Description

Bonjour à tous et bienvenue dans le ZDTech, le podcast quotidien de la rédaction de ZDNet. Je suis Elia, votre présentateur IA, et cet épisode spécial est présenté en partenariat avec Specops, le spécialiste, des logiciels de sécurité de mot de passe. Nous sommes aujourd'hui avec Noé Mantel, spécialiste produit chez Specops, et nous allons voir avec lui quels sont les outils et les méthodes pour les entreprises qui permettent de sécuriser les mots de passe des collaborateurs.

Quels sont les 5 paramètres qui permettent de respecter une bonne politique de mot de passe en milieu professionnel ? Et surtout, pourquoi sont-il si important ?

Noé Mantel (Specops) : Effectivement, au sein d'une politique de mots de passe Active Directory, on va retrouver cinq paramètres. primordiaux. Le premier, ça va être la longueur du mot de passe. Pourquoi ? Parce que plus le mot de passe va être long, plus il va être difficile à craquer. Donc nous, on recommande un minimum de 12 caractères, par exemple, pour un mot de passe sûr. Deuxième paramètre, c'est la complexité. Ça va être le fait d'inclure une combinaison de lettres, de majuscules, de minuscules, de chiffres et de symboles. En fait, plus il y aura de symboles différents et plus le mot de passe sera robuste.

Ensuite, le troisième paramètre important, ça va être l'interdiction de mots de passe faibles. Donc on va dire un dictionnaire pour bloquer des mots de passe personnalisés. Par exemple, bloquer des mots de passe comme 1, 2, 3, 4, 5, 6, des choses qui peuvent faire référence aussi à l'entreprise, le nom de l'entreprise, ça c'est des choses qu'on va retrouver souvent, et donc ça, ça rend des mots de passe faibles qui vont être faciles à deviner pour des attaquants.

En quatrième paramètre important, on va avoir l'expiration des mots de passe. Parce que même un mot de passe très fort, il peut devenir obsolète, voire compromis. C'est donc important d'avoir un mot de passe qu'on va renouveler régulièrement. Ensuite, il y a l'historique des mots de passe pour le cinquième paramètre. c'est d'empêcher les utilisateurs de réutiliser des anciens mots de passe.

Pour en savoir plus, vous pouvez consulter le livre blanc de Specops sur les politiques de mot de passe.

Le ZD Tech est sur toutes les plateformes de podcast ! Abonnez-vous !

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

• Speaker #0

  ZD Tech, 3 minutes pour tout comprendre. Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je suis Elia, votre présentateur IA, et cet épisode spécial est présenté en partenariat avec SpecOps, le spécialiste des logiciels de sécurité de mots de passe. Nous sommes donc aujourd'hui avec Noé Mantel, spécialiste produit chez SpecOps, et nous allons voir avec lui quels sont les outils et les méthodes pour les entreprises qui permettent de sécuriser les mots de passe des collaborateurs. Alors première question Noé, quels sont les cinq paramètres qui permettent de respecter une bonne politique de mots de passe en milieu professionnel, et surtout, pourquoi sont-ils si importants ?

• Speaker #1

  Effectivement, au sein d'une politique de mots de passe Active Directory, on va retrouver cinq paramètres. primordiaux. Le premier, ça va être la longueur du mot de passe. Pourquoi ? Parce que plus le mot de passe va être long, plus il va être difficile à craquer. Donc nous, on recommande un minimum de 12 caractères, par exemple, pour un mot de passe sûr. Deuxième paramètre, c'est la complexité. Ça va être le fait d'inclure une combinaison de lettres, de majuscules, de minuscules, de chiffres et de symboles. En fait, plus il y aura de symboles différents et plus le mot de passe sera robuste. Ensuite, le troisième paramètre important, ça va être l'interdiction de mots de passe faibles. Donc on va dire un dictionnaire pour bloquer des mots de passe personnalisés. Par exemple, bloquer des mots de passe comme 1, 2, 3, 4, 5, 6, des choses qui peuvent faire référence aussi à l'entreprise, le nom de l'entreprise, ça c'est des choses qu'on va retrouver souvent, et donc ça, ça rend des mots de passe faibles qui vont être faciles à deviner pour des attaquants. En quatrième paramètre important, on va avoir l'expiration des mots de passe. Parce que même un mot de passe très fort, il peut devenir obsolète, voire compromis. C'est donc important d'avoir un mot de passe qu'on va renouveler régulièrement. Ensuite, il y a l'historique des mots de passe pour le cinquième paramètre. c'est d'empêcher les utilisateurs de réutiliser des anciens mots de passe.

• Speaker #0

  Bien sûr, ces cinq critères sont importants, mais par défaut, Active Directory ne peut pas tout mettre en place. De votre côté, vous insistez beaucoup sur la lutte contre la compromission et le fait d'empêcher les utilisateurs de réutiliser des mots de passe. Que proposez-vous dans ce domaine ?

• Speaker #1

  On a un produit qui s'appelle SpecOps Password Policy qui va vous permettre de créer des politiques de mots de passe Active Directory plus avancées que celles que propose Microsoft en standard. Et donc l'idée c'est qu'on va pouvoir ajouter d'autres paramètres comme par exemple vérifier la compromission des mots de passe. Donc déjà qu'est-ce qu'un mot de passe compromis ? Je pense que c'est important de le rappeler. Un mot de passe compromis en fait c'est un mot de passe qui a déjà fuité si vous voulez sur internet. Et donc ce mot de passe là, un attaquant peut l'utiliser pour rentrer dans une organisation. Un cas qu'on va retrouver fréquemment, des utilisateurs qui utilisent le même mot de passe au travail et dans leur vie personnelle, par exemple sur Facebook, sur LinkedIn, sur des sites web, il y a des sites qui peuvent être plus ou moins sécurisés. Si le site là n'est pas sécurisé, le mot de passe va fuiter. Si c'est le même mot de passe que l'utilisateur utilise dans l'entreprise, du coup, l'entreprise, ça représente un niveau de risque.

• Speaker #0

  Alors justement, au-delà des mots de passe, vous mettez en avant le concept de passe-phrase qui pourrait améliorer la sécurité des utilisateurs et des organisations. De quoi s'agit-il ?

• Speaker #1

  C'est d'avoir quelque chose de plus long qu'un mot de passe. Par exemple, une suite de mots, au final, ça reste un mot de passe. C'est juste la construction qui est un petit peu différente. L'idée, c'est d'avoir quelque chose de plus long. Je vous donne un exemple tout bête. Vous prenez par exemple trois mots. Je ne sais pas, chocolat, espace voiture, espace parapluie. Le fait de combiner ces mots ensemble, on va avoir quelque chose de plus de 20 caractères par exemple. Donc extrêmement robuste contre des attaques de bruit de force. Et ce qui est intéressant, c'est que c'est facile à mémoriser. Et de fait,

• Speaker #0

  mémoriser les mots de passe est sûrement la chose la plus délicate pour les professionnels face à leurs écrans. Merci Noé Mantel pour toutes ces informations et conseils. Pour en savoir plus, vous pouvez consulter le livre blanc de Spec Ops sur les politiques de mots de passe. Le lien est en bas de l'article. Et voilà, normalement, on a fait le tour du sujet. Pour en savoir plus, rendez-vous sur notre site zdnet.fr et retrouvez tous les jours un nouvel épisode du ZDTech sur vos plateformes de podcast préférées. ZDTech, 3 minutes pour que t'en prendes.