dimanche, février 5, 2023
HomePROTÉGERLes mots de passe doivent être bien plus complexes que 1-2-3-4

Les mots de passe doivent être bien plus complexes que 1-2-3-4

Voici le dernier épisode de notre Cybersecurity Awareness Month qui vous apporte des conseils utiles et de bonnes pratiques pour protéger vos données. Éditions précédentes : 

L’utilisation de mots de passe pour nos systèmes informatiques, tant à la maison qu’au travail, est une longue histoire. Depuis que le premier mot de passe numérique a été utilisé au Massachusetts Institute of Technology en 1960, des millions de personnes dans le monde ont pris l’habitude de créer un mot de passe pour accéder à de nombreux systèmes numériques. C’est devenu aussi courant que de respirer, et dans l’ensemble, beaucoup ont essayé de prendre des raccourcis avec leurs mots de passe pour gagner du temps. 

Des études récentes le confirment, et voici quelques statistiques effrayantes à garder à l’esprit : 

  • 53 % des personnes se fient à leur mémoire pour gérer leurs mots de passe 
  • 51 % utilisent les mêmes mots de passe pour leurs comptes professionnels et personnels 
  • 57 % des personnes qui ont été victimes d’une attaque de phishing n’ont toujours pas changé leurs mots de passe 
  • 23 millions (oui, millions) de titulaires de comptes utilisent toujours le mot de passe « 123456 » 
  • Le mot de passe comporte en moyenne huit caractères ou moins

Compte tenu de l’état de la sécurité et de la gestion des mots de passe, il n’est pas surprenant que 90 % des internautes craignent que leurs mots de passe soient piratés. Malheureusement, la réalité est que les mots de passe sont le point d’entrée dans les environnements des entreprises qui hébergent un trésor de données et d’informations confidentielles. L’élaboration d’un plan visant à garantir que les mots de passe sont aussi sûrs que possible et sa mise en œuvre dans le cadre d’une approche plus globale de la sécurité de l’information devraient figurer en tête de liste des tâches de tous les professionnels de l’informatique et de la sécurité. 

Créer votre liste de tâches pour la sécurité de votre mot de passe 

  1. Ne pas se dire « si », mais « quand » : partez de l’hypothèse que le mot de passe de quelqu’un sera compromis et préparez votre approche en conséquence. Plus de 555 millions de mots de passe volés sont apparus sur le darknet au cours des 5 dernières années. 
  2. Encouragez l’imprévisibilité : mieux connu sous le nom d’« entropie du mot de passe », il s’agit d’une mesure du degré d’imprévisibilité d’un mot de passe (c’est-à-dire de sa difficulté à être deviné par un pirate). L’entropie du mot de passe repose sur le jeu de caractères que vous utilisez, qui peut s’étendre en utilisant des lettres minuscules, des lettres majuscules, des chiffres et des symboles. 
  3. Surveillez et agissez : les pirates peuvent effectuer des milliers, des dizaines de milliers, voire des centaines de milliers de tentatives de mots de passe par seconde pour s’introduire dans des comptes. Limitez le nombre de tentatives et empêchez la fenêtre d’attaque en mettant en place le verrouillage et l’expiration des mots de passe. Mettez en œuvre la création de rapports et la surveillance pour détecter et bloquer les ouvertures de session suspectes. 
  4. Appliquez une authentification multifacteur (MFA) avec des mots de passe : les utilisateurs sont confrontés au problème de devoir se souvenir de leur mot de passe, ce qui conduit à des mots de passe simples et réutilisés que d’autres peuvent également utiliser. Sachez que rien n’est unique. Mettez en place une authentification multifacteur qui comprend un élément qui vous est propre, comme une application d’authentification ou une carte d’accès, ou de la biométrie. Des études ont montré que la MFA bloque 99,9 % des attaques.
  5. Considérez la sécurité des mots de passe comme l’une des briques de votre mur de sécurité : la mise en œuvre de solides stratégies de sécurité des mots de passe est importante, mais ce n’est qu’un moyen parmi d’autres de fortifier votre organisation contre les cyberattaques. Pensez à mettre en œuvre des pare-feu, des contrôles d’accès basés sur les rôles (RBAC), des analyses de prévention des pertes de données (DLP) et des réseaux locaux virtuels (VLAN) dans le cadre de votre approche de la sécurité des informations. 

Chez AvePoint, nous prenons à cœur cette approche de la protection de nos informations : nos clients doivent être assurés que nous adhérons et avons été certifiés par rapport aux (en anglais) normes du secteur en matière de sécurité et de confidentialité, ISO 27001:2013, ISO 27017:2015, Cloud Security Alliance (CSA) niveau 2, SOC 2 Type II, FedRAMP et IRAP. Nous permettons également à nos clients d’exploiter leur Azure Active Directory pour l’authentification avec nos solutions Cloud et les Active Directory Federation Services pour ceux qui utilisent nos solutions on-premises. Les organisations peuvent ainsi utiliser leurs protocoles existants de sécurité et de gestion des mots de passe. 

Pour nos clients comme pour nos collaborateurs, AvePoint place la sécurité au premier plan. Pour en savoir plus, rendez-vous sur la page AvePoint Trust Center (en anglais). 

Produits AvePoint 

Vous cherchez à assurer une protection optimale de vos données ? AvePoint vous propose Cloud Backup qui vous offre une grande tranquillité d’esprit en cas de catastrophe et récupère rapidement le contenu perdu ou corrompu à partir de vos sauvegardes.


Abonnez-vous à notre blog pour recevoir une notification sur le prochain article présentant le mois de la cybersécurité. 

Henry F.
Henry F.
Henry is an Information Technology Manager at AvePoint.
Alex Varvel
Alex Varvel
Alex works on AvePoint's Information Technology team, specializing in process improvement and automation with a focus in the domains of cybersecurity, compliance and cloud technologies.

More Stories