Pour chaque nouvel appareil, application et site Web auquel vos utilisateurs et employés doivent se connecter, ils doivent créer un nouveau mot de passe. Il n’est donc pas étonnant qu’ils trouvent cela accablant.

Alors, que font-ils? Ils créent un mot de passe facile à retenir — quelque chose comme «123456» ou peut-être leur date de naissance. Ensuite, pour faire simple, ils utilisent encore et encore le même mot de passe. En plus de cela, ils choisissent que leurs navigateurs et appareils mémorisent ces mots de passe.

Malheureusement, ce que font vos utilisateurs et vos employés pour leur commodité rend votre travail encore plus difficile. C’est précisément le problème qu’Intel a voulu résoudre en introduisant la Journée mondiale des mots de passe en 2013.

Alors que la menace de cybercriminalité augmente chaque année, ils souhaitaient sensibiliser les utilisateurs à l'importance de créer des mots de passe sécurisés. Pour marquer l'occasion de la Journée mondiale des mots de passe le 4 mai 2023, nous faisons un pas de plus dans cette initiative en vous proposant ce guide qui explique comment vous pouvez protéger vos utilisateurs et votre réseau avec des mots de passe plus forts. Allons-y. 

Le besoin de mots de passe forts

Les mots de passe fonctionnent en secret. Vous ne pourriez pas vérifier l’authenticité d’une tentative de connexion si les mots de passe n’étaient pas secrets et si tout le monde les connaissait. Malheureusement, étant donné que les utilisateurs réutilisent les mots de passe de différents sites et/ou suivent de mauvaises méthodes de gestion des mots de passe – les écrire quelque part ou les enregistrer dans les navigateurs, etc. les mots de passe sont divulgués ou compromis quotidiennement. Cela constitue une menace pour votre organisation, car un mot de passe compromis peut potentiellement entraîner de nombreux problèmes.

• Les pirates pourraient accéder à votre réseau et se frayer un chemin vers d’autres appareils et comptes.
• Ils pourraient lancer des ransomwares et d’autres attaques malveillantes.
• Ils pourraient voler des fonds, des identités numériques, des propriétés intellectuelles et d’autres informations sensibles.
• Votre entreprise pourrait subir des dommages à sa réputation et à ses finances en raison du mécontentement des clients, des temps d'arrêt et des mesures punitives imposées par les organismes gouvernementaux et réglementaires.

Environ 63 % des violations de données proviennent d'un mot de passe faible ou volé et, selon IBM , le coût moyen d'une violation de données pour une organisation est d'environ 4,35 millions de dollars. Un mot de passe faible pourrait compromettre l'ensemble de votre réseau et l'avenir de votre organisation.

Créer un mot de passe fort

Si un mot de passe faible peut mettre en péril l’ensemble de votre réseau, un mot de passe fort peut le protéger. Selon une estimation, il faudrait trois sextillions d'années à un ordinateur pour le déchiffrer. un mot de passe aléatoire de 20 caractères et contenant des lettres majuscules et minuscules, des chiffres et des symboles. C'est pourquoi nous vous recommandons de suivre ces bonnes pratiques pour assurer la sécurité de vos utilisateurs et de votre réseau.

Bonnes pratiques pour les employés et les utilisateurs

1. Ayez des mots de passe longs comportant au moins 8 à 12 caractères. Plus le mot de passe est long, plus il est sécurisé.
2. Augmentez la complexité de vos mots de passe en utilisant des lettres minuscules et majuscules, des chiffres et des symboles.
3. Ne définissez pas de mots de passe évidents. Selon un rapport, environ 23 millions de comptes ont le mot de passe «123456.»
4. N'utilisez pas le même mot de passe sur tous les comptes, sites Web et services.
5. Changez les mots de passe périodiquement, au moins une fois tous les 90 jours.
6. Ne stockez pas les mots de passe dans des feuilles de calcul et ne les notez pas là où d'autres personnes peuvent les voir. Pensez à utiliser une solution dédiée à la gestion des mots de passe.
7. Évitez d'utiliser de vrais mots dans vos mots de passe pour échapper aux attaques par dictionnaire afin que les pirates ne puissent pas se connecter simplement parce qu'ils ont systématiquement essayé tous les mots possibles.
8. Obtenez des réponses difficiles aux questions de sécurité des mots de passe. N'utilisez aucune information qu'un pirate informatique peut deviner, comme le nom de vos animaux de compagnie ou de vos enfants.
9. Pensez à utiliser un générateur de mot de passe pour définir un mot de passe aléatoire.
10. Utilisez l'authentification par empreinte digitale ou la reconnaissance faciale lorsque cela est possible, car elles sont plus sécurisées.
    
    

Meilleures pratiques pour votre équipe informatique

1. Limiter les tentatives de connexion. N'autorisez pas plus de cinq tentatives incorrectes.
2. Autorisez les mots de passe longs. N'imposez aucune restriction aux personnages.
3. Chiffrez les mots de passe afin qu’ils soient difficiles à déchiffrer même si un pirate informatique y accède.
4. #LayerUp en mettant en œuvre l'authentification multifacteur (MFA) et l'authentification à deux facteurs (2FA).
5. Modifiez le mot de passe d'un employé après qu'il ait quitté votre organisation.
6. Exécutez des audits de mots de passe pour tester si votre réseau peut résister aux types d'attaques courants comme les attaques par dictionnaire ou par force brute.
7. Rappelez à vos employés et utilisateurs les bonnes pratiques que nous avons partagées ci-dessus.
8. Utilisez un gestionnaire de mots de passe robuste qui crypte les mots de passe de votre base de données et vous avertit de tout danger.

#LayerUp lors de la Journée mondiale des mots de passe

Les mots de passe ne constituent que la première ligne de défense contre les cybermenaces. Si vous souhaitez vraiment protéger votre réseau et votre organisation contre les ransomwares et autres menaces, vous devez ajouter des couches de protection en mettant en œuvre une authentification multifacteur ou à deux facteurs.

Bien qu'il s'agisse d'une mesure relativement simple à prendre pour accroître la protection, de nombreuses organisations ont jusqu'à présent hésité à le faire.

C'est pourquoi la campagne #LayerUp a été créée pour la Journée mondiale du mot de passe. Il vise à promouvoir la mise en œuvre de l’authentification multifactorielle et à deux facteurs.

Authentification multifacteur (MFA)

Dans MFA, un utilisateur doit confirmer son identité plusieurs fois. En d’autres termes, MFA est une méthode d’authentification qui utilise deux ou plusieurs facteurs pour réaliser l’authentification. Les facteurs qui peuvent être utilisés pour l'authentification comprennent :

• Quelque chose que vous connaissez (par exemple, mot de passe, numéro d'identification personnel et code PIN)
• Quelque chose que vous possédez (par exemple, un appareil reconnu)
• Quelque chose que vous êtes (par exemple, données biométriques telles que les empreintes digitales ou la reconnaissance faciale)

Authentification à deux facteurs (2FA)

2FA est un sous-ensemble de MFA. Cela suit la même logique : un utilisateur doit prouver qui il est plus d'une fois ; ils doivent vérifier leur identité deux fois.

Pourquoi les organisations devraient #LayerUp

Les principaux avantages de la MFA et de la 2FA sont :

• Ils ajoutent une couche de sécurité supplémentaire.
• Ils sont meilleurs pour vérifier l’identité de l’utilisateur.
• Ils répondent aux exigences réglementaires.
• Ils sont efficaces même dans les environnements distants dotés de politiques BYOD.
• Ils sont faciles à mettre en œuvre.
• Ils augmentent la productivité de votre équipe informatique en réduisant le nombre de tickets émis par vos utilisateurs et employés pour sécuriser leurs comptes et appareils.

Facteurs d'authentification

Outre l'utilisation de leurs mots de passe, les utilisateurs peuvent utiliser les facteurs d'authentification suivants pour s'identifier.

Mots de passe à usage unique : les utilisateurs peuvent recevoir un mot de passe à usage unique sur leur numéro de mobile ou leur adresse e-mail enregistrés pour valider leur tentative de connexion.

Authentification à partir d'appareils reconnus : les utilisateurs peuvent valider leurs tentatives de connexion à partir d'un appareil distinct reconnu par l'application ou le service.

Jetons USB ou appareils électroniques : les utilisateurs peuvent utiliser une clé USB ou un appareil électronique pour générer un code unique à chaque fois qu'ils souhaitent se connecter à leur compte ou appareil.

Reconnaissance d'empreintes digitales ou faciale : les utilisateurs peuvent utiliser leurs caractéristiques physiques uniques, comme leur empreinte digitale ou leur visage, pour valider leurs tentatives de connexion.

Les mots de passe sont une passerelle vers une plus grande cybersécurité

Même si 10 ans se sont écoulés depuis le lancement de la Journée mondiale des mots de passe, nous ne sommes toujours pas à l'abri des risques posés par les pirates informatiques.

Les mots de passe constituent notre première ligne de défense contre eux. Cependant, ils sont rendus vulnérables par les mauvaises pratiques des utilisateurs et les méthodes d’attaque efficaces.

Cela dit, vous pouvez prendre plusieurs mesures pour protéger vos utilisateurs et votre environnement. Vous informer, vous et vos utilisateurs, sur les meilleures pratiques en matière de mots de passe est la première de ces étapes. Ensuite, il est important de #LayerUp en mettant en œuvre une authentification multifacteur ou à deux facteurs.

Notre meilleur pari contre les pirates informatiques est une combinaison de méthodes. En cette Journée mondiale des mots de passe, ne lésinons pas sur la sécurité et utilisons tous les outils dont nous disposons pour assurer la sécurité de tous les utilisateurs et organisations.

Continuons à nous informer, ainsi que ceux qui nous entourent, sur l'importance de créer des mots de passe forts et sur les meilleures pratiques de gestion des mots de passe, car l'éducation des utilisateurs est importante. Plus vous sécurisez l’environnement, moins il est pratique pour les utilisateurs finaux. Vous devez donc les emporter avec vous dans le parcours de cybersécurité de votre organisation.