Le mot de passe fait partie des mesures de cybersécurité les plus basiques et les plus simples à mettre en application. Pourtant, on constate bien souvent qu’il n’est pas pris assez au sérieux et que de nombreux collaborateurs n’appliquent pas les recommandations qui leur sont faites à ce sujet.
Méconnaissance des bonnes pratiques, sous-estimation du cyber-risque ou besoin de faciliter la mémorisation… De nombreuses raisons expliquent une mauvaise gestion et utilisation des mots de passe en entreprise. Au plus grand bonheur des pirates informatiques qui profitent de cet avantage pour arriver plus facilement à leurs fins.
Des mauvaises pratiques qui subsistent encore…
Malgré une sensibilisation plus intensive ces dernières années, les mauvaises pratiques en matière de mot de passe persistent toujours. D’après le rapport Specops, basé sur les témoignages de 2 000 employés de bureau, 54% d’entre eux adoptent des pratiques peu sécurisées pour leurs mots de passe.
Les règles de matière d’utilisation et de renouvellement des mots de passe sont bien souvent bafouées. D’après une enquête d’Avast, leader mondial de la sécurité numérique, 51% des Français utilisent le même mot de passe pour protéger plusieurs comptes. Certains utilisateurs avouent même de ne jamais changer leurs mots de passe (32%) ou d’effectuer qu’une légère modification lors du renouvellement. Modifier ou ajouter un caractère n’est évidemment pas suffisant pour vous protéger.
On constate également que les recommandations liées à la conservation des mots de passe ne sont toujours pas respectées. Beaucoup d’utilisateurs les écrivent encore sur des post-it ou des carnets pour combler une potentielle perte de mémoire. Des erreurs qui paraissent anodines mais qui peuvent engendrer de sérieux problèmes de sécurité.
Des mots de passe faciles à deviner
Certaines mauvaises habitudes apparaissent dès la création du mot de passe. De nombreuses personnes utilisent des mots de passe peu complexes (uniquement composé des chiffres et des lettres par exemple) pour faciliter leur mémorisation. Pour un pirate informatique, les déchiffrer sera un jeu d’enfant et ne lui prendra que quelques millièmes de secondes.
Une autre erreur courante est d’inclure dans vos mots de passe des références liées à votre vie privée ou à l’entreprise dans laquelle vous travaillez. Évitez à tout prix d’intégrer le nom de votre animal de compagnie, la date de naissance d’un proche ou encore le titre de votre film préféré. Votre mot de passe ne doit pas comporter le nom complet de votre entreprise ou son nom de domaine. Ces informations peuvent être trouvées et récupérées par les hackers via de simples recherches sur internet et vos réseaux sociaux.
Même si ces pratiques facilitent grandement le travail de votre mémoire, elles représentent un risque considérable pour votre sécurité.
Les risques liés à une mauvaise gestion de mot de passe
Une mauvaise gestion des mots de passe peut mettre votre entreprise en danger. Un mot de passe peu complexe ou mal conservé pourra être rapidement et simplement hacker par des cybercriminels. Ils ont alors l’accès à certaines données ou, dans les cas les plus graves, à l’ensemble du système d’information.
Elle ouvre ainsi la voie à tout un ensemble d’actes malveillants : vol ou compromission des données, demande de rançon (attaque ransomware), espionnage, divulgation d’informations confidentielles ou sensibles…etc.
D’après une étude Verizon, 81% des violations de données mondiales serait liées à une problématique de mot de passe en 2021. De plus, la CNIL constate que, parmi les 60% des notifications reçues pour piratage, un grand nombre aurait pu être évité si les bonnes pratiques en matière de mots de passe avaient été respectées.
Les recommandations en matière de mots de passe
La mise en place d’une politique de mot de passe est vivement conseillée pour guider vos collaborateurs et renforcer la sécurité numérique. Elle doit contenir les mesures essentielles en matière de gestion, de création, d’utilisation et de conservation des mots de passe. Elle doit bien évidemment être adaptée à l’activité et aux spécificités de votre entreprise. Voici quelques bonnes pratiques que vous pouvez y inclure :
1# La création d’un mot de passe robuste
Votre mot de passe doit être suffisamment long et complexe pour vous protéger efficacement. Il doit être composé d’au minimum 10 caractères et contenir des lettres (en majuscule et en minuscule), des chiffres et des caractères spéciaux (?@!%&#$.€/…).
Rendez-le impossible à deviner ! Pour cela, il est préférable qu’il ne comporte pas d’informations personnelles telles qu’une date de naissance, le nom de votre animal ou encore une référence à un loisir, film ou musique. Evitez également les suites logiques comme 123456, azerty ou encore abcde. Ce sont bien souvent les premières combinaisons testées par les pirates informatiques.
2# L’utilisation d’un mot de passe différent pour chaque service
Vos mots de passe doivent être uniques pour chaque compte ! Ne réutilisez pas le même mot de passe ou une version légèrement modifiée pour protéger l’ensemble de vos services numériques. Vous évitez ainsi aux cybercriminels d’accéder à d’autres comptes en cas de compromission d’un de vos mots de passe.
N’hésitez pas également à activer la double authentification quand cela est possible. Cette option renforce davantage la sécurité de vos comptes. En plus de votre mot de passe, un second code de confirmation temporaire vous sera demandé. Il peut vous être envoyé par SMS, par courrier électronique (e-mail) ou via une application spécifique.
3# Maitriser le renouvellement de vos mots de passe
Ne gardez pas indéfiniment le même mot de passe ! Changez-le respectant les délais d’expiration préconisés. Ces délais dépendent de la sensibilité des services ou données que vos mots de passe protègent. Au moindre doute de compromission ou d’insécurité, n’attendez pas ! Changez-le immédiatement.
De plus, ne gardez jamais les mots de passe mis par défaut. Ils sont bien souvent connus par les cybercriminels. Remplacez-les au plus vite par des mots de passe plus robustes.
Lors du renouvellement, évitez de réutiliser d’ancien mot de passe. Ne faites pas non plus de légères modifications. Rajouter un caractère (une lettre, un chiffre ou autre) ne sera pas suffisant pour vous protéger correctement.
4# Conservez précieusement vos mots de passe
N’écrivez pas vos mots de passe sur des post-it ou un carnet laissé sur un coin de votre bureau. Une personne malveillante pourrait y avoir accès.
Ne communiquez jamais vos mots de passe à vos collègues ou une tierce personne. Ils doivent garder leur caractère confidentiel et donc rester secret. Méfiez-vous également des sociétés ou organisation qui vous demande votre mot de passe via le téléphone ou par courriel. Il s’agit très probablement d’une arnaque.
Le gestionnaire de mots de passe, bonne ou mauvaise idée ?
Le nombre de services numériques augmente à toute vitesse en entreprise. Il est donc parfois difficile de retenir tous les mots de passe que l’on utilise pour les sécuriser. Cette situation amène vos collaborateurs à adopter certaines mauvaises pratiques pour faciliter leur mémorisation. Il existe pourtant une alternative pour créer des mots de passe solides et les stocker en toute sécurité. Il s’agit du gestionnaire de mots de passe.
On peut comparer le gestionnaire de mots de passe à un coffre-fort numérique. Il stocke et mémorise pour vous l’ensemble de vos mots de passe et vous permet d’en générer de nouveaux avec la complexité nécessaire.
Attention ! Évitez d’utiliser le gestionnaire de mots de passe intégré à votre navigateur. Même s’il est pratique et facile d’utilisation, il a tendance à être moins sécurisé. Nous vous conseillons plutôt d’opter pour des gestionnaires de mots passe faisant l’objet de recommandations auprès des experts en cybersécurité : Keepass, Dashlane ou encore Bitewarden.
Petit rappel, en informatique le risque zéro n’existe pas. Aucun outil de sécurité (pare-feu, antivirus…) n’est en capacité de vous garantir une protection absolue. Il en est de même pour le gestionnaire de mots de passe. Indépendant de la marque, il ne sera jamais à 100% sûr. Néanmoins, il limite fortement le risque de compromission et il s’agit de l’alternative de stockage de mots de passe la plus sécurisée…
Pour aller plus loin :
- Cybermalveillance.gouv.fr : Pourquoi et comment bien gérer ses mots de passe ?
- La CNIL : Mots de passe, une nouvelle recommandation pour maîtriser sa sécurité