Comment sécuriser les mots de passe des applications
L'Anssi a réactualisé ses recommandations de sécurité relatives aux mots de passe pour aider les collectivités à définir leur politique d'authentification.
1 - Analyser le risque
Pour l’Agence nationale de la sécurité des systèmes d’information (ANSII, www.ssi.gouv.fr/administration), une politique de mot de passe a pour préalable une analyse de risques : vol de données personnelles, dysfonctionnement de services ou encore ouverture d’une porte sur l’ensemble du système d’information municipal. À cet égard, la messagerie et l’accès aux comptes administrateurs (gestion de droits, accès au serveur, à la sauvegarde…) sont particulièrement critiques. Compromis, ils pourront être utilisés pour de multiples cyberattaques : vol ou destruction de données, hameçonnage, chantage, rançongiciel…
2 - Choisir un mot de passe robuste
Plus un mot de passe est long, plus il combine majuscules, minuscules, caractères spéciaux et chiffres, plus il a des chances d’être robuste. Les mots de passe doivent comporter dans l’idéal au moins 12 caractères, sans exiger de limite de taille maximale, et être différents pour chaque service. Les dates de naissance et autres informations individuelles comme les expressions logiques (12345…) doivent être proscrites.
Pour faciliter sa mémorisation, le mot de passe peut utiliser les premières lettres d’une phrase comme «un tien vaut mieux que deux tu l’auras » qui donnera 1tvmQ2tl.
Ce peut être aussi une phrase retranscrite phonétiquement comme ght2Vlo%E7am pour «j’ai acheté deux vélos pour cent euros cet après-
midi ». La durée d’authentification au service tout comme le nombre de tentatives pour y accéder doivent aussi être limités.
3 - Fixer des règles acceptables
Si les règles sont trop contraignantes, l’utilisateur les contournera. Aussi l’Anssi invite-t-elle à placer le curseur au bon endroit. Un renouvellement du mot de passe tous les 90 jours serait suffisant et uniquement pour les services critiques. Fixer des délais plus courts risque de se révéler contreproductif, comme la création de fichiers de mots de passe (à prohiber), voire le post-it en évidence sur l’ordinateur. Avec les coffres-forts de mots de passe (Keepass, Dashlane...), la multiplication des mots de passe n’est plus un problème. Ces outils permettent de générer des mots de passe complexes – avec un seul mot de passe à mémoriser pour accéder au logiciel – tout en s’interfaçant avec le navigateur pour compléter automatiquement les formulaires d’authentification.
4 - Opter pour une authentification multifacteurs
Les dictionnaires et autres logiciels utilisés par les cyberdélinquants permettent cependant de décrypter la plupart des mots de passe : ce n’est qu’une question de temps et de puissance de calcul. Aussi, l’Anssi recommande-t-elle notamment aux collectivités de s’orienter progressivement vers une authentification multifacteurs. Celle-ci combine des informations correspondant à «ce que je sais », comme un mot de passe, avec «ce que je possède », comme une carte à puce, une clef USB sécurisée ou un générateur de codes PIN (ou token). L’Anssi déconseille en revanche l’usage de la biométrie (empreinte, forme du visage), peu fiable et complexe à gérer. Plus coûteux, ces systèmes doivent être réservés à des applications critiques (état civil, finances, supervision informatique…) et être intégrés au cahier des charges présidant au choix des logiciels.
Suivez Maires de France sur Twitter: @Maires_deFrance
Cet article a été publié dans l'édition :
- Brève - Loi Egalim : une nouvelle mesure entre en vigueur au 1er janvier 2022
- Conflits d'intérêts. Quelques avancées mais toujours un grand danger
- Recensement impératif en 2022
- Présidence française de l'Union européenne : zoom sur les priorités du semestre français
- Pacte vert : l'Europe aide les collectivités
- AMF 26 - Convention avec la Fondation du patrimoine
- AMF - Partenariat avec France Victimes
- AD 86 - Rencontre avec la gendarmerie
- AMF 21 - Salon des maires et assemblée générale
- AMF 33 - Salon des élus locaux et assemblée générale
- CRTE : les élus s'interrogent sur les moyens financiers
- Un CIAS au plus près des habitants
- La lutte contre l'artificialisation des sols
- Risques industriels. Les élus demandent plus de moyens et de concertation
- Comment initier une démarche open data
- Inclusion : le CCAS de Loos labellisé pour son accessibilité
- Le Croisic aide ses habitants à rénover leurs maisons
- Une cantine 100 % bio en deux ans !
- Un pôle autonomie à la pointe du progrès
- Perles-et-Castelet en deuil de ses arbres
- Risques : élaborer un plan communal de sauvegarde
- Comment sécuriser les mots de passe des applications
- Protection des données : désigner et mutualiser le délégué
- Programme européen LIFE : les nouvelles opportunités 2021-2027
- Travailler avec... Pôle emploi
- Propreté urbaine : les élus en première ligne
- La réforme de la lutte contre l'habitat indigne
- Textes officiels - Désignation de l'enfant né sans vie par son nom à l'état civil
- Textes officiels - Le Code de la fonction publique publié
- Textes officiels - Billettique et services numériques multimodaux
- Textes officiels - Parution du décret sur les maisons de naissance
- Brève - Élections : rappel des règles pour les procurations
- Brève - Urbanisme : dématérialisation
- Brève - Publicité des actes : du nouveau en juillet 2022
- Brève - Formation des élus : consulter votre compte !
- Brève - Financement participatif : recours élargi
- Brève - Terrasses chauffées : l'interdiction repoussée au 1er avril 2022
- Brève - Produits phytosanitaires : délai pour certains équipements sportifs
- Brève - Délit de favoritisme : mesurer le risque
- Brève - Plan communal de sauvegarde : plus de communes concernées
- L'AMF vous répond - "Élection présidentielle. Quelles sont les règles encadrant les parrainages ?"
- L'AMF vous répond - "Quels sont les principes de protection des données personnelles ?"
- L'AMF vous répond - "Quelle est la règlementation applicable aux ruchers ?"
- Maires délégués: un mandat à part ?
- Le maire officier d'état civil
- Le maire et le virus
Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).