Un établissement HCR possède de nombreux mots de passe certains devant même être partagés entre plusieurs collaborateurs. Le GHR vous apporte quelques pistes de réflexion pour bien les gérer.
- Paramétrer une session utilisateur par collaborateur
Chaque collaborateur doit être invité à créer son mot de passe en s’assurant qu’il soit complexe, unique et modifié régulièrement. Sensibiliser ses collaborateurs pour s’assurer qu’ils interviennent systématiquement sur un ordinateur ouvert sur leur session individuelle.
Astuce GHR ! Un mot de passe complexe se compose de minimum 12 signes mélangeant des majuscules, des minuscules, des chiffres et des caractères spéciaux. Le site de la CNIL met également à disposition un générateur de mots de passe solides.
- Maximiser les possibilités d’avoir un mot de passe par logiciel par collaborateur
De nombreux logiciels permettent l’accès à plusieurs utilisateurs par des mots de passe uniques. Cela rajoute potentiellement un coût, mais une attaque a également un coût mesurable en termes de sécurisation (intervention d’urgence de l’informaticien, audit de sécurité après sécurisation…) auquel s’ajoute un coût commercial difficilement calculable (Ex : difficulté à retrouver des données volées ou effacées, impact négatif sur l’image de marque en cas de vol de données personnelles, risques d’avis en ligne négatifs…) Il est donc nécessaire de se renseigner auprès de chaque logiciel pour obtenir une session et donc un mot de passe par utilisateur.
- Ne pas mettre le même mot de passe pour plusieurs logiciels/plateformes
Chaque logiciel doit avoir un mot de passe propre pour éviter ou limiter la pénétration dans l’ensemble du réseau de logiciels et plateformes de l’établissement.
- Ne pas écrire le mot de passe en clair sur un papier/post-it à proximité un appareil connecté (PC, tablettes…)
Si cela reste nécessaire pour simplifier la passation d’informations entre équipes, indiquer la manière de le retrouver (Ex : Usage-initiales/Quartier*Année d’ouverture), sur un support lui-même protégé (ex : un cahier accessible à chaque brief/ à la prise du service, dans un bureau sécurisé)
- Changer régulièrement les mots de passe
Les mots de passe détenus par plusieurs personnes d’une équipe doivent être changés au départ de l’une d’elles.
Certains établissements parviennent à instaurer un rythme de changement de mots de passe très fréquent (jour ou semaine) avec une procédure stricte de consultation à chaque changement. Par exemple une consultation au moment du brief dans un cahier dédié dans un bureau de la direction fermé à clef lorsque son occupant en sort.
- Ne communiquer les mots de passe qu’à ceux qui en ont réellement besoin pour leur tâche
Tous les collaborateurs n’ont pas besoin de tous les mots de passe. Si exceptionnellement un mot de passe doit être transmis, il faut penser à le changer lorsque la situation revient à la normale.
Eviter au maximum la communication aux personnes en contrat très court.
- N’envoyer AUCUN mot de passe par mail !
La messagerie est la porte d’entrée la plus évidente pour une cyberattaque (Lire ici notre article dédié). Il faut donc lui consacrer un mot de passe extrêmement robuste. Il est également fondamental d’éviter d’y conserver tout ce qui peut être sensible à commencer par des mots de passe ou des données personnelles sensibles (Retrouvez ici notre rubrique dédiée au RGPD)
La bonne astuce : Utiliser un gestionnaire de mots de passe !
Il existe aujourd’hui des logiciels gestionnaires de mots de passe qui vous permettent de réunir tous les conseils listés ci-dessus ! Il faut néanmoins veiller à ce qu’il réunisse toutes les caractéristiques nécessaires aux établissements HCR :
- un mot de passe par utilisateur ;
- un gestionnaire de droits d’accès pour que chaque utilisateur ait accès uniquement aux mots de passe dont il a besoin ;
- une interface assez ergonomique ne nécessitant pas de longues formation des équipes ;
- [le petit plus ] un planning rappelant la nécessité de changer chacun des mots de passe.
Certains gestionnaires de mots de passe ont également reçu la certification de l’ANSSI.