Les mots de passe dans un établissement HCR

Un établissement HCR possède de nombreux mots de passe certains devant même être partagés entre plusieurs collaborateurs. Le GNI vous apporte quelques pistes de réflexion pour bien les gérer.

La difficulté pour un établissement HCR est qu’il possède de nombreux mots de passe et de nombreux collaborateurs qui doivent les posséder. Il y a donc dans l’usage deux tendances :

  • Les établissements qui enregistrent tous les mots de passe pour que les collaborateurs ne les connaissent pas. Cela provoque un risque en cas de hacking d’un des ordinateurs sur lesquels tous les mots de passe sont pré-enregistrés.
  • Les établissements qui communiquent en clair aux collaborateurs les mots de passe des logiciels nécessaires. Cela pose également un problème de sécurité lors de la transmission des mots de passe (sur un papier ou par mail). De plus les mots de passe ne sont pas changés assez souvent notamment à chaque départ d’un collaborateur.

Comment faire alors pour bien gérer ses mots de passe dans un établissement HCR ?

  1. Paramétrer une session utilisateur par collaborateur

Chaque collaborateur doit être invité à créer son mot de passe en s’assurant qu’il soit complexe, unique et modifié régulièrement. Sensibiliser ses collaborateurs pour s’assurer qu’ils interviennent systématiquement sur un ordinateur ouvert sur leur session individuelle.

Astuce : Un mot de passe complexe se compose de minimum 12 signes mélangeant des majuscules, des minuscules, des chiffres et des caractères spéciaux. Conseil issu du kit de sensibilisation des collaborateurs d’entreprise disponible au téléchargement ici. Vous pouvez générer ici un mot de passe solide : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide

 

  1. Maximiser les possibilités d’avoir un mot de passe par logiciel par collaborateur.

De nombreux logiciels permettent l’accès à plusieurs utilisateurs par des mots de passe uniques. Cela rajoute potentiellement un coût, mais une attaque a également un coût mesurable en termes de sécurisation (intervention d’urgence de l’informaticien, audit de sécurité après sécurisation…) auquel s’ajoute un coût commercial difficilement calculable (Ex : difficulté à retrouver des données volées ou effacées, impact négatif sur l’image de marque en cas de vol de données personnelles, risques d’avis en ligne négatifs…) Il est donc nécessaire de se renseigner auprès de chaque logiciel pour obtenir un mot de passe par utilisateur.

  1. Ne pas mettre le même mot de passe pour plusieurs logiciels/plateformes.

Chaque logiciel doit avoir un mot de passe propre pour éviter ou limiter la pénétration du hacker dans l’ensemble du réseau de logiciels et plateformes de l’établissement.

  1. Ne pas écrire le mot de passe en clair sur un papier/post-it à proximité un appareil connecté (PC, tablettes…).

Si cela reste nécessaire pour simplifier la passation d’informations entre équipes, indiquer la manière de le retrouver (Ex : Usage-initiales/Quartier*Année d’ouverture), sur un support lui-même protégé (ex : un cahier accessible à chaque brief/ à la prise du service, dans un bureau sécurisé)

  1. Changer régulièrement les mots de passe.

Idéalement les mots de passe détenus par plusieurs personnes d’une équipe doivent être changés au départ de l’une d’elles.

Certains établissements parviennent à instaurer un rythme de changement de mots de passe très fréquent (jour ou semaine) avec une procédure stricte de consultation à chaque changement. Par exemple une consultation au moment du brief dans un cahier dédié dans un bureau de la direction fermé à clef lorsque son occupant en sort.

  1. Ne communiquer les mots de passe qu’à ceux qui en ont réellement besoin pour leur tâche.

Tous les collaborateurs n’ont pas besoin de tous les mots de passe. Si exceptionnellement un mot de passe doit être transmis, penser à le changer à la fin de la période d’exception.

Eviter au maximum la communication aux personnes en contrat très court.

  1. N’envoyer AUCUN mot de passe par mail !

La messagerie est la porte d’entrée la plus évidente pour une cyberattaque. Il faut donc éviter d’y conserver tout ce qui peut être sensible. Lire ici notre article sur la gestion des messageries génériques partagées par plusieurs collaborateurs.

  1. Utiliser un gestionnaire de mots de passe 

Il existe aujourd’hui des logiciels gestionnaires de mots de passe. Il faut néanmoins veiller à ce qu’il réunisse toutes les caractéristiques nécessaires aux établissements HCR :

  • un mot de passe par utilisateur ;
  • une possibilité d’avoir un accès « administrateur » qui permette de paramétrer quelle session utilisateur a accès à quel mot de passe ;
  • une interface assez ergonomique ne nécessitant pas de longues formation des équipes ;
  • [le petit plus ] un planning rappelant la nécessité de changer chacun des mots de passe.

Pour plus de conseils en cybersécurité, consultez la rubrique dédiée : https://www.gni-hcr.fr/europe-numerique/informatique/cybersecurite/

Chemin