8. Administration des systèmes d’information#
8.1. Protection des mots de passe#
Une politique de sécurité de mots de passe est caractérisée par la définition de certains éléments associés à la gestion des mots de passe
8.1.1. Longueur des mots de passe#
La longueur est une composante importante de la sécurité d’une authentification par mots de passe. Il est souvent plus efficace d’allonger un mot de passe que de chercher à le rendre plus complexe pour en augmenter l’entropie. Définir une longueur minimale permet d’avoir un certain contrôle sur le niveau de sécurité apporté par les mots de passe lors de leur création par les utilisateurs.
Imposer une longueur minimale pour les mots de passe : Il est recommandé de définir une longueur minimale pour les mots de passe lors de leur création en fonction du niveau de sécurité visé par le système d’information
Les recommandations de longueurs minimales en fonction du niveau de sensibilité sont résumées dans ce tableau :
Niveau de sensibilité | Longueur minimale en nombre de caractère | Taille de clé équivalente en bits |
|---|---|---|
Faible à moyen | Entre 9 et 11 | ≈ 65 |
Moyen à fort | Entre 12 et 14 | ≈ 85 |
Fort à très fort | Au moins 15 | >= 100 |
Dans des contextes de sensibilité forte à très forte, il est recommandé d’utiliser l’authentification multifacteur
Ne pas imposer de longueur maximale pour les mots de passe : Selon les systèmes, il est recommandé de ne pas fixer de limite à la longueur maximale d’un mot de passe afin de permettre aux utilisateurs d’avoir recours à des phrases de passe ou longs mots de passe.
8.1.2. Règles de complexité des mots de passe#
La notion de complexité d’un mot de passe désigne usuellement le choix du jeu de caractères dans lequel les caractères composant un mot de passe sont choisis.
Au moment de la création ou du renouvellement d’un mot de passe par un utilisateur, il est recommandé de mettre en œuvre des règles de complexité tout en proposant un jeu de caractères le plus large possible, nous recommandons des mots de passe d’au moins 9 caractères alphanumériques en alternant des majuscules et des caractères spéciaux.
8.1.3. Délai d’expiration des mots de passe#
Ne pas imposer par défaut des délais d’expiration sur les mots de passe des comptes non sensibles : Si la politique de mots de passe exige des mots de passe robustes et que les systèmes permettent son implémentation, alors il est recommandé de ne pas imposer par défaut de délai d’expiration sur les mots de passe des comptes non sensibles comme les comptes utilisateur.
Imposer un délai d’expiration sur les mots de passe des comptes à privilèges : Il est recommandé d’imposer un délai d’expiration sur les mots de passe des comptes très sensibles comme les comptes administrateurs. Ce délai d’expiration peut par exemple être fixé à une durée comprise entre 1 et 3 ans. En cas d’incidents de sécurité (comme une suspicion de compromission de la base de données contenant des mots de passe), une expiration immédiate des mots de passe des comptes concernés doit être imposée.
Révoquer immédiatement les mots de passe en cas de compromission suspectée ou avérée : En cas de compromission suspectée ou avérée d’un système d’authentification, tous les mots de passe concernés par ce système doivent être renouvelés immédiatement (de l’ordre de la journée). Au-delà de ce délai, les comptes concernés doivent être désactivés et une procédure de réactivation pour les utilisateurs doit être mise en œuvre.
8.1.4. Contrôle de la robustesse des mots de passe#
De nombreux contrôles permettent de s’assurer que les mots de passe créés offrent une robustesse en accord avec le niveau de sécurité souhaité, par exemple :
Mettre en place des mécanismes automatiques et systématiques permettant de vérifier que les mots de passe respectent bien les règles définies dans la politique de sécurité
Comparer les mots de passe lors de leur création ou de leur renouvellement à une base de données répertoriant les mots de passe les plus utilisés ou bien ceux qui ont été compromis
Repérer les mots de passe contenant des motifs (ou des répétitions de motifs) spécifiques (comme une suite de chiffre telle que « 12345 », la suite des premières lettre des claviers comme « azerty »,etc);
Repérer les mots de passe contenants des informations personnelles saisies lors de la création du compte, comme les noms et prénoms ou encore les dates de naissance
8.1.5. Stockage des mots de passe#
Le stockage sécurisé des mots de passe repose par l’application d’algorithmes de hachage tels que SHA-3, garantissant ainsi que les informations d’identification demeurent confidentielles et inviolables.
8.2. Accès aux systèmes#
Les recommandations suivantes sont conçues pour aider les organisations à réduire les risques d’accès non autorisé et à protéger leurs informations sensibles.
8.2.1. Identification#
Il est indispensable de dissocier les rôles sur le système d’information, en particulier le rôle d’administration ayant des droits privilégiés.
Des comptes d’administration dédiés : L’administrateur doit disposer d’un ou plusieurs comptes d’administration dédiés, distincts de son compte utilisateur. Les mots de passe d’authentification doivent être différents suivant le compte utilisé.
8.2.2. Authentification#
Exigez des mots de passe solides qui incluent une combinaison de lettres, de chiffres et de caractères spéciaux.
Mettez en place une authentification à facteurs multiples (MFA) pour renforcer la sécurité en demandant aux utilisateurs de fournir plusieurs formes de vérification.
8.2.3. Droits d’administration#
Il est recommandé de déployer des politiques de sécurité dans le but pour définir les privilèges de chaque compte d’administration, de contrôler l’accès aux outils d’administration en fonction du juste besoin opérationnel et de renforcer l’authentifications
8.2.4. Comptes Utilisateurs#
Créez des comptes d’utilisateurs avec le niveau d’accès approprié en fonction des rôles et des responsabilités.
Passez régulièrement en revue et mettez à jour les permissions des comptes d’utilisateurs à mesure que les rôles changent ou lorsque les employés quittent l’organisation.
8.2.5. Contrôles d’Accès#
Utilisez des mécanismes de contrôle d’accès pour restreindre l’accès non autorisé aux données sensibles et aux ressources du système.
Mettez en œuvre un Contrôle d’Accès Basé sur les Rôles (RBAC) pour attribuer des permissions en fonction des rôles prédéfinis dans l’organisation.
8.2.6. Journaux d’Accès et Surveillance#
Surveillez les journaux d’accès pour identifier les utilisateurs qui accèdent aux systèmes et déterminer les actions qu’ils ont effectuées
Configurez des alertes pour les activités suspectes ou non autorisées.
8.2.7. Accès à Distance#
Si l’accès à distance est nécessaire, utilisez des méthodes sécurisées telles que les réseaux privés virtuels (VPN) et les connexions chiffrées.
Mettez en place des restrictions sur l’accès à distance, en n’autorisant par exemple l’accès que depuis des adresses IP spécifiques.
8.3. Désactivation des Comptes#
Désactivez rapidement les comptes d’utilisateurs lorsque les employés quittent l’organisation ou n’ont plus besoin d’accès.Assurez-vous que l’accès des employés résiliés est révoqué immédiatement pour éviter tout accès non autorisé.
8.4. Audit Régulier#
Effectuez régulièrement des audits des comptes d’utilisateurs et des permissions d’accès pour identifier les éventuelles incohérences ou risques potentiels pour la sécurité.
8.5. Revue et mise à jour du document#
Ce document sera révisé annuellement afin de prendre en compte de nouvelles problématiques résultant de l’utilisation des systèmes informatiques et des tendances technologiques émergentes dans l’industrie