Ces dernières années se sont accompagnées d’une augmentation des attaques informatiques de grande ampleur, qui ont entraîné la compromission de nombreux mots de passe. Pour une entreprise, le risque est sévère et peut mettre en péril son activité, c’est pourquoi il est aujourd’hui indispensable pour tout dirigeant de mettre en place une politique de mot de passe robuste, et de former ses collaborateurs aux bonnes pratiques.
La protection de son mot de passe dépend principalement de son niveau de robustesse. La définition de la robustesse d'un mot de passe est sa capacité à être deviné, par exemple lors d’une attaque informatique par force brute – qui consiste pour un hacker à tester massivement des combinaisons de caractères à l’aide d’un programme. Cette robustesse dépend de la complexité et de la longueur du mot de passe choisi, et se mesure au nombre de tentatives estimées nécessaires pour le « casser » (voir calcul de l'entropie d'un mot de passe en fin d'article).
En entreprise, mettre en place une politique de mot de passe robuste consiste à renforcer la protection de ses donnés en choisissant des mots de passe longs et complexes, et en évitant les erreurs les plus fréquentes qui consistent à choisir des mots de passe simples parce qu’ils sont faciles à retenir ou à portée symbolique – comme le nom de la rue du siège de l’entreprise ou sa date de création – ou encore en utilisant le même mot de passe pour différents comptes – ce qui peut entraîner un piratage en cascade. Or, plus la structure d’un mot de passe est logique et plus il se répète, plus il est facile à casser.
« Les mauvais mots de passe sont l’une des manières les plus simples de compromettre la sécurité d’un système. »
Edward Snowden
Générer un mot de passe au format robuste en 5 Do's et Don’t.
La CNIL (Commission nationale de l’informatique et des libertés) a adopté une série de recommandations relatives aux mots de passe solides en 2017. Actualisées en 2021, ces recommandations insistent sur l’importance de renforcer la sécurité des mots de passe des entreprises, encore trop vulnérables, en créant des suites de caractères complexes et aléatoires, allant jusqu’à 12 signes, et en évitant toute combinaison logique qui permette de le deviner.
La CNIL a ainsi mis à disposition un générateur de mots de passe robustes et aléatoires, garantissant aux professionnels de respecter le seuil de sécurité posé par la loi :
https://www.cnil.fr/fr/generer-un-mot-de-passe-solide
Les mots de passe ne doivent jamais être stockés en clair. Recourir à un coffre-fort, ou gestionnaire de mots de passe peut être un vrai atout pour sa politique de gestion de mots de passe : il permet de les stocker en toute sécurité sur une base de données, et d’y accéder grâce à un mot de passe « maître » unique. Il existe des logiciels de coffre-fort qui ont le double avantage de générer eux-mêmes des mots de passe robustes et de les stocker, comme :
Si les dirigeants sont de plus en plus nombreux à mettre en place des politiques de mot de passe robustes, la formation des collaborateurs à ces bonnes pratiques reste fondamentale pour garantir la sécurité des données des entreprises. Certaines mesures complémentaires peuvent également se révéler précieuses, comme la multi-authentification, à minima la double authentification, désormais obligatoire pour les services bancaires et financiers, ou le message d’alerte en cas de connexion inconnue. Enfin, même lorsqu’une politique de mot de passe robuste est en place, il reste important d’opérer périodiquement à un renouvellement de l’ensemble des mots de passe de l’entreprise.
Des pratiques de cybersécurité à connaître :
Pour mesurer la robustesse d'un mot de passe, il faut calculer son entropie. L'entropie d'un mot de passe est une mesure de la quantité d'information qu'il faut acquérir pour le deviner. Imaginons que le mot de passe soit un nombre entre 1 et 16 et que l'objectif soit de le deviner en posant un minimum de question auxquelles on répond par oui ou par non.
La stratégie optimale consiste à procéder par dichotomie, c'est-à-dire à successivement couper l'intervalle des valeurs possibles en 2 parties égales et à demander à chaque étape dans lequel des 2 intervalle le mot de passe se trouve. Comme 16 est égal à 2^4 (lire 2 puissance 4), il faudra poser 4 questions avant de trouver à coup sûr ce mot de passe. On dit alors que 4 est son entropie.
Plus l'espace des mot de passe possibles augmente, plus l'entropie des mots de passe générés augmente.
Si un collaborateur renseigne son identifiant et son mot de passe (aussi robuste qu'il soit) sur un site internet frauduleux après avoir reçu un e-mail de phishing (hameçonnage), alors le pirate peut accéder au système interne de l'entreprise. Cependant, l'activation de mots de passe robustes notamment sur les espaces administrateurs rendra le pivotement plus difficile au sein du sytème informatique. Il s'agit donc bien d'une protection en plus pour empêcher les attaquants d'accéder à des données sensibles et ainsi d'activer un ransomware (rançongiciel). Dans l'idéal, l'entreprise devrait compléter sa protection mettant en place des campagnes de sensibilisation au phishing.
Sources :