Guides Cyber-Résilience Opus 1 : les mots de passe
Faut-il contraindre les utilisateurs à changer régulièrement leurs mots de passe ? Alors que ce sujet est classé, rangé, plié depuis des années, il ne manque pas d’animer régulièrement les discussions des RSSI, des chefs de projet, des DSI, des ingénieurs, etc.
Au-delà des ouvrages de fond très nombreux dans le domaine de l’IT, il est des questions auxquelles nous sommes confrontés tous les jours : quelle longueur de mots de passe pour les agents et pour les admins ? Quelle fréquence de changement ? Où les stocker de façon sécurisée ? Quels sont les risques inhérents à tel ou tel choix d’architecture ? Quelles contre-mesures à ces risques ? Quelles limites à cette démarche ? Stocker les mots de passe sur un service dédié en ligne, quelle confiance accorder à l’opérateur ? Dans un container sécurisé en interne, quelles précautions de sauvegardes ? Quelles différences entre la sphère privée et l’environnement professionnel ? Comment sécuriser ses mots de passe si on est une cible potentielle ?
Partant du constat qu’il existe curieusement peu de publications visant à faire le point sur tous ces aspects de terrain, Cédric Cartau a tenté de compiler, dans une publication volontairement compacte, accessible et pratique, l’ensemble de ces sujets avec un objectif triple :
- servir de guide de référence aux professionnels du secteur
- apporter des témoignages d’experts reconnus
- faire évoluer cette présente publication lors des changements techniques majeurs.
Avec le soutien de l’APSSIS, ce premier ouvrage sur les mots de passe, qui sera disponible fin juin, sera donc publié sous licence Creative Common, ce qui permettra sa libre diffusion, copie et réutilisation à des fins non-commerciales. On y trouvera un témoignage de TREND MICRO, acteur reconnu du monde Cyber. Un deuxième guide est prévu dans les prochains mois, et qui traitera quant à lui des dispositifs de cyber résilience face à la menace croissante des crypto malwares.
L’auteur
Cédric CARTAU est RSSI et DPO du CHU de NANTES et du GHT44. Il est vice-président de l’APSSIS et enseigne à l’EHESP, à l’ESIEA et au CNEH. Il est également auteur de plusieurs ouvrages chez Eyrolles ou aux Presses de l’EHESP, sa dernière publication étant « La sécurité du système d’information des établissements de santé », en 2018.