Blog sur la cybersécurité en entreprise
Le paysage des cybermenaces et des cyberattaques est en constante évolution. Explorez notre blog sur la cybersécurité pour obtenir des conseils en matière de conformité, formation et sensibilisation à la sécurité en entreprise.
Sécurité mot de passe : 10 bonnes pratiques pour créer des mots de passe sécurisés
Luke Noonan
Sensibilisation à la cybersécurité
Quel est le degré de sécurité de votre mot de passe ? Comment les pirates informatiques les volent-ils ? Voici dix conseils pour créer des mots de passe sécurisés.
Qu'on les aime ou qu'on les déteste, les mots de passe jouent un rôle important dans notre vie professionnelle quotidienne. Ils sont essentiels pour se connecter aux applications d'entreprise, et la plupart des comptes en ligne sont basés sur un mot de passe. Même avec l'authentification multifactorielle (AMF) et l'authentification biométrique, le mot de passe reste le premier facteur de sécurité.
La popularité des mots de passe vient de leur simplicité d'utilisation pour les individus et de leur facilité de mise en œuvre pour les développeurs. Malheureusement, les mots de passe présentent de nombreuses failles, et les cybercriminels en profitent pleinement.
Qu'est-ce que la sécurité des mots de passe ?
La sécurité des mots de passe est un élément fondamental de la sécurité sur le lieu de travail. Cependant, les mots de passe sont souvent exploités, mal utilisés et négligés. Certaines statistiques illustrent la détérioration de la sécurité des mots de passe ces dernières années :
Combien de mots de passe sont volés ?
- Les cybercriminels ont exploité 1,7 milliard d'identifiants de connexion (y compris les mots de passe) en 2021 (Enquête Spycloud).
Dans quelle mesure les mots de passe sont-ils peu sûrs ?
- Le mot de passe non crypté le plus fréquemment réutilisé est "password" (Enquête Spycloud).
- 45 % des utilisateurs ne changent pas leurs mots de passe après une violation (Étude de LastPass).
Comment les mots de passe sont-ils utilisés à mauvais escient ?
- 60 % des utilisateurs réutilisent les mots de passe (Enquête Spycloud).
- 84 % utilisent le même mot de passe sur plusieurs comptes (Enquête Bitwarden).
L'importance de la sécurité des mots de passe
Les mots de passe sont vulnérables aux attaques de phishing : une étude Hypr 2022 a révélé que 89% des entreprises ont subi une attaque par hameçonnage en 2021. Des recherches sur l'efficacité du phishing ont révélé que 32% des employés cliquent sur un lien de phishing. L'erreur humaine, qui comprend le partage des mots de passe et l'utilisation de mots de passe faibles, est à l'origine de 95 % des cyberattaques, selon l'enquête "IBM Threat Intelligence".
Améliorer la sécurité des mots de passe est crucial pour renforcer la sécurité d'une organisation. Il est donc important de se concentrer sur les pratiques de mots de passe sûrs pour réduire le risque. Voici dix bonnes pratiques pour améliorer la sécurité des mots de passe et réduire la probabilité d'une cyberattaque.
Dix bonnes pratiques pour créer des mots de passe sécurisés
1. Ne les partagez pas !
Les employés partagent leurs mots de passe. Une enquête de Yubico et Ponemon a révélé que 49 % des responsables de la sécurité informatique et 51 % des employés partagent leurs mots de passe avec leurs collègues pour accéder aux comptes professionnels.
Le partage de mots de passe compromet le contrôle de la sécurité. Assurez-vous que vos politiques de sécurité interdisent le partage des mots de passe et sensibilisez vos employés à cette règle.
2. N'utilisez pas le même mot de passe pour différents comptes
Les employés peuvent avoir de nombreux mots de passe à retenir ; comme mentionné ci-dessus, 60 % des employés admettent réutiliser des mots de passe sur plusieurs comptes. Offrez des mécanismes pour faciliter la gestion des mots de passe, tels que l'authentification unique (SSO) et les gestionnaires de mots de passe.
3. Utilisez un gestionnaire de mots de passe
Selon des études de MetaCompliance, une personne moyenne doit se souvenir de 70 à 80 mots de passe. Même ceux qui ont une mémoire incroyable auraient du mal à se souvenir d'autant de mots de passe.
Pour soulager les employés de cette charge, votre entreprise peut leur fournir un gestionnaire de mots de passe. Certains gestionnaires offrent même un générateur de mots de passe qui, comme le nom l'indique, génère automatiquement un nouveau mot de passe. Un gestionnaire de mots de passe est un coffre-fort numérique qui stocke, sécurise et présente un mot de passe lorsqu'un utilisateur se connecte, afin qu'il n'ait pas à se souvenir du mot de passe.
4. Ne notez pas les mots de passe sur votre bureau !
Une mauvaise habitude consiste à noter les mots de passe sur un bout de papier : ils sont potentiellement à risque, surtout dans un environnement de travail, car toute personne de passage pourrait copier le mot de passe et l'utiliser pour se connecter aux comptes de cet employé. Encouragez les employés à utiliser des gestionnaires de mots de passe pour éviter ce problème.
5. Ne donnez jamais vos mots de passe si on vous le demande
Assurez-vous que vos employés comprennent comment fonctionne l'ingénierie sociale. Utilisez la formation de sensibilisation à la sécurité pour souligner comment les escrocs les incitent à donner des informations personnelles, notamment des mots de passe.
6. Rendez les mots de passe difficiles à deviner
Le mot de passe le plus populaire est "123456". Cela facilite la tâche d'un cybercriminel. La sécurité des mots de passe est renforcée par l'utilisation de mots de passe difficiles à deviner. En outre, créez une politique de mot de passe qui encourage l'utilisation de mots de passe plus complexes. L'organisme américain de normalisation, le NIST, fournit régulièrement des mises à jour sur les politiques de mot de passe les plus robustes.
7. Changez les mots de passe en cas de doute
Les politiques de sécurité doivent garantir que les employés changent leurs mots de passe s'ils pensent qu'ils ont été hameçonnés. Cependant, des mises à jour obligatoires de mots de passe toutes les X semaines ou tous les mois peuvent souvent conduire à une mauvaise hygiène des mots de passe. En effet, lorsque les employés sont contraints de changer régulièrement leurs mots de passe, ils ont tendance à opter pour des variantes moins robustes, comme ajouter simplement un chiffre à la fin : "password" devient "password12".
8. Rendre les questions de récupération de mot de passe plus difficiles
La récupération des mots de passe est souvent une cible pour les cybercriminels. Les méthodes utilisées pour récupérer les mots de passe exigent souvent que les utilisateurs saisissent des informations telles que le nom de jeune fille de leur mère. Or, ce type d'information peut être facilement obtenu par les fraudeurs qui explorent les forums Internet et les plateformes de médias sociaux.
Assurez-vous que votre système de récupération des mots de passe est robuste et qu'il dispose de mécanismes de sécurité adéquats pour prévenir toute exploitation. Consultez les recommandations de l'OWASP pour mettre en place une récupération des mots de passe sécurisée.
9. Ne perdez pas vos mots de passe à cause de connexions non sécurisées
Un mot de passe peut être volé si une personne utilise une connexion Internet non sécurisée pour se connecter à un compte. Cette méthode courante permet de dérober des données, y compris des mots de passe, lorsque les utilisateurs se connectent via des réseaux publics. Si vos employés travaillent à distance et utilisent des connexions publiques, assurez-vous qu'ils se connectent uniquement à des sites sécurisés, c’est-à-dire via HTTPS ou un VPN.
10. Sensibiliser les utilisateurs aux dangers des attaques par dictionnaire
Encouragez les utilisateurs à éviter d’utiliser des mots courants lors de la création de leurs mots de passe. Malheureusement, les gens ont tendance à choisir des mots connus, ce qui est exploité dans les attaques par dictionnaire. Ces attaques utilisent des programmes malveillants pour tenter de pirater un compte en essayant des mots de passe courants et des mots connus.
Sensibilisation aux attaques par mot de passe
En fournissant des informations détaillées et des exemples concrets, vous aiderez vos employés à comprendre l'importance de créer des mots de passe robustes et à éviter les erreurs courantes qui pourraient compromettre la sécurité de leurs comptes.
Pour renforcer davantage cette sensibilisation et protéger efficacement vos données, découvrez la formation de MetaCompliance sur la sensibilisation des employés à la cybersécurité. Cette formation aide à éduquer le personnel sur les cybermenaces et les meilleures pratiques en matière de sécurité des mots de passe.
Questions fréquentes sur la sécurité des mots de passe
Pour garantir la sécurité de vos mots de passe, il est essentiel de suivre plusieurs bonnes pratiques. Premièrement, évitez de partager vos mots de passe et ne les notez pas sur des supports physiques, car cela peut entraîner leur vol par des personnes non autorisées. Deuxièmement, ne réutilisez pas les mêmes mots de passe pour différents comptes. Utilisez un gestionnaire de mots de passe pour stocker et générer des mots de passe complexes, réduisant ainsi la charge cognitive et augmentant la sécurité. Les mots de passe doivent être difficiles à deviner, donc évitez les mots courants et les séquences simples comme "123456". Enfin, assurez-vous que les questions de récupération de mot de passe sont sécurisées et que vous utilisez des connexions sécurisées (HTTPS ou VPN) pour éviter le vol de vos informations.
Pour créer un programme de sensibilisation à la cybersécurité efficace, il est crucial de commencer par identifier les risques spécifiques auxquels votre organisation est exposée. Cela implique d'évaluer les menaces telles que le phishing, les logiciels malveillants et les pratiques de sécurité défaillantes. Une fois les risques identifiés, le programme doit inclure des formations interactives et adaptées aux rôles des employés, utilisant des outils divers comme des vidéos, des scénarios réalistes et des simulations de phishing. La formation doit être continue, avec des mises à jour régulières pour refléter les menaces actuelles. Une évaluation régulière de l’efficacité du programme à travers des tests et des audits est également essentielle pour ajuster les contenus et améliorer la sécurité globale de l'organisation. Pour approfondir vos connaissances et renforcer la sécurité de votre personnel face aux cybermenaces, découvrez la formation de sensibilisation des employés à la cybersécurité proposée par MetaCompliance. Cette formation aidera à sensibiliser votre équipe aux bonnes pratiques en matière de mots de passe et de confidentialité des données.
SENSIBILISATION À LA CYBERSÉCURITÉ : D'AUTRES ARTICLES QUE VOUS POURRIEZ AIMER
