porter à la connaissance de l’ensemble du personnel.
Utiliser un mot de passe unique pour chaque compte et service. Utiliser le même mot de passe pour chacune de ses activités augmente les risques d’attaque puisqu’il suffira à une personne malveillante de voler ou hacker un seul mot de passe pour pouvoir accéder à un ensemble d’informations importantes. In fine, en cas de perte ou de vol de mot de passe, qu’un seul compte sera impacté.
Utiliser un mot de passe différent entre sa messagerie professionnelle et sa messagerie personnelle afin de minimiser les risques de compromission des données sensibles de l’entreprise, les conséquences pouvant en ressortir beaucoup plus dangereuses.
Choisir un mot de passe qui n’a pas de lien avec soi (éviter la date de naissance, le nom du chien, de son film préféré, etc.). Utiliser un mot de passe en renseignant des informations personnelles rend la tâche plus facile à toute personne malveillante qui déduira facilement un mot de passe, notamment par le biais d’attaque par ingénierie sociale.
Eviter les suites logiques tels que azerty, abcdef, 123456, etc. , facilement piratable par « force brute ».
Choisir un mot de passe long et complexe : 14 caractères, minuscules, majuscules, chiffres, caractères spéciaux.
Ne jamais demander à un tiers de générer son mot de passe. En cas de difficultés, s’appuyer sur son gestionnaire de mot de passe pour le faire.
Changer systématiquement et dès que possible le mot de passe par défaut, qui sont généralement connus de tous. Effectivement, une PME de prêt à porter du Sud-Ouest explique avoir été victime d’une cyberattaque sur leur serveur dont le mot de passe était « admin », ce qui a paralysé leur activité pendant plusieurs jours.
Changer de mot de passe régulièrement, au maximum tous les 90 jours.
Ne jamais stocker les mots de passe dans un fichier sur l’ordinateur.
Ne pas autoriser le navigateur à se souvenir des mots de passe et se déconnecter systématiquement du compte, service, appareil utilisé lorsque la tâche est terminée.
Ne jamais stocker les mots de passe de manière visible (sur un post-it, dans un carnet, etc.)
Ne pas envoyer ses mots de passe sur la messagerie, smartphone, pour s’en souvenir.
Favoriser l’utilisation d’un gestionnaire de mot de passe sécurisé qui se chargera de retenir tous les mots de passe et en générer de nouveaux lorsque cela est nécessaire.
Ne jamais communiquer son mot de passe à un tiers, ni à une personne de confiance ou son patron, et sous aucun prétexte.
Changer son mot de passe au moindre soupçon ou moindre rumeur d’attaque, sans attendre de savoir si c’est vrai ou pas.
Eviter d’entrer des mots de passe lors d’une connexion sans fil ou lors d’une utilisation d’un ordinateur partagé/en libre accès. Lorsque cette situation ne peut être évitée, favoriser le mode de navigation privée du navigateur afin de laisser le moins de traces informatiques possibles.
Sensibiliser régulièrement son personnel aux risques liés à une mauvaise gestion des mots de passe. Proposer régulièrement des formations autour de la thématique des mots de passe.
RENFORCER LA PROTECTION DES MOTS DE PASSE
Même une fois ces bonnes pratiques adoptées, un réflexe supplémentaire est primordial pour renforcer la sécurité des mots de passe : l’activation d’une authentification forte, telle que l’authentification multi facteurs dès qu’elle est disponible.
L’authentification est l’action permettant de prouver son identité. Plusieurs facteurs permettent de procéder à cette preuve, le « facteur connaissance » qui est la saisie d’un mot de passe ou code PIN, le « facteur propriété » soit le fait qu’un appareil appartienne à une personne en particulier, et le « facteur biométrique » qui se traduit par l’utilisation d’une empreinte digitale, reconnaissance faciale ou vocale pour entre autres déverrouiller un équipement (largement utilisé sur les appareils mobiles).
Ainsi, par exemple, l’authentification multi facteurs peut se manifester par la saisie d’un identifiant et d’un mot de passe, suivie de l’envoi par le service en question d’un code provisoire à saisir directement, et d’une dernière confirmation par une quelconque reconnaissance biométrique.
Une autre forme d’authentification forte, en l’espèce à double facteur, est l’utilisation d’une Clé Fido, son fonctionnement ressemblant fortement à une clé USB basique. Cette méthode permet de confirmer une opération en branchant cette Clé à un appareil informatique – celle-ci devant évidemment être séparée de l’appareil lorsqu’elle n’est pas utilisée.
Ces dispositifs susmentionnés sont donc essentiels pour garantir une meilleure sécurité des accès, les cyberattaquants peinant à reproduire ces méthodes.
Pour en savoir plus et définir une bonne politique de mot de passe, contactez Moontech sur https://www.moontech.fr/contact, Nos experts vous proposent également des formations et des campagnes de sensibilisation sur-mesure adaptées à vos besoins : hhttps://www.moontech.fr/tous-les-services