Home / Tutoriels / SSI – Les mots de passe en entreprise

SSI – Les mots de passe en entreprise

By on 23 novembre 2016

Aujourd’hui, nous allons inaugurer une sous catégorie du blog basée sur la Sécurité des Système d’Information.

Pour commencer dans ce domaine, je vais aborder un point plutôt simple à comprendre pour tous, les mots de passes.

Dans votre entreprise, vous devez surement avoir un règlement intérieur qui stipule que votre mot de passe est personnel, confidentiel et complexe.

C’est le genre de phrase que tout le monde connaît par cœur mais voyons ce qui se cache derrière.

Personnel

Cela signifie qu’il vous est propre, ce n’est pas un mot de passe identique pour tous les personnels d’un même service ou de l’entreprise.

Confidentiel

Plutôt simple à comprendre mais c’est un point crucial, ce mot de passe ne doit être connu que de vous.

En cas de départ en vacances

Généralité:

Si vous devez vous absentez (départ en vacances, maladie) l’employeur n’a pas a vous demandez votre mot de passe.
En effet, l’administrateur du réseau informatique possède une sorte de passe qui lui permet se connecter et d’avoir des droits supérieurs aux vôtres.

Exemple:
Vous avez sur votre ordinateur le fichier inscription.odt qui contient la feuille à remettre aux personnes désirant s’inscrire dans votre établissement. Malheureusement vous êtes en vacances et vous n’avez pas copié ce fichier sur le serveur.

Solution:
L’administrateur se connecte sur votre poste avec ses identifiants « Administrateur » et recopie ce fichier sur le réseau. Nullement besoin de votre mot de passe de session.

Cas particulier:

Par contre, s’il est impossible pour l’administrateur d’avoir accès aux informations qui nécessitent votre mot de passe, l’employeur peut vous le demandez (et vous devez le fournir).

Exemple:
Seul votre compte permet de gérer l’accès à certains services, malheureusement vous êtes malade et il faut donner vos droits à la personne qui vous remplace.

Solution:
L’administrateur vous appelle, et vous demande votre mot de passe. Vous lui fournissez par téléphone ou courrier avec accusé de réception. Il se connecte sous votre session, donne les droits pour la personne qui vous remplace et se déconnecte. Idéalement, il change votre de passe tout de suite après (vous en mettant un générique connu de lui seul, de manière à ce qu’à votre retour vous puissiez le changer directement) afin d’éviter que quelqu’un n’ait pu entendre, lire ou avoir vent de votre passe ne se connecte en se faisant passer pour vous.

Sources: CNIL et Legifrance

Complexe

La complexité d’un mot de passe est quelque chose de primordial, encore plus en entreprise.

Il est fort probable qu’au sein de votre entreprise vous vous connectiez avec un identifiant sous forme de prenom.nom ou p.nom .

En soit c’est plutôt logique, pour vous c‘est plus simple à retenir, pour l’administrateur ça permet d’identifier facilement la personne derrière un compte.

Malheureusement, ça veut aussi dire que si quelqu’un souhaite voler votre identité, il connaît déjà un des deux identifiants de connexions, il ne lui reste donc plus qu’à trouver votre mot de passe.

Le but n’est pas de créer un mot de passe inviolable, chose théoriquement impossible, mais d’augmenter la difficulté pour autrui de le deviner facilement.

Les erreurs habituelles

Plutôt que de faire un petit pavé, je vous poste une petite vidéo trouvée par mon Chef qui résume très bien les méthodes pour trouver/deviner un mot de passe.

Créer un mot de passe complexe

Le plus simple est d’utiliser un modèle. En effet quand vous devez choisir un mot de passe  sur un site internet, il y a des outils de disponibles (conseiller hors environnement pro) tel que LastPass Keepass (qui va entre autres sauvegarder le mot de passe pour vous = plus besoin de le mémoriser =  mettre un mot de passe super long).

Attention toutefois, il faut utiliser un mot de passe assez complexe pour ne pas que quelqu’un le devine facilement, mais assez simple pour s’en rappeler.

Quelques idées de modèles

Exemple 1:

Prenez le nom d’un film, livre, ou quelque chose qui vous plaît. Ici prennons le film : Ghost In The Shell (abrégé GitS)
Une année importante pour vous. Ici : 1984
Le nom du service sur lequel vous souhaitez vous connecter : Intranet

Mixer le tout : GitS1984Intranet

Exemple 2:

Utilisez une phrase que l’on connaît par cœur (typiquement une phrase de poème, compte, etc.) et ne retenir que les majuscules. Changer aussi certains caractères (les o deviennent 0, les i deviennent des 1, etc.) .

La phrase : L‘espoir est le premier pas vers la déception.
Les Majuscules à retenir : Leelppvld
Changement des caractères : L33lppvld

Pour vous faire une idée concernant la robustesse de votre mot de passe je vous invite à vous rendre sur le site de l’ANSSI.

Related Items

4 Comments

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.