Sécurité mot de passe : 10 bonnes pratiques pour créer des mots de passe sécurisés

Quel est le degré de sécurité de votre mot de passe ? Comment les pirates informatiques les volent-ils ? Dix conseils pour créer des mots de passe sécurisés.

Qu'on les aime ou qu'on les déteste, les mots de passe jouent un rôle important dans notre vie professionnelle quotidienne. Le mot de passe est devenu le moyen de se connecter à une application d'entreprise et la plupart des comptes en ligne sont basés sur un mot de passe ; même avec l'authentification multifactorielle (AMF) et l'authentification biométrique, le mot de passe persiste comme premier facteur. 

La raison de la popularité du mot de passe est qu'il est simple à utiliser pour les gens et à mettre en œuvre pour les développeurs. Mais malheureusement, le mot de passe a de nombreux talons d'Achille, et les cybercriminels profitent pleinement de la vulnérabilité du mot de passe. 

Qu'est-ce que la sécurité des mots de passe ?

La sécurité des mots de passe est un élément fondamental de la sécurité sur le lieu de travail. Mais les mots de passe sont régulièrement exploités, mal utilisés et malmenés. Certaines statistiques montrent à quel point la situation de la sécurité des mots de passe s'est dégradée ces dernières années :

Combien de mots de passe sont volés ?

• Les cybercriminels ont exploité 1,7 milliard d'identifiants de connexion (y compris les mots de passe) en 2021 (Enquête Spycloud).

Dans quelle mesure les mots de passe sont-ils peu sûrs ?

• Le mot de passe non crypté réutilisé le plus souvent est "password" (Enquête Spycloud).
• 45% des utilisateurs ne changent pas leurs mots de passe après une violation (Étude de LastPass).

Comment les mots de passe sont-ils utilisés à mauvais escient ?

• 60% des utilisateurs réutilisent les mots de passe (Enquête Spycloud).
• 84 % utilisent le même mot de passe sur plusieurs comptes (Enquête Bitwarden).

L'importance de la sécurité des mots de passe

Les mots de passe sont vulnérables aux attaques de phishing : une étude Hypr 2022 a révélé que 89% des entreprises ont subi une attaque par hameçonnage en 2021. Des recherches sur l'efficacité du phishing ont révélé que 32% des employés cliquent sur un lien de phishing. L'erreur humaine, qui comprend le partage des mots de passe et l'utilisation de mots de passe faibles, est à l'origine de 95 % des cyberattaques, selon l'enquête "IBM Threat Intelligence".

L'amélioration de la sécurité des mots de passe est un moyen fondamental pour une organisation d'améliorer son niveau de sécurité. Par conséquent, concentrez-vous sur les pratiques de mots de passe sûrs pour améliorer rapidement le niveau de risque de votre organisation.

Voici dix bonnes pratiques pour améliorer la sécurité des mots de passe et réduire la probabilité d'une cyberattaque.

Dix bonnes pratiques pour créer des mots de passe sécurisés

Ne les partagez pas !

Les employés partagent leurs mots de passe. Une enquête de Yubico et Ponemon a révélé que 49 % des responsables de la sécurité informatique et 51 % des employés partagent leurs mots de passe avec leurs collègues pour accéder aux comptes professionnels.

Le partage des mots de passe signifie que ces mots de passe échappent au contrôle de votre organisation. Or, le contrôle est essentiel au maintien de la sécurité. Veillez à ce que vos politiques et pratiques de sécurité indiquent qu'un employé ne doit pas partager ses mots de passe. Surtout, sensibilisez tous les employés à l'importance de ne pas partager les mots de passe.

N'utilisez pas le même mot de passe pour différents comptes

Les employés peuvent avoir de nombreux mots de passe à retenir ; comme mentionné ci-dessus, 60 % des employés admettent réutiliser des mots de passe sur plusieurs comptes. Découragez les employés d'utiliser le même mot de passe en leur donnant des mécanismes pour éviter cela. Ces mécanismes peuvent inclure l'authentification unique (Single Sign On, SSO) pour les comptes associés et un gestionnaire de mots de passe.

Utilisez un gestionnaire de mots de passe

Selon des études de MetaCompliance, une personne moyenne doit se souvenir de 70 à 80 mots de passe. Même ceux qui ont une mémoire incroyable auraient du mal à se souvenir d'autant de mots de passe.

Pour soulager les employés de cette charge, votre entreprise peut leur fournir un gestionnaire de mots de passe. Certains gestionnaires offrent même un générateur de mots de passe qui, comme le nom l'indique, génère automatiquement un nouveau mot de passe. Un gestionnaire de mots de passe est un coffre-fort numérique qui stocke, sécurise et présente un mot de passe lorsqu'un utilisateur se connecte, afin qu'il n'ait pas à se souvenir du mot de passe.

Ne notez pas les mots de passe sur votre bureau !

Une mauvaise habitude consiste à noter les mots de passe sur un bout de papier : ils sont potentiellement à risque, surtout dans un environnement de travail, car toute personne de passage pourrait copier le mot de passe et l'utiliser pour se connecter aux comptes de cet employé. De même, un employé qui utilise le même mot de passe pour plusieurs comptes peut être exposé sur des comptes multiples.

Ne donnez jamais vos mots de passe si on vous le demande

Assurez-vous que vos employés comprennent comment fonctionne l'ingénierie sociale. Utilisez la formation de sensibilisation à la sécurité pour souligner comment les escrocs les incitent à donner des informations personnelles, notamment des mots de passe.

Rendez les mots de passe difficiles à deviner

Le mot de passe le plus populaire est 123456. Cela facilite la tâche d'un cybercriminel. La sécurité des mots de passe est renforcée par l'utilisation de mots de passe difficiles à deviner. En outre, créez une politique de mot de passe qui encourage l'utilisation de mots de passe plus complexes. L'organisme américain de normalisation, le NIST, fournit une mise à jour régulière des politiques de mot de passe les plus robustes.

Changez les mots de passe en cas de doute

Les politiques de sécurité doivent garantir que les employés changent leurs mots de passe s'ils pensent qu'ils ont été hameçonnés. Cependant, les mises à jour obligatoires des mots de passe toutes les X semaines ou tous les mois peuvent souvent entraîner une mauvaise hygiène des mots de passe. Si les gens sont obligés de changer de mot de passe, ils ont tendance à utiliser des mots de passe mis à jour moins robustes - en ajoutant peut-être un chiffre à la fin : "password" devient "password12".

Rendre les questions de récupération de mot de passe plus difficiles

La récupération des mots de passe est souvent une cible pour les cybercriminels. Les méthodes utilisées pour récupérer les mots de passe obligent les utilisateurs à entrer des détails tels que le nom de jeune fille de leur mère. Le problème est que ce type d'information peut être facilement trouvé par les fraudeurs qui parcourent les forums Internet et les plateformes de médias sociaux.

Assurez-vous que votre système de récupération des mots de passe est robuste et qu'il dispose de mécanismes de sécurité associés pour empêcher l'exploitation. Consultez les suggestions de l'OWASP pour une récupération robuste des mots de passe.

Ne perdez pas vos mots de passe à cause de connexions non sécurisées

Un mot de passe peut être volé si une personne utilise une connexion internet non sécurisée pour se connecter à un compte. Cette méthode courante est utilisée pour voler des données, y compris des mots de passe, lorsque des personnes utilisent des connexions internet publiques. Si vos employés travaillent à distance et peuvent utiliser l'internet public, assurez-vous qu'ils ne se connectent qu'en utilisant un site sécurisé, c'est-à-dire HTTPS ou un VPN.

Sensibiliser les utilisateurs aux dangers des attaques par dictionnaire

Encouragez les utilisateurs à ne pas utiliser de mots courants lors de la création d'un mot de passe. Malheureusement, les gens ont tendance à utiliser des mots connus pour les mots de passe : ce fait est exploité dans les "attaques par dictionnaire" qui utilisent des programmes malveillants pour essayer de pirater un compte en utilisant des mots de passe et des mots courants.

Sensibilisez les utilisateurs, à l'aide d'une formation à la cybersécurité, à des tactiques comme celle-ci, et d'autres, qui sont utilisées pour pirater les mots de passe.