Pour gérer vos consentements :

Les règles incontournables pour (bien) définir un mot de passe

Publié par Thibault Galbourdin, pentester chez DND AGENCY le - mis à jour à

Messageries, réseaux sociaux, banques, commerces en ligne, réseaux d'entreprise... Il est tentant d'utiliser votre date de naissance ou le petit nom de votre chiwawa comme mot de passe. Pourtant, cette pratique compromet la sécurité de vos accès et engage votre responsabilité auprès de vos clients.

Il n'existe pas de définition universelle d'un bon mot de passe, mais sa complexité et sa longueur permettent de diminuer le risque de réussite d'une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite en force brute). On considère que la longueur du mot de passe suffit pour résister aux attaques courantes à partir de 12 caractères. Lorsque la taille du mot de passe diminue, des mesures compensatoires doivent être prévues.

En novembre 2018, la CNIL a adopté une nouvelle recommandation sur ce point et fixe des mesures minimales à mettre en oeuvre :

  • le mot de passe ne pas se trouver dans le dictionnaire
  • il ne doit pas correspondre à des données personnelles
  • il doit comporter au moins 8 caractères et 12 dans certains cas
  • il doit être composé de majuscule, minuscules, chiffres et caractères spéciaux.
  • Quelques règles complémentaires à adopter néanmoins

    Dans une entreprise, ces recommandations ne suffisent pas à protéger les données des collaborateurs ou encore celles des clients. Il est fortement recommandé d'instaurer une politique de gestion de mots de passe et des procédures afin d'en contrôler le respect dans la pratique.

    Voici les principales mesures à mettre en place pour gérer efficacement les mots de passe et assurer au mieux la sécurité de votre environnement numérique. Si certaines peuvent paraître évidentes, il en est tout autre dans les faits.

    1. Ne cochez jamais la case " se souvenir de moi ".

    2. Ne conservez jamais vos mots de passe par écrit ; un gestionnaire de mot de passe fourni par un organisme spécialisé en cybersécurité vous permettra de stocker vos mots de passe sur un serveur protégé pour les utiliser dans vos applications et de partager vos accès sans pour autant les divulguer.

    3. Utilisez un mot de passe impossible à deviner en évitant les informations personnelles ou les suites logiques (azerty, 1234, etc.)

    4. Utilisez un mot de passe différent pour chaque accès en vous aidant d'un générateur de mot de passe.

    5. Changez votre mot de passe au moindre soupçon

    6. Ne communiquez jamais votre mot de passe à un tiers

    7. N'utilisez pas votre mot de passe sur un ordinateur partagé dans les lieux publics, ils peuvent être piégés et récupérés par un criminel. Utilisez un mode de navigation privée et veillez à bien déconnecter vos sessions après utilisation.

    8. Activez la double authentification lorsque c'est possible. En plus de votre identifiant de compte et votre mot de passe, ces services vous demandent un code provisoire reçu par SMS par exemple.

    9. Changez les mots de passe par défaut des différents services auxquels vous accédez car il existe un dictionnaire des mots de passe générés par défaut selon les appareils (imprimante, téléphone, etc.)

    10. Choisissez un mot de passe particulièrement robuste pour votre messagerie car elle est généralement associée à beaucoup de vos comptes en ligne et permet elle-même de recevoir des liens de réinitialisation. C'est celui qui demande le plus de précaution.

    Pour aller plus loin

    D'autres actions comme la temporisation des accès aux comptes, l'installation d'un "captcha", d'un blocage du compte après plusieurs tentatives ou d'un "fail 2 ban" pour les serveurs peut empêcher les robots de pirater votre système, mais cela demande des connaissances techniques plus pointues.

    Assurer la sécurité et la confidentialité des données personnelles de votre société, de vos collaborateurs et de vos clients vous prémunira de sanctions prononcées par la CNIL. Avertissement, mise en demeure ou amende pécuniaire pouvant se porter à 4% du chiffre d'affaires, plusieurs sociétés comme Optical Center et Facebook ont déjà été redressées, parfois même à plusieurs reprises, pour manquement à l'obligation de sécurité prévue par l'article 34 de la " Loi Informatique et Liberté ".

    Pour en savoir plus

    Thibault Galbourdin est pentester chez DND AGENCY.

    Ses interventions permettent aux entreprises de prendre conscience des failles présentes dans leurs systèmes et leurs infrastructures.
    Thibault partage directement les détails et les scénarios d'attaques avec les dirigeants et leur permet de réaliser plus concrètement à quel point leurs données sont vulnérables et le resteront sans une application immédiate de ses recommandations



    La rédaction vous recommande