Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Le guide ultime des meilleures pratiques pour les mots de passe : Protéger votre identité numérique

Le guide ultime des meilleures pratiques pour les mots de passe : Protéger votre identité numérique

Nov 15, 2023

Les mots de passe restent la première ligne de défense contre les cybermenaces, mais des identifiants faibles ou réutilisés exposent les organisations aux attaques par force brute, dictionnaire et hameçonnage. Des pratiques de mots de passe robustes — combinées à des gestionnaires de mots de passe et à l'authentification multifacteur — sont essentielles pour sécuriser les données sensibles et répondre aux exigences de conformité. Netwrix Password Secure applique des politiques, détecte les identifiants faibles et assure la sécurité des mots de passe à l'échelle de l'entreprise.

Face à l'escalade des cyberattaques et des violations de données, le conseil omniprésent de « ne partagez pas votre mot de passe » n'est plus suffisant. Les mots de passe restent les clés principales de nos actifs numériques les plus importants, donc suivre les meilleures pratiques de sécurité des mots de passe est plus critique que jamais. Que vous sécurisiez des e-mails, des réseaux ou des comptes d'utilisateurs individuels, suivre les meilleures pratiques de mots de passe peut aider à protéger vos informations sensibles contre les menaces cybernétiques.

Lisez ce guide pour explorer les meilleures pratiques en matière de mots de passe qui devraient être mises en œuvre dans chaque organisation — et apprenez comment protéger les informations vulnérables tout en adhérant à de meilleures stratégies de sécurité.

Les secrets des mots de passe forts

Un mot de passe solide est votre première ligne de défense pour protéger vos comptes et réseaux. Mettez en œuvre ces meilleures pratiques standard de création de mot de passe lorsque vous réfléchissez à un nouveau mot de passe :

  • Complexité: Assurez-vous que vos mots de passe contiennent un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Il convient de noter que les règles de composition, telles que minuscules, symboles, etc., ne sont plus recommandées par NIST — donc utilisez-les à votre propre discrétion.
  • Longueur: Les mots de passe plus longs sont généralement plus robustes — et souvent, la longueur l'emporte sur la complexité. Visez au moins 6-8 caractères.
  • Imprévisibilité: Évitez d'utiliser des phrases communes ou des modèles. Évitez d'utiliser des informations facilement devinables comme des dates de naissance ou des noms. Créez plutôt des chaînes uniques difficiles à deviner pour les pirates.

Contenu connexe sélectionné :

Combiner ces facteurs rend les mots de passe plus difficiles à deviner. Par exemple, si un mot de passe fait 8 caractères de long et inclut des lettres majuscules, des lettres minuscules, des chiffres et des caractères spéciaux, le nombre total de combinaisons possibles serait de (26 + 26 + 10 + 30)^8. Ce nombre astronomique de possibilités rend extrêmement difficile pour un attaquant de deviner le mot de passe.

Bien sûr, compte tenu des directives mises à jour du NIST sur les mots de passe, la meilleure approche pour une sécurité efficace des mots de passe est l'utilisation d'un gestionnaire de mots de passe — cette solution aidera non seulement à créer et stocker vos mots de passe, mais elle rejettera automatiquement les mots de passe communs et faciles à deviner (ceux inclus dans les fuites de mots de passe). Les gestionnaires de mots de passe augmentent considérablement la sécurité contre les types d'attaques suivants.

Attaques par devinettes de mots de passe

Comprendre les techniques que les adversaires utilisent pour deviner les mots de passe des utilisateurs est essentiel pour la sécurité des mots de passe. Voici certaines des attaques clés à connaître :

Attaque par force brute

Dans une attaque par force brute, un attaquant essaie systématiquement toutes les combinaisons possibles de caractères jusqu'à ce que le bon mot de passe soit trouvé. Cette méthode prend du temps mais peut être efficace si le mot de passe est faible.

Les mots de passe robustes aident à contrecarrer les attaques par force brute car ils augmentent le nombre de combinaisons possibles qu'un attaquant doit essayer, rendant peu probable qu'il puisse deviner le mot de passe dans un délai raisonnable.

Attaque par dictionnaire

Une attaque par dictionnaire est un type d'attaque par force brute dans laquelle un adversaire utilise une liste de mots courants, d'expressions et de mots de passe fréquemment utilisés pour essayer d'obtenir un accès.

Les mots de passe uniques sont essentiels pour contrecarrer les attaques par dictionnaire car les attaquants se basent sur des mots et des expressions courants. Utiliser un mot de passe qui n'est pas un mot du dictionnaire ou un motif connu réduit considérablement la probabilité qu'il soit deviné. Par exemple, la chaîne « Xc78dW34aa12! » ne figure pas dans le dictionnaire ni sur la liste des mots de passe couramment utilisés, ce qui la rend beaucoup plus sécurisée que quelque chose de générique comme « password ».

Attaque par dictionnaire avec variations de caractères

Dans certaines attaques par dictionnaire, les adversaires utilisent également des mots standards mais essaient aussi des substitutions de caractères courantes, telles que remplacer ‘a’ par ‘@’ ou ‘e’ par ‘3’. Par exemple, en plus d'essayer de se connecter en utilisant le mot “password”, ils pourraient également essayer la variante “p@ssw0rd”.

Choisir des mots de passe complexes et imprévisibles est nécessaire pour contrecarrer ces attaques. En utilisant des combinaisons uniques et en évitant les motifs facilement devinables, vous rendez la tâche difficile aux attaquants pour deviner votre mot de passe.

Comment les gestionnaires de mots de passe améliorent la sécurité

Les gestionnaires de mots de passe sont indispensables pour stocker et organiser vos mots de passe de manière sécurisée. Ces outils offrent plusieurs avantages clés :

  • Sécurité : Les gestionnaires de mots de passe stockent les mots de passe et les saisissent pour vous, éliminant ainsi le besoin pour les utilisateurs de tous les retenir. Tout ce que les utilisateurs doivent mémoriser est le mot de passe principal de leur outil de gestion de mots de passe. Ainsi, les utilisateurs peuvent utiliser des mots de passe longs et complexes comme recommandé par les meilleures pratiques sans se soucier d'oublier leurs mots de passe ou de recourir à des pratiques non sécurisées telles que noter les mots de passe ou réutiliser le même mot de passe pour plusieurs sites ou applications.
  • Génération de mot de passe: Les gestionnaires de mots de passe peuvent générer un mot de passe fort et unique pour les comptes utilisateurs, éliminant ainsi la nécessité pour les individus de les inventer.
  • Chiffrement: Les gestionnaires de mots de passe chiffrent les coffres-forts de mots de passe, garantissant la sécurité des données — même en cas de compromission.
  • Confort: Les gestionnaires de mots de passe permettent aux utilisateurs d'accéder facilement à leurs mots de passe sur plusieurs appareils.

Lors de la sélection d'un gestionnaire de mots de passe, il est important de prendre en compte les besoins spécifiques de votre organisation, tels que le support pour les plateformes que vous utilisez, le prix, la facilité d'utilisation et l'historique des violations du fournisseur. Menez des recherches et lisez des avis pour identifier celui qui s'aligne le mieux avec les exigences de votre organisation. Parmi les options remarquables figurent Netwrix Password Secure, LastPass, Dashlane, 1Password et Bitwarden.

Comment l'authentification multifacteur (MFA) ajoute une couche supplémentaire de sécurité

L'authentification multifacteur renforce la sécurité en exigeant deux formes ou plus de vérification avant d'accorder l'accès. Plus précisément, vous devez fournir au moins deux des facteurs d'authentification suivants :

  • Quelque chose que vous connaissez : L'exemple classique est votre mot de passe.
  • Quelque chose que vous possédez : Généralement, il s'agit d'un dispositif physique tel qu'un smartphone ou un jeton de sécurité.
  • Quelque chose que vous êtes : Il s'agit de données biométriques telles qu'une empreinte digitale ou la reconnaissance faciale.

L'authentification multifacteur rend un mot de passe volé inutile, alors mettez-la en œuvre partout où c'est possible.

Gestion de l'expiration des mots de passe

Les politiques d'expiration des mots de passe jouent un rôle crucial dans le maintien d'une sécurité renforcée des mots de passe. L'utilisation d'un gestionnaire de mots de passe qui crée des mots de passe forts a également une influence sur l'expiration des mots de passe. Si vous n'utilisez pas encore de gestionnaire de mots de passe, mettez en place une stratégie pour vérifier tous les mots de passe au sein de votre organisation ; avec une augmentation des data breaches, les listes de mots de passe (comme le connu rockyou.txt et ses variantes) utilisées dans les attaques par force brute ne cessent de croître. Le site web haveibeenpawned.com offre un service pour vérifier si un mot de passe donné a été exposé. Voici ce que les utilisateurs devraient savoir sur les meilleures pratiques de sécurité des mots de passe liées à l'expiration des mots de passe :

  • Suivez les directives de la politique: Respectez la politique d'expiration des mots de passe de votre organisation. Cela inclut de changer votre mot de passe lorsque cela vous est demandé et de choisir un nouveau mot de passe fort qui répond aux exigences de la politique.
  • Définissez des rappels: Si votre organisation n'impose pas l'expiration des mots de passe via des notifications, programmez vos propres rappels pour changer votre mot de passe lorsqu'il le faut. Vérifiez régulièrement vos e-mails ou les notifications système pour des incitations.
  • Évitez les motifs évidents: Lorsque vous changez votre mot de passe, évitez d'utiliser des variations du précédent ou des motifs prévisibles tels que “Password1,” “Password2” et ainsi de suite.
  • Signalez toute activité suspecte: Si vous remarquez une activité suspecte sur un compte ou des demandes de changement de mot de passe non autorisées, signalez-les immédiatement au service de support informatique ou au service d'assistance de votre organisation.
  • Soyez prudent avec les e-mails de réinitialisation de mot de passe: La meilleure pratique pour une bonne sécurité des mots de passe consiste à être conscient des escroqueries. Si vous recevez un e-mail inattendu vous invitant à réinitialiser votre mot de passe, vérifiez son authenticité. Les e-mails de phishing imitent souvent des organisations légitimes pour voler vos identifiants de connexion.

Sécurité des mots de passe et conformité

Les normes de conformité exigent la sécurité des mots de passe et les meilleures pratiques de gestion des mots de passe comme moyen de protéger les données, de préserver la vie privée et d'empêcher l'accès non autorisé. Voici quelques-unes des lois qui exigent la sécurité des mots de passe :

  • HIPAA (Health Insurance Portability and Accountability Act) : HIPAA exige que les organisations de soins de santé mettent en place des mesures de protection pour sécuriser les informations de santé protégées électroniques (ePHI), ce qui inclut des pratiques de mots de passe sécurisés.
  • PCI DSS (Industrie des cartes de paiement Data Security Standard) : PCI DSS exige que les organisations qui traitent des données de cartes de paiement sur leur site web mettent en œuvre des contrôles d'accès solides, y compris la sécurité des mots de passe, pour protéger les données des titulaires de carte.
  • GDPR (Règlement Général sur la Protection des Données) : GDPR exige que les organisations qui stockent ou traitent les données des résidents de l'UE mettent en œuvre des mesures de sécurité appropriées pour protéger les données personnelles. La sécurité des mots de passe est un aspect fondamental de la protection des données sous GDPR.
  • FERPA (Family Educational Rights and Privacy Act) : FERPA régit la confidentialité des dossiers scolaires des étudiants. Elle inclut des exigences pour sécuriser l'accès à ces dossiers, ce qui implique la sécurité des mots de passe.

Les organisations soumises à ces normes de conformité doivent mettre en œuvre des politiques de passwords robustes et des meilleures pratiques de sécurité des mots de passe. Le non-respect de ces mesures peut entraîner de lourdes amendes et autres pénalités.

Il existe également des cadres volontaires qui aident les organisations à établir des politiques de mots de passe solides. Deux des plus connus sont les suivants :

  • Cadre de cybersécurité NIST: L'Institut national des normes et de la technologie (NIST) fournit des lignes directrices et des recommandations, y compris les meilleures pratiques en matière de mots de passe, pour améliorer la cybersécurité.
  • ISO 27001 : ISO 27001 est une norme internationale pour les systèmes de gestion de la sécurité de l'information (SGSI). Elle inclut des exigences liées à la gestion des mots de passe dans le cadre de son cadre de sécurité plus large.

Meilleures pratiques pour les mots de passe en action

Maintenant, mettons en pratique ces meilleures pratiques de sécurité des mots de passe avec un exemple :

Supposons que vous vous appeliez John Doe et que votre anniversaire soit le 10 décembre 1985. Au lieu d'utiliser « JohnDoe121085 » comme mot de passe (ce qui est facilement devinable), suivez ces bonnes pratiques de mot de passe :

  • Créez un mot de passe long, unique (et imprévisible), tel que : « M3an85DJ121! »
  • Stockez-le dans un gestionnaire de mots de passe de confiance.
  • Activez l'authentification multi-facteurs dès qu'elle est disponible.

10 pratiques recommandées pour les mots de passe

Si vous cherchez à renforcer votre sécurité, suivez ces meilleures pratiques pour les mots de passe :

  • Supprimez les indices ou l'authentification basée sur la connaissance : NIST recommande de ne pas utiliser l'authentification basée sur la connaissance (KBA), comme des questions telles que « Dans quelle ville êtes-vous né ? » mais plutôt, d'utiliser quelque chose de plus sécurisé, comme l'authentification à deux facteurs.
  • Chiffrer les mots de passe: Protégez les mots de passe par chiffrement aussi bien lorsqu'ils sont stockés que lorsqu'ils sont transmis sur des réseaux. Cela les rend inutilisables pour tout pirate qui parviendrait à les dérober.
  • Évitez les textes en clair et les formes réversibles: Les utilisateurs et les applications ne doivent jamais stocker les mots de passe en texte clair ou sous une forme qui pourrait facilement être transformée en texte clair. Assurez-vous que votre routine de gestion des mots de passe n'utilise pas de texte clair (comme dans un fichier XLS).
  • Choisissez des mots de passe uniques pour différents comptes: N’utilisez pas le même mot de passe, ni même des variantes d’un même mot de passe pour différents comptes. Essayez de créer des mots de passe uniques pour chaque compte.
  • Utilisez une gestion de mots de passe: Cela peut aider à sélectionner de nouveaux mots de passe qui répondent aux exigences de sécurité, envoyer des rappels de l'expiration prochaine des mots de passe et aider à mettre à jour les mots de passe via une interface conviviale.
  • Appliquez des politiques de mots de passe strictes: Mettez en œuvre et appliquez des politiques de mots de passe strictes qui comprennent des exigences de longueur minimale et de complexité, ainsi qu'une règle d'historique de mots de passe pour empêcher la réutilisation des mots de passe précédents.
  • Mettez à jour les mots de passe lorsque cela est nécessaire: Vous devriez vérifier et – si les résultats l'indiquent – mettre à jour vos mots de passe pour minimiser le risque d'accès non autorisé, surtout après des violations de données.
  • Surveillez les activités suspectes: Surveillez en continu vos comptes pour détecter toute activité suspecte, y compris les multiples tentatives de connexion échouées, et mettez en place des verrouillages de compte et des alertes pour atténuer les menaces.
  • Sensibilisez les utilisateurs: Participez ou organisez régulièrement des formations sur la sensibilisation à la sécurité pour apprendre les meilleures pratiques concernant les mots de passe, les menaces de phishing et l'importance de maintenir des mots de passe forts et uniques pour chaque compte.
  • Mettre en œuvre des politiques d’expiration des mots de passe: Appliquer des politiques d’expiration qui exigent le changement des mots de passe dans des circonstances définies afin d’améliorer la sécurité.

Comment Netwrix peut aider

Respecter les meilleures pratiques en matière de mots de passe est essentiel pour protéger les informations sensibles et prévenir les accès non autorisés.

Netwrix Password Secure offre des capacités avancées pour surveiller les politiques de mots de passe, détecter et répondre aux activités suspectes et assurer la conformité avec les réglementations industrielles. Avec des fonctionnalités telles que des alertes en temps réel, des rapports complets et une interface conviviale, il permet aux organisations d'identifier et de traiter proactivement les risques liés aux mots de passe, d'appliquer des politiques de mots de passe strictes et de maintenir une sécurité renforcée à travers leur environnement informatique.

Conclusion

Dans un monde où les menaces cybernétiques évoluent constamment, adhérer aux meilleures pratiques de gestion des mots de passe est essentiel pour protéger votre présence numérique. Tout d'abord, créez un mot de passe fort et unique pour chaque système ou application — n'oubliez pas qu'utiliser un gestionnaire de mots de passe rend cette pratique essentielle beaucoup plus facile à respecter. De plus, mettez en œuvre l'authentification multifactorielle chaque fois que possible pour contrecarrer tout attaquant qui parvient à voler votre mot de passe. En suivant ces directives, vous pourrez profiter d'une expérience en ligne plus sûre et protéger vos précieux actifs numériques.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment créer, modifier et tester des mots de passe en utilisant PowerShell

Utiliser Windows Defender Credential Guard pour protéger les identifiants Privileged Access Management

Qu'est-ce que Microsoft LAPS : Comment pouvez-vous renforcer sa sécurité ?

Étapes pour contrôler les droits d'administrateur local

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité