La sécurité des mots de passe est souvent négligée, mais il suffit d’un seul mot de passe compromis pour paralyser votre entreprise et causer des dommages financiers importants. 

Recherchez donc des moyens de renforcer la sécurité de vos mots de passe avant d'être victime de cyberattaques justement liées aux mots de passe ! Voici quelques recommandations pour la révision de votre politique de mot de passe AD : 

1. Commencer par un audit des mots de passe

Réalisez un audit dès maintenant. Utilisez Specops Password Auditor, un logiciel gratuit d'audit des mots de passe AD en lecture seule, qui réalise une analyse en seulement quelques minutes. Identifiez les comptes qui utilisent les mots de passe compromis, ou qui n'ont pas de mot de passe du tout. 

Commencez par déterminer le risque le plus probable au sein de votre environnement AD - les utilisateurs de ce logiciel révèlent qu'entre 30 et 80 % de leurs comptes utilisaient des mots de passe compromis ! 

2. Évaluer la force (l’entropie) de votre politique de mot de passe actuelle 

Dans le cadre de ces nouvelles recommandations, la CNIL suggère aux entreprises de mettre en place des politiques de mots de passe dont l'entropie est supérieure à 80 bits

Dans le contexte des mots de passe, l'entropie peut être résumée comme suit : combien de tentatives seraient nécessaires pour deviner un mot de passe avec une attaque de force brute ? Nous pouvons calculer l'entropie de vos politiques de mot de passe avec cette formule : E = log2 (RL), L étant la longueur requise du mot de passe, et R, le type de caractères requis. 

Cette explication peut sembler un peu compliquée. Mais la CNIL fournit 3 solutions pour atteindre une entropie de 80 bits ou plus. Par exemple, si vous exigez l'utilisation de caractères spéciaux, votre politique devrait également exiger l'utilisation d'au moins 12 caractères, majuscules et minuscules comprises. Vérifiez si votre politique de mots de passe respecte cette exigence. 

3. Bloquer les mots de passe compromis

En 2023, allez plus loin que les traditionnels mots de passe « forts ». Trouvez un moyen de bloquer systématiquement les mots de passe compromis. 

Les compromissions de données sont un problème mondial. Une attaque contre une entreprise peut traverser les frontières pour en toucher une autre. Malheureusement, la formation à la cybersécurité ne peut à elle seule mettre fin aux comportements indésirables des utilisateurs, comme la réutilisation de mots de passe. 

Afin d’avoir une politique de sécurité des mots de passe efficace, il vous faut un outil qui bloque systématiquement les mots de passe compromis connus dans votre AD. 

4. Envisager l’introduction de phrases de passe

La CNIL recommande l'utilisation de phrases de passe comme solution pour atteindre l'entropie requise. Les avantages du recours aux phrases de passe sont qu'elles permettent d'atteindre facilement les exigences recommandées pour l'authentification et qu'elles sont faciles à retenir pour les utilisateurs. 

Si ces avantages semblent intéressants, on peut expliquer pourquoi peu d'entreprises y ont recours. Microsoft ne fournit pas d'outils pour créer une politique de phrases de passe - vous devrez donc utiliser des codes comme Regex pour créer des règles autour des phrases de passe, ou adopter un outil comme Specops Password Policy pour réglementer l'utilisation des phrases de passe. 

Toutefois, pour certaines entreprises, la facilité d’utilisation des phrases de passe par les utilisateurs finaux pourrait l'emporter sur les obstacles liés à la mise en œuvre d'une politique de phrases de passe. 

5. Réfléchir à la question de l'expiration du mot de passe

Dans ses dernières recommandations, la CNIL s’oppose à l'expiration des mots de passe, expliquant que la réinitialisation régulière des mots de passe provoque chez les utilisateurs des schémas de modification prévisibles. Cependant, il n’existe pas de réponse claire et nette à cette question. Certains organismes tels que PCI exigent toujours une expiration régulière des mots de passe. 

La suppression totale de l'expiration des mots de passe pourrait exposer une organisation à une grande faille de sécurité si des mots de passe compromis étaient utilisés dans son environnement AD. 

Specops Password Policy offre un outil qui vous permet de trouver un juste milieu avec sa fonctionnalité qui détermine la durée de vie du mot de passe basée sur sa longueur, où les utilisateurs qui ont créé des mots de passe plus forts peuvent les conserver plus longtemps. Les incitations comme celles-ci peuvent vous permettre de maintenir l'expiration des mots de passe tout en invitant les utilisateurs à créer des mots de passe plus robustes. 

Faites de 2023 l’année de mise en œuvre de la sécurité de vos mots de passe 

Aujourd'hui, aucune entreprise ne peut se soustraire à la menace que représente les cyberattaques. Des solutions existent pour vous aider mettre en place tout ou une partie des recommandations ci-dessus. Atteignez les normes de sécurité de mots de pa