[Inist] Le durcissement des mots de passe Windows
Au même rythme qu’évoluent les nouvelles technologies, les menaces informatiques ne cessent de fleurir. C’est la raison pour laquelle de nouvelles consignes concernant notamment les mots de passe Windows seront prochainement appliquées au sein de l’Inist. L’objectif est de sécuriser au mieux les données des agents et plus globalement, des serveurs, à l’aide de nouvelles règles.
Il y a deux ans, la société « Ernst & Young » a été mandatée par la DSI de l’Inist pour effectuer un audit sécurité du SI, plusieurs préconisations ont été mises en œuvre. Cette société a révélé le très faible niveau des mots de passe Windows : elle était parvenue à « cracker » plus de 200 mots de passe en moins d’une heure. De nombreux agents utilisent des mots de passe bien trop faibles en termes de sécurité et ne les renouvellent jamais, cela s’explique notamment par un manque de contraintes.
Quelles sont les nouvelles consignes qui accompagnent ce durcissement ?
Le CNRS fournit des consignes générales de sécurité ainsi que l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ; par exemple cette dernière donne des préconisations en termes de sécurisation des mots de passe (12 caractères, renouvellement tous les trois mois, etc.). Notons que le cryptage des postes avait été imposé afin que le contenu des disques durs ne soit accessible que par l’usager principal du poste ; ainsi le cryptage bitlocker a été mis en œuvre à l’Inist…
Le besoin de sécurisation des postes de travail s’est accru avec la généralisation de la mobilité et du télétravail impliquant l’utilisation de PC portables.
Les nouveaux mots de passe Windows devront être composés de 10 caractères minimum (au moins un chiffre, une minuscule, une majuscule ou un caractère spécial) et devront être renouvelés tous les six mois. Le déploiement de ces contraintes sera effectué par département, le DSI-Dgal l’a mis en place depuis plusieurs semaines. Il s’avère que ces contraintes se gèrent facilement, le département « Accéder à l’information scientifique » appliquera bientôt ces règles puis les autres départements.
Des inconvénients pour des avantages
L’avantage majeur est la difficulté à pirater une session Windows par une personne malveillante qui devient donc une porte d’entrée sur notre SI beaucoup plus difficile à ouvrir.
La difficulté est la mémorisation de son mot de passe ; parfois au retour de congés la mémoire peut faire défaut à chacun. Même si le personnel « bureautique » a les moyens de réinitialiser les mots de passe, il est préférable que chacun mémorise son mot de passe.
Il est prévu de diffuser une formation pour l’ensemble des agents concernant l’utilisation de « KeePass », un excellent gestionnaire de mots de passe qui se définit de la sorte sur son site français : « KeePass est sans conteste le gestionnaire de mot de passe le plus apprécié du moment, et cela grâce à une myriade d’options qui apportent une fiabilité en sécurité hors du commun. ». Ce gestionnaire n’est pas nouveau pour le CNRS, puisqu’il l’utilise déjà, étant préconisé par l’ANSSI. Ainsi, KeePass permet de stocker tous les mots de passe des agents.
Un mail informera tous les agents de ce changement sensible avant la mise en œuvre de ces nouvelles règles… Restez aux aguets et continuez de surveiller votre boîte mail de près pour assister à la progression du projet, les étapes à suivre et l’ensemble des informations, dont vous tâcherez de prendre connaissance.