comment-bien-definir-et-gerer-ses-mots-de-passe-pour-mieux-proteger-ses-donnees
ZenyWay arnaud

Arnaud VETILLART

Fondateur ZENYWAY

Les mots de passe sont aujourd’hui omniprésents dans le quotidien de l’entreprise : pour se connecter à sa banque, à son CRM, à son outil de gestion RH, à son serveur, à tout type de service SaaS, etc… Chacun a des dizaines de mots de passe à retenir, et à taper chaque jour.

Ces mots de passe sont les clés des portes qui enferment et protègent les données.
Malheureusement, ces clés sont aujourd’hui le maillon faible de la sécurité numérique, parce que les mots de passe des collaborateurs sont soit trop simples, soit mal protégés et bien souvent les deux ! Plutôt que d’utiliser des clés difficiles à falsifier, la majorité des internautes laisse, sans s’en rendre compte, la porte ouverte à d’éventuelles intrusions.

Une personne malveillante peut tenter d’accéder à un compte de façon illicite en essayant de trouver le mot de passe de l’utilisateur. Pour cela, elle a, à sa disposition, des fichiers, que l’on trouve très facilement sur le web, contenant des millions de mots de passe déjà volés, qu’elle va essayer les uns après les autres de façon automatisée. Elle va également tester les mots du dictionnaire, des remplacements simples de lettres par des symboles (le ‘o’ pour un ‘0’, le ‘a’ pour un ‘@‘, etc…) ou des informations plus personnelles, comme par exemple Patrick95, si l’utilisateur ou l’un de ses proches s’appelle Patrick et est né en 1995.

La tâche des auteurs de cyber attaques est donc facilitée par la simplicité, et le manque d’originalité, des mots de passe des internautes. Depuis des années, on retrouve en tête des mots de passe les plus utilisés, des séquences comme 12345678, azerty, password, admin…

Les attaques sont aussi rendues plus simples du fait de la réutilisation des mêmes mots de passe sur différents sites.
Le risque est que si l’un de vos mots de passe est découvert, alors c’est l’ensemble de vos comptes qui ne sont plus verrouillés. Certains sites, par négligence, ou par erreur,  protègent mal les mots des passe de leurs utilisateurs, voire même les laisse en clair sur des serveurs. Il suffit d’appeler le support clients de quelques services en ligne, pour découvrir avec surprise que certains ont accès à votre mot de passe ! Ainsi, même un mot de passe complexe peut être volé, ou connu de certaines personnes, et les conséquences sont beaucoup plus critiques si celui-ci, ou un mot de passe assez similaire, est réutilisé sur plusieurs sites.

Une bonne hygiène numérique passe donc par l’utilisation de mots de passe complexes, et différents pour chaque site.
La CNIL (Commission Nationale de l’Informatique et des Libertés) et l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) définissent un mot de passe complexe comme une suite aléatoire de minuscules, de majuscules, de chiffres et de symboles, d’au moins douze caractères. Le fait que les mots de passe soient aléatoires et suffisamment longs permet d’éviter qu’ils soient devinés, liés à des informations personnelles, ou déjà présents dans des listes de mots de passe déjà volés ; le fait qu’ils soient différents pour chaque site permet de limiter une intrusion potentielle à un seul site, celui qui utilise ce mot de passe.

Mais taper des mots de passe complexes est difficile et source d’erreur, en retenir des dizaines est impossible, les noter sur un fichier non sécurisé n’est pas sûr. C’est pourquoi les gestionnaires de mots de passe sont essentiels pour une bonne hygiène numérique. Non seulement ils peuvent générer des mots de passe aléatoires, mais ils peuvent aussi les stocker de façon sûre dans un coffre-fort numérique, et les remplir pour se connecter plus rapidement, sans avoir à les taper, et donc sans erreur. Avec un gestionnaire de mots de passe, il n’y a plus qu’un seul mot de passe à retenir, celui pour accéder à ce gestionnaire.

Le RGPD impose aux entreprises de mettre en place toutes les mesures nécessaires à la protection des données. Puisqu’un mot de passe trop simple n’est pas une protection suffisante, il est important, dans sa mise en conformité, d’adresser la question de la politique des mots de passe, de sensibiliser les collaborateurs, et de leur donner les recommandations et les outils pour suivre les bonnes pratiques. C’est pour cette raison que l’on commence à voir dans le règlement de certaines entreprises, l’obligation de définir et de stocker ses mots de passe à l’aide d’un gestionnaire.