Journée mondiale du changement de mot de passe : un appel à l'action ISMS.online

Journée mondiale du changement de mot de passe : un appel à l'action

Par Christie Rae • 1er Février 2024.

Le 1er février marque la Journée mondiale Changez votre mot de passe, créée en 2012 pour encourager la sensibilisation aux bonnes pratiques de gestion des mots de passe. Ce n'est un secret pour personne : l'erreur humaine est la principale cause de violations de données : une étude réalisée en 2022 par le Forum économique mondial a constaté que 95 % des problèmes de cybersécurité proviennent d’erreurs.

Alors que les cybermenaces ne cessent de se multiplier, il est plus important que jamais que les entreprises prennent des mesures préventives pour atténuer les risques d'origine humaine, notamment en améliorant la gestion des mots de passe.

L’importance d’une bonne gestion des mots de passe

Les mots de passe constituent la première ligne de défense en matière de cybersécurité : les clés de notre porte d'entrée numérique. L’application d’une bonne gestion des mots de passe est donc un élément essentiel de toute stratégie de gestion des risques commerciaux. Les mots de passe faibles et faciles à deviner augmentent le risque de violations de données réussies, permettant aux pirates d'accéder aux e-mails privés, aux réseaux et aux données sensibles de l'entreprise et des clients.

Violations de données créent également des risques de réputation et financiers. L'IBM Coût d'une violation de données 2023 Le rapport révèle que le coût moyen mondial d’une violation de données pour une entreprise s’élève à 4.5 millions de dollars, soit une augmentation de 15 % depuis 2020.

L’atteinte à la réputation peut également avoir un impact significatif. En 2018, Le cours de l'action Facebook a chuté de plus de 100 milliards de dollars après l'incident de violation de données impliquant Cambridge Analytica. British Airways a subi une chute en termes de réputation et de cours de l'action après une violation de données en 2018 qui a vu des pirates informatiques accéder aux informations personnelles et financières de près de 500,000 XNUMX clients.

De plus, une bonne sécurité des mots de passe peut contribuer à améliorer la conformité aux réglementations sur la protection des données comme le règlement général de l'UE Règlement sur la protection des données (GDPR) et les normes de sécurité de l'information telles que ISO 27001.

Défis de la gestion des mots de passe

Dans un monde idéal, chaque employé disposerait d’un mot de passe unique pour chaque connexion. En pratique, mémoriser plusieurs mots de passe différents n’est pas pratique et peut conduire à une lassitude liée aux mots de passe. Faire respecter la politique de mot de passe peut également s’avérer délicat. Un bon point de départ consiste à définir des règles système concernant la longueur des mots de passe et à exiger que les mots de passe soient mis à jour après un certain temps.

Meilleures pratiques pour la gestion des mots de passe professionnels

Les organisations peuvent s’assurer qu’elles suivent les meilleures pratiques en matière de sécurité des mots de passe de différentes manières :

Longueur et complexité du mot de passe

Envisagez de définir des exigences selon lesquelles les mots de passe doivent contenir entre 12 et 20 caractères, avec une gamme de caractères minuscules et majuscules, de caractères spéciaux et de chiffres pour une force accrue. Une étude par Institut de sécurité et de confidentialité CyLab de l'Université Carnegie Mellon a constaté qu'exiger une force minimale et une longueur minimale de 12 caractères créait un bon équilibre entre sécurité et convivialité.

Politiques de mise à jour

Bien que la Journée mondiale de modification de votre mot de passe soit un rappel opportun pour mettre à jour les mots de passe, elle ne devrait pas être la seule fois où les mots de passe sont modifiés. L'éditeur de logiciels de sécurité McAfee recommande de changer les mots de passe tous les trois mois.

Réutilisation du mot de passe

Il peut être tentant pour les salariés d’utiliser le même mot de passe pour plusieurs comptes au sein de leur environnement de travail. Cependant, cela augmente le risque de piratage de compte. Si un acteur malveillant a accès à un compte avec ce mot de passe, il aura effectivement accès à tous. La formation et l'éducation des employés peuvent contribuer à atténuer ce risque en décourageant la réutilisation des mots de passe.

Outils de gestion des mots de passe

Qu'ils soient autonomes ou inclus dans les navigateurs, ces outils sont conçus pour combler le fossé entre sécurité et convivialité, en stockant et en rappelant en toute sécurité des mots de passe forts et uniques pour chaque site et application. Cependant, il est essentiel de noter que si un pirate informatique accède à l'outil de gestion des mots de passe, il pourra compromettre tous les mots de passe qui y sont stockés.

Implémentation de l'authentification multifacteur

Authentification multi-facteurs (MFA) exige que l'utilisateur fournisse deux (ou plus) formes de vérification pour accéder à un compte. Par exemple, MFA peut demander à l'utilisateur de se connecter avec son nom d'utilisateur et son mot de passe, puis de fournir un mot de passe à usage unique (OTP) envoyé par SMS sur son téléphone. L'utilisateur doit fournir à la fois son mot de passe et son mot de passe à usage unique pour accéder au compte, ajoutant ainsi une couche de sécurité supplémentaire.

Il existe plusieurs types de MFA :

OTP et OTP basés sur le temps

Les OTP sont une forme puissante de MFA et peuvent être envoyés via des applications d'authentification, des gestionnaires de mots de passe ou des messages texte (SMS). Une fois le mot de passe utilisé, il n'est plus valable pour une nouvelle utilisation. Les mots de passe à usage unique (TOTP) ajoutent une couche de sécurité supplémentaire car ils ne sont valables que pour une durée limitée.

L'utilisation d'OTP et de TOTP avec une application d'authentification ou un gestionnaire de mots de passe est plus sécurisée que de les recevoir par SMS. Les messages texte sont sensibles au piratage de la carte SIM, aux attaques d'interception et à l'ingénierie sociale.

Envoyer un e-mail à l'AMF

Email MFA implique que la deuxième forme d’authentification de l’utilisateur soit envoyée à son adresse e-mail. Cette forme de MFA, bien que simple et accessible pour les utilisateurs, présente des risques similaires aux SMS OTP si un pirate informatique a accès au compte de messagerie auquel le code est envoyé.

MFA biométrique

Utilisations biométriques de l'AMF la reconnaissance faciale, une analyse d'empreintes digitales ou une analyse de l'iris pour valider l'identité de l'utilisateur et peut constituer une forme d'authentification forte. Il est couramment utilisé sur les téléphones mobiles, car l'utilisateur peut configurer la biométrie au lieu d'utiliser un numéro d'identification personnel (PIN) pour déverrouiller le téléphone et même les utiliser pour accéder à des applications sécurisées telles que l'authentification et les applications bancaires personnelles.

Bien que l’authentification multifacteur biométrique soit l’une des formes d’authentification les plus robustes, les utilisateurs peuvent toujours être vulnérables si leurs données biométriques sont volées. Contrairement aux mots de passe, ces données ne peuvent pas être réinitialisées ou modifiées.

Éducation des employés et application des politiques

L’un des principaux obstacles à une sécurité renforcée des mots de passe est le risque d’erreur humaine. La formation des employés est essentielle pour garantir que tous les membres de l'organisation connaissent les risques associés à une mauvaise gestion des mots de passe et leurs responsabilités en matière de cybersécurité. Cependant, il est également essentiel de fournir des solutions qui permettent au personnel de se concentrer sur son travail et d'éviter la fatigue des mots de passe.

Formation à la cybersécurité

Investir dans la formation des employés à la cybersensibilisation peut contribuer à assurer la sécurité de l'entreprise et à garantir que le personnel est en mesure de détecter et de signaler d'autres risques, comme les tentatives d'attaques de phishing. De nombreuses plateformes de formation dédiées permettent aux organisations de proposer des cours dans toute l'entreprise, de contrôler qui a suivi la formation requise et d'envoyer automatiquement des rappels par e-mail aux retardataires.

Politique de mot de passe

Développez une politique de mot de passe alignée sur les meilleures pratiques et communiquez cette politique à l’ensemble de l’entreprise. Cela peut être fait parallèlement à une formation en cybersécurité pour aider tous les membres de l'entreprise à comprendre la prise de décision derrière la politique et à améliorer l'adhésion des employés.

Les politiques peuvent spécifier la longueur minimale du mot de passe, sa complexité, les types de caractères autorisés et d'autres éléments. Comme mentionné, l'équipe informatique peut également configurer les appareils des employés pour qu'ils nécessitent des mises à jour après une certaine période, par exemple 90 jours.

Comment ISO 27001 et d’autres cadres peuvent vous aider

Les cadres de sécurité de l'information comme la norme ISO 27001 et les réglementations comme le RGPD obligent les entreprises à prendre des mesures en matière de sécurité des mots de passe.

Par exemple, le RGPD oblige les entreprises à traiter les données personnelles en toute sécurité en utilisant « des mesures techniques et organisationnelles appropriées », tandis que ISO 27001: 2022 L'Annexe A, Contrôle 5.17, exige que les informations d'authentification soient conservées en sécurité. Les directives de contrôle indiquent également que les utilisateurs doivent sélectionner des mots de passe difficiles à deviner et forts, conformes aux normes de l'industrie :

● Les mots de passe ne doivent pas être basés sur des informations personnelles faciles à obtenir, telles que les noms ou les dates de naissance.
● Les mots de passe ne doivent pas être fondés sur des informations faciles à deviner.
● Les mots de passe ne doivent pas comprendre de mots ou de séquences de mots communs.
● Utilisez des caractères alphanumériques et des caractères spéciaux dans votre mot de passe.
● Les mots de passe doivent avoir une longueur minimale requise.

Cinq étapes pour améliorer la politique de mot de passe

1) Auditer la politique de mot de passe actuelle

Passez en revue la politique de mot de passe existante de l’organisation. Doit-il être mis à jour ou amélioré ? S’il n’existe pas actuellement de politique en matière de mots de passe, développez-en une conformément aux normes de l’industrie.

2) Communiquer au sein de l'entreprise

Assurez-vous que tout le personnel est au courant des politiques de mot de passe nouvelles ou mises à jour. Définissez la politique et pourquoi elle est essentielle, et envisagez de former les employés en tandem. Les organisations devraient également envisager de former les gestionnaires afin qu’ils puissent défendre la politique auprès des autres.

3) Mettre en œuvre des outils de gestion de mots de passe

Choisissez des outils de gestion de mots de passe approuvés. L'utilisation d'un outil de gestion allège la charge de mémorisation de plusieurs informations d'identification différentes pour différents comptes, améliorant ainsi la probabilité d'adhésion des employés.

4) Utiliser l'AMF

Mettez en œuvre la MFA comme moyen supplémentaire d’authentifier les utilisateurs et d’atténuer le risque de phishing.

5) Investissez dans la formation des employés

Formez les employés à suivre une politique de mot de passe nouvelle ou mise à jour et formez-les à l’utilisation des outils de gestion des mots de passe et d’AMF. Cela peut améliorer l’adhésion et aider le personnel à comprendre l’importance d’une bonne gestion des mots de passe.

Il est temps d'agir

Dans notre monde numérique, il est plus important que jamais pour les entreprises de faire le point sur leur cybersécurité. La Journée mondiale Changez votre mot de passe sert d’appel à l’action pour les chefs d’entreprise. Il est désormais temps d’identifier de manière proactive les zones de vulnérabilité, notamment les mauvaises politiques en matière de mots de passe, et de réduire le risque posé par les cybermenaces contre les entreprises, les données et, par extension, les personnes.

Prêt à agir pour sécuriser votre entreprise et améliorer la gestion de vos mots de passe ? Découvrez comment notre solution de système de gestion de la sécurité de l'information (ISMS) peut aider votre organisation à améliorer sa posture de sécurité et à aligner sa politique de mot de passe sur de puissants cadres de sécurité de l'information.

Christie Rae

Christie est spécialiste du marketing de contenu chez ISMS.online. Avec plus de sept ans d'expérience, elle vise à rédiger du contenu informatif et engageant et a travaillé dans divers secteurs, notamment la cybersécurité, les logiciels en tant que service, la technologie et les produits pharmaceutiques.

En savoir plus sur Christie Rae

La cyber-sécurité 29 December 2025

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur juridique

Le rapport 2025 sur l'état de la sécurité de l'information a révélé la complexité des défis et des opportunités en matière de cybersécurité auxquels les responsables de la sécurité ont été confrontés au cours des 12 dernières années…

Christie Rae

La cyber-sécurité 17 December 2025

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur manufacturier et des services publics

Le rapport annuel sur l'état de la sécurité de l'information a révélé la myriade de défis et d'opportunités auxquels les responsables de la sécurité ont été confrontés au cours des 12 derniers mois...

Christie Rae

La cyber-sécurité 10 December 2025

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur financier

Le troisième rapport annuel d'IO sur l'état de la sécurité de l'information a révélé les principaux défis auxquels les responsables de la sécurité seront confrontés en 2025, des attaques alimentées par l'IA à…

Christie Rae