10 étapes pour améliorer la sécurité des mots de passe

La sécurité des mots de passe est essentielle pour protéger vos informations personnelles et professionnelles. Suivez ces 10 étapes essentielles pour renforcer la sécurité de votre mot de passe et protéger vos comptes en ligne contre les menaces potentielles.

Qu’on l’aime ou qu’on le déteste, le mot de passe joue un rôle important dans notre vie professionnelle quotidienne. Le mot de passe est devenu le moyen privilégié de se connecter à une application d’entreprise, et la plupart des comptes en ligne sont basés sur un mot de passe ; même avec l’AFM (authentification multifactorielle) et l’authentification biométrique, le mot de passe persiste en tant que premier facteur.

La popularité du mot de passe s’explique par le fait qu’il est simple à utiliser pour les particuliers et à mettre en œuvre pour les développeurs. Malheureusement, le mot de passe a de nombreux talons d’Achille et les cybercriminels profitent pleinement de sa vulnérabilité.

L’importance de la sécurité des mots de passe

Les mots de passe sont vulnérables aux attaques de phishing : une étude Hypr 2022 a révélé que 89% des entreprises ont subi une attaque de phishing en 2021. Des recherches sur l’efficacité de l’hameçonnage ont montré que 32 % des employés cliqueront sur un lien d’hameçonnage. L’erreur humaine, qui comprend le partage de mots de passe et l’utilisation de mots de passe faibles, est à l’origine de 95 % des cyberattaques, selon l’enquête IBM Threat Intelligence.

L’amélioration de la sécurité des mots de passe est un moyen fondamental pour une organisation de renforcer sa position en matière de sécurité. Par conséquent, concentrez-vous sur des pratiques sûres en matière de mots de passe afin d’améliorer rapidement le niveau de risque de votre organisation.

Voici dix bonnes pratiques pour améliorer la sécurité des mots de passe et réduire la probabilité d’une cyberattaque.

Dix conseils pour que vos mots de passe soient forts et sûrs

1/ Ne les partagez pas !

Les employés partagent leurs mots de passe. Une enquête de Yubico et Ponemon a révélé que 49 % des responsables de la sécurité informatique et 51 % des employés partagent leurs mots de passe avec leurs collègues pour accéder à des comptes professionnels.

Le partage des mots de passe signifie que ces mots de passe échappent au contrôle de votre organisation. Or, le contrôle est essentiel au maintien de la sécurité. Veillez à ce que vos politiques et pratiques de sécurité indiquent qu’un employé ne doit pas partager ses mots de passe. Il est important de sensibiliser tous les employés à l’importance de ne pas partager les mots de passe.

2/ N’utilisez pas le même mot de passe pour différents comptes

Les employés peuvent avoir de nombreux mots de passe à mémoriser ; comme indiqué ci-dessus, 60 % des employés admettent réutiliser des mots de passe pour plusieurs comptes. Découragez les employés d’utiliser le même mot de passe en leur donnant des mécanismes pour éviter cela. Ces mécanismes peuvent inclure l’authentification unique (SSO) pour les comptes associés et un gestionnaire de mots de passe.

3/ Utilisez un gestionnaire de mots de passe

Dans notre article Pourquoi vous avez besoin d’un gestionnaire de mots de passe, MetaCompliance indique qu’une personne moyenne doit se souvenir de 70 à 80 mots de passe. Même les personnes dotées d’une mémoire exceptionnelle auraient du mal à se souvenir d’un tel nombre de mots de passe.

Pour alléger le fardeau des employés, votre entreprise peut leur fournir un gestionnaire de mot de passe. Un gestionnaire de mots de passe est un coffre-fort numérique qui stocke, sécurise et présente un mot de passe lorsqu’un utilisateur se connecte, afin qu’il n’ait pas à s’en souvenir.

4/ N’écrivez pas vos mots de passe sur votre bureau !

Une mauvaise habitude en matière de mots de passe consiste à les écrire sur un morceau de papier : ils sont potentiellement à risque, en particulier dans un environnement de travail, car n’importe quelle personne pourrait copier le mot de passe et l’utiliser pour se connecter aux comptes de l’employé en question. De plus, un employé qui utilise le même mot de passe pour plusieurs comptes peut être exposé à des comptes multiples.

5/ Ne donnez jamais vos mots de passe si on vous les demande

Assurez-vous que les employés comprennent le fonctionnement de l’ingénierie sociale. Utilisez la formation à la sensibilisation à la sécurité pour mettre l’accent sur la manière dont les escrocs les incitent à donner des informations personnelles, y compris des mots de passe.

6/ Rendez les mots de passe difficiles à deviner

Le mot de passe le plus répandu est 123456. Cela facilite la tâche des cybercriminels. La sécurité des mots de passe est renforcée par l’utilisation de mots de passe difficiles à deviner. En outre, créez une politique de mots de passe qui encourage l’utilisation de mots de passe plus complexes. L’organisme de normalisation américain, le NIST, fournit une mise à jour régulière sur les politiques de mots de passe les plus robustes.

7/ Changez de mot de passe en cas de doute

Les politiques de sécurité devraient garantir que les employés modifient leurs mots de passe s’ils pensent avoir été victimes d’un hameçonnage. Cependant, les mises à jour obligatoires des mots de passe toutes les X semaines ou tous les mois peuvent souvent entraîner une mauvaise hygiène des mots de passe. Si les gens sont obligés de changer de mot de passe, ils ont tendance à utiliser des mots de passe mis à jour moins robustes – par exemple en ajoutant un chiffre à la fin : « mot de passe » devient « mot de passe12 ».

8/ Rendre les questions de récupération de mot de passe plus difficiles

La récupération des mots de passe est souvent une cible pour les cybercriminels ; les méthodes utilisées pour récupérer les mots de passe demandent aux utilisateurs d’entrer des détails tels que le nom de jeune fille de leur mère. Le problème est que ce type d’information peut être facilement trouvé par les fraudeurs qui parcourent les forums Internet et les plateformes de médias sociaux.

Assurez-vous que votre système de récupération de mot de passe est robuste et qu’il dispose de mécanismes de sécurité associés pour empêcher son exploitation. Consultez les suggestions de l’OWASP pour une récupération robuste des mots de passe.

9/ Ne perdez pas vos mots de passe sur des connexions non sécurisées

Un mot de passe peut être volé si une personne utilise une connexion internet non sécurisée pour se connecter à un compte. Cette méthode courante est utilisée pour voler des données, y compris des mots de passe, lorsque des personnes utilisent des connexions Internet publiques. Si vos employés travaillent à distance et sont susceptibles d’utiliser l’internet public, veillez à ce qu’ils ne se connectent qu’en utilisant un site sécurisé, c’est-à-dire HTTPS ou un VPN.

10/ Sensibiliser les utilisateurs aux dangers des attaques par dictionnaire

Encouragez les utilisateurs à ne pas utiliser de mots communs lors de la création d’un mot de passe. Malheureusement, les gens ont tendance à utiliser des mots connus comme mots de passe : ce fait est exploité dans les « attaques par dictionnaire » qui utilisent des programmes malveillants pour tenter de pirater un compte à l’aide de mots de passe et de mots courants.

Sensibilisez vos employés à l’aide d’une sensibilisation automatisée à la sécurité sur les tactiques que les pirates utilisent pour compromettre les mots de passe.