Mots de passe en entreprise, comment évangéliser les bonnes pratiques sécurité ?

Aussi simple que cela puisse paraître, nous avons tous plusieurs mots de passes pour un nombre indéfini de comptes. Ils sont censés être différents et éviter les potentiels fraudes ou piratage. Mais comment enregistrer tous ces mots de passe ? Parfois la rapidité est favorisée alors on garde le même mot de passe pour plusieurs comptes… Erreur fatale ? Trouvez les bonnes pratiques à adopter pour protéger vos données.

Sécurisez votre mot de passe

Un mot de passe est une série de caractères (lettres, chiffres, caractères spéciaux) permettant l’authentification d’un utilisateur qui désire accéder à un espace protégé. Le mot de passe est donc un élément important en termes de protection des données. Afin qu’il soit sécurisé, voici quelques recommandations :

• Votre mot de passe doit être composé d’au minimum 16 caractères comprenant : majuscules, minuscules, chiffres, caractères spéciaux ;
  – Il doit être unique pour chaque service. Compte tenu de la multitude de services en nécessitant, il est conseillé d’utiliser des gestionnaires de mots de passe;
  – Attention, les post-it ou documents Word ne sont pas des gestionnaires de mots de passe, ils sont à bannir !
  – Le mot de passe ne doit pas avoir de rapport probant avec votre vie. Sont par exemple à proscrire votre date de naissance, votre nom de famille ou votre code postal ! En effet, en effectuant des recherches sur vous, ces informations sont accessibles ;
  – Il doit être différent des derniers mots de passe utilisés ;
• Modifiez les mots de passe par défaut des systèmes ;
  – Ne vous envoyez pas vos propres mots de passe de quelque manière que ce soit (messagerie, sms ou autre) ;
  – Un mot de passe est personnel et ne doit pas être divulgué ;
  – Configurez les logiciels ainsi que votre navigateur web, pour ne pas enregistrer les mots de passe utilisés !  En cas d’infection par un virus, vous facilitez le travail des pirates.
  – La question des mots de passe n’est pas uniquement à prendre en compte pour l’utilisateur. Il est important que les sites ou plus largement les services permettent une authentification sécurisée.

Démarche de sécurisation d’une authentification

Pour cela, des bonnes pratiques sont à mettre en places :

• Privilégier la double authentification avec par exemple un code reçu sur mobile (SMS, Google Authenticator), par e-mail ou via un dispositif dédié au 2FA (Yubikey, etc.) ;
• Imposer un mot de passe de 16 caractères minimum composé de chiffres, lettres, caractères spéciaux ;
• Ne pas transmettre les mots de passe stockés ;
• Mettre en place des alertes de sécurité ou même un blocage de compte en cas d’un nombre d’échecs d’authentification important ;

Un mot de passe est un élément d’authentification très important. Il se doit d’être robuste afin de ne pas risquer de perdre ses données personnelles, et parfois, confidentielles.

Une question revient souvent : « Lequel de mes mots de passe doit être le plus sécurisé ? » Et bien c’est celui de votre boite mail !
En effet, la quasi-totalité des services permettent la réinitialisation du mot de passe par mail. Ainsi, un attaquant qui disposerait d’un accès à votre boite pourrait réinitialiser les mots de passe de tous vos services sans que vous ne soyez au courant !

Les gestionnaires de mots de passe

Un gestionnaire de mots de passe est un logiciel installé sur son ordinateur, qui permet de conserver de manière sécurisée, chez soi ou sur les serveurs d’une société de confiance, sa liste de mots de passe de manière chiffrée et sécurisée.
Tous les gestionnaires de mots de passe permettent la génération de codes aléatoires complexes : impossibles à deviner, d’un grand nombre de caractères, il suffit d’un copier-coller pour chacun de vos sites !

La solution idéale est d’utiliser un logiciel open-source (dont le code source est accessible et auditable par n’importe qui) qui ne synchronise pas avec un fournisseur externe la base de données des mots de passe.
Ainsi, il vous suffit de mémoriser un seul mot de passe* afin d’accéder à tous les autres.
Cependant, cette solution présente l’inconvénient principal de ne pas être « portable » (vous n’avez pas vos mots de passe sur votre mobile ou un autre ordinateur, par exemple) et de ne pas tolérer la panne de votre ordinateur.
Voici quelques exemple de gestionnaires de mots de passe : KeePass, KeePassX, KeepassXC.

Il est possible de synchroniser la base de données entre appareils via des services auto-hébergés (Owncloud, nextcloud, etc.) ou bien de sociétés externes (Dropbox, Box, Drive, etc.).

En entreprise, il est également possible de déposer ce fichier sur un lecteur réseau, afin de disposer d’une sauvegarde en cas de panne de la machine, et de pouvoir y accéder depuis un autre ordinateur.

D’autres solutions existent, sous forme d’extension de navigateur comme Dashlane ou Bitwarden, entre autres. Sous réserve de la confiance que l’on accorde à l’éditeur. Ces solutions présentent l’avantage d’être plus simples à utiliser et d’être portables d’un appareil à l’autre.
La société n’a, normalement, pas accès à vos mots de passe puisque seul votre mot de passe personnel, mémorisé uniquement par vous, en permet l’accès.

Munissez-vous des meilleurs outils pour sécuriser vos comptes. Privilégiez l’organisation de vos mots de passes dans un gestionnaire de compte et n’hésitez pas à vous « double identifier ». Deux fois valent mieux qu’une !

* : Il est cependant conseillé de conserver une possibilité de retrouver un accès à sa boîte mail en cas d’urgence, et donc de mémoriser également le mot de passe d’accès à sa messagerie.