EQUITY BCDC

POLITIQUE DE MOT DE PASSE

Février 2022
HISTORIQUE DU DOCUMENT
DATE ACTION PAR BRÈVE DESCRIPTION / COMMENTAIRE
VERSION
D'APPROBATION
2020.0 25 juin Informatique & BTO Brouillon initial
2020.1 2 juillet Responsable du SOC Projet final
2022.2 4 février Responsable du SOC Examen

iii
Ce document de politique de mot de passe a été approuvé comme étant apte à gérer et à
soutenir les activités d'Equity Group Holdings PLC ce _______ jour de juillet 2020.

DIRECTEUR GÉNÉRAL, SÉCURITÉ DE L'INFORMATION ENTREPRISE

Charles Wanyike Signature_________________________

DIRECTEUR GÉNÉRAL, GESTION DES RISQUES

Kelevilin Kimathi Signature_________________________

DIRECTEUR DE GROUPE, INFORMATIQUE ET OPÉRATIONS

Lanré Bamisebi Signature_________________________

DIRECTEUR GÉNÉRAL, KENYA

Gérald Warui Signature_________________________

iv
TABLE DES MATIÈRES

1 ÉNONCÉ DE POLITIQUE ........................................................................................................................ 6

1.1 Aperçu ......................................................................................................................................... 6

1.2 Objectif ........................................................................................................................................ 6

1.3 Portée ........................................................................................................................................... 6

1.4 Documents justificatifs ................................................................................................................ 6

2 DÉFINITIONS ......................................................................................................................................... 7

3 POLITIQUE GÉNÉRALE DE MOT DE PASSE ........................................................................................... 7

3.1 Exigences relatives au mot de passe ....................................................................................... 7

3.2 Gestion des mots de passe ....................................................................................................... 8

4 APPLICATION ET MISE EN ŒUVRE .............................................................. Erreur ! Signet non défini.

5 EXCEPTIONS ....................................................................................................................................... 11

6 ANNEXE .............................................................................................................................................. 12

v
1 ÉNONCÉ DE POLITIQUE

1.1 Aperçu
Les mots de passe sont un aspect important de la sécurité informatique. Ils constituent la
première ligne de protection des comptes d'utilisateurs. Un mot de passe mal choisi peut
entraîner la compromission de l'ensemble du réseau d'entreprise d'Equity Bank. En tant que tel,
tous les employés d'Equity Bank (y compris les sous-traitants et les fournisseurs ayant accès aux
systèmes d'Equity Bank) sont responsables de prendre les mesures appropriées, comme indiqué
ci-dessous, pour sélectionner et sécuriser leurs mots de passe.

1.2 Objectif
Le but de cette politique est d'établir une norme pour la création de mots de passe forts, la
protection de ces mots de passe et la fréquence des changements. Cette politique vise à offrir
des normes minimales aux utilisateurs, administrateurs et développeurs du système et des
applications. Toutes les parties sont encouragées à appliquer des contrôles plus stricts que ceux
décrits ci-dessous en fonction des besoins de sécurité du système et des informations stockées ou
consultées. Les exigences réglementaires, de conformité ou autres exigences légales remplacent
toutes les normes définies ci-dessous.

1.3 Portée
La portée de cette politique inclut tout le personnel qui est responsable d'un ou de plusieurs
comptes (ou de toute forme d'accès qui prend en charge ou nécessite un mot de passe) sur tout
système résidant dans n'importe quel établissement d'Equity Bank, a accès au système, au réseau
ou au réseau d'Equity Bank. stocke toute information bancaire non publique.

1.4 Documents justificatifs

- Politique et procédures de gestion des incidents
- Politique de gestion du changement
- Politique de gestion de la fraude
- Politique de gestion de crise de cybersécurité
- Politique d'utilisation acceptable
- Politique de sécurité des informations
- Politique de gestion des accès logiques

Page6de13
2 DÉFINITIONS DES ÉLÉMENTS CLÉS

Terme Définition

Compte Référence attribuée à un individu pour permettre à un

système informatique d'identifier cet individu.

Mot de passe Chaîne secrète de caractères (lettres, chiffres, etc.) utilisée

pour prouver l'identité.

Compte super-utilisateur Un compte d'utilisateur spécial utilisé pour la gestion du

système ; ces comptes peuvent ne pas être spécifiques à
une personne

Compte système Un compte non utilisé par une personne, mais par un
système informatique se connectant à un autre système
informatique.

3 POLITIQUE GÉNÉRALE DE MOT DE PASSE

o Tous les systèmes d'information d'Equity Bank doivent exiger une identification et une
authentification par des mots de passe, des phrases secrètes, des mots de passe à usage
unique et des mécanismes de mot de passe similaires au minimum (un mécanisme
d'authentification plus restrictif/sécurisé est acceptable) avant d'autoriser l'accès de
l'utilisateur.
o Les mots de passe pour les systèmes d'Equity Bank doivent être créés conformément à
cette politique et aux autres politiques de sécurité pertinentes.
o Les systèmes d'information d'Equity Bank (ou leurs programmes de contrôle d'accès)
doivent être configurés (lorsqu'une telle configuration est possible) pour répondre aux
exigences de cette politique et d'autres politiques de sécurité.
o Les mots de passe doivent être considérés comme des informations confidentielles et ne
doivent être divulgués à aucune autre personne.
o Les utilisateurs sont responsables de toutes les actions, y compris les transactions, la
récupération d'informations ou la communication sur les systèmes d'information d'Equity
Bank, effectuées en utilisant leur(s) identifiant(s) et mot(s) de passe.

3.1 EXIGENCES DE MOT DE PASSE

Lorsqu'ils sont techniquement configurables, les paramètres suivants indiquent les exigences
minimales en matière de mots de passe pour tous les comptes individuels :

i. Avoir une longueur minimale de douze (12) caractères sur tous les systèmes. Si un
système particulier ne prend pas en charge les mots de passe à 12 caractères, le
nombre maximal de caractères autorisé par ce système doit être utilisé.
ii. Ne pas être le même que l'ID utilisateur.
iii. L'âge minimum du mot de passe doit être défini sur zéro (0)
iv. Expire dans un délai maximum de 60 jours calendaires.

Page7de13
 v. Ne pas être identique aux douze (12) mots de passe précédents.
vi. Ne pas être transmis en clair ou en clair en dehors de l'emplacement sécurisé.
vii. Ne pas être affiché lors de la saisie.
viii. Assurez-vous que les mots de passe ne sont réinitialisés que pour les utilisateurs autorisés.
ix. Pas un mot du dictionnaire, un nom propre ou quoi que ce soit que quelqu'un d'autre
pourrait facilement deviner ou obtenir à l'aide d'informations relatives à la personne (par
exemple, noms, numéro de personnel, numéros de téléphone, dates de naissance, etc.)
;
x. Une combinaison d'au moins un caractère de trois des quatre types suivants):

o Lettres majuscules anglaises (AZ),

o Lettres minuscules anglaises (az)
o Base 10 chiffres (0-9)
o Non alphanumérique (comme ` ~ ! @ # $ % ^ & * ( ) _ + - = { } | \ : " ; ' < > ? , . / et
espace)

3.2 GESTION DES MOT DE PASSE

3.2.1 Stockage du mot de passe

Les mots de passe doivent être mémorisés et jamais écrits ou enregistrés avec les informations
de compte ou les noms d'utilisateur correspondants.
Les mots de passe ne doivent pas être mémorisés par des applications informatiques non
cryptées telles que le courrier électronique. L'utilisation d'une application de stockage de mot
de passe crypté est acceptable, bien qu'un soin extrême doive être pris pour protéger l'accès à
ladite application.
3.2.2 Partage et transfert de mot de passe
Les mots de passe ne doivent pas être transférés ou partagés avec d'autres à moins que
l'utilisateur n'obtienne l'autorisation appropriée pour le faire.
Lorsqu'il est nécessaire de diffuser les mots de passe par écrit, des mesures raisonnables doivent
être prises pour protéger le mot de passe contre tout accès non autorisé. Par exemple, après
avoir mémorisé le mot de passe, il faut détruire la trace écrite.
Lorsque vous communiquez oralement un mot de passe à une personne autorisée, prenez des
mesures pour vous assurer que le mot de passe n'est pas entendu par des personnes non
autorisées.
3.2.3 Suppression du mot de passe
Tous les mots de passe qui ne sont plus nécessaires doivent être supprimés ou désactivés
immédiatement. Cela inclut, mais sans s'y limiter, les éléments suivants :
o Lorsqu'un utilisateur prend sa retraite, quitte, est réaffecté, libéré, licencié, etc.
o Les mots de passe par défaut doivent être changés immédiatement sur tous les
équipements.
o Comptes de l'entrepreneur, lorsqu'ils ne sont plus nécessaires à l'exercice de leurs
fonctions.
3.2.4 Utilisateurs d'accès à distance

Page8de13
L'accès aux réseaux d'Equity Bank via un accès à distance doit être contrôlé en utilisant soit un
réseau privé virtuel (dans lequel un mot de passe et un identifiant d'utilisateur sont requis) ou une
forme d'authentification avancée (c'est-à-dire la biométrie, les jetons, l'infrastructure à clé
publique (PKI) , certificats, etc.).
3.2.5 Exigences pour les administrateurs système
3.2.6.1 Exiger des mots de passe pour la connexion - Les systèmes ne doivent pas être configurés
pour permettre aux utilisateurs de se connecter sans mot de passe. Des exceptions doivent être
accordées pour les appareils spécialisés tels que les kiosques d'accès public lorsque ces
appareils sont configurés avec des comptes d'utilisateurs publics qui ont des autorisations
extrêmement restreintes (par exemple, Web uniquement) qui sont distincts des comptes
administratifs.
3.2.6.2 Protéger contre le piratage de mot de passe - Les administrateurs système doivent
renforcer leurs systèmes pour dissuader le piratage de mot de passe en utilisant des méthodes
raisonnables pour atténuer les attaques de mot de passe par « force brute ». Par exemple,
certains systèmes verrouillent un compte pendant quelques minutes après plusieurs tentatives
de connexion infructueuses, ou détectent d'où vient l'attaque et bloquent d'autres tentatives à
partir de cet emplacement, ou au minimum alertent en temps réel qu'une attaque est en cours.
afin que des mesures manuelles puissent être prises.
3.2.6.3 Journalisation - Des mesures pratiques doivent être mises en place pour enregistrer les
tentatives de connexion réussies et échouées.
3.2.6.4 Modification du mot de passe après compromission ou divulgation - Les administrateurs
système doivent, en temps opportun, réinitialiser les mots de passe des comptes d'utilisateurs ou
demander aux utilisateurs de réinitialiser leurs propres mots de passe dans les situations où
l'utilisation continue d'un mot de passe crée un risque d'accès non autorisé au compte
informatique ou Ressource. Des exemples de ces situations incluent, mais ne sont pas limités à :
o divulgation d'un mot de passe à une personne non autorisée ;
o découverte d'un mot de passe par une personne non autorisée ;
o compromission du système (accès non autorisé à un système ou à un compte) ;
o transmission non sécurisée d'un mot de passe ;
o remplacer l'utilisateur d'un compte par un autre individu nécessitant l'accès au même
compte ;
o le mot de passe est fourni au personnel de support informatique afin de résoudre un
problème technique ;
o le mot de passe du compte est communiqué à un utilisateur par l'administrateur système.
3.2.6.5 Mots de passe par défaut - Les administrateurs système ne doivent pas utiliser de mots de
passe par défaut pour les comptes administratifs.
3.2.6 Exigences pour les développeurs d'applications
Les développeurs d'applications doivent s'assurer que leurs programmes contiennent les
précautions de sécurité suivantes :
o Doit prendre en charge l'authentification des utilisateurs individuels, pas des groupes.
o Devrait fournir une sorte de gestion des rôles, de sorte qu'un utilisateur puisse prendre en
charge la fonction d'un autre sans avoir à connaître le mot de passe de l'autre.
o Doit prendre en charge Terminal Access Controller Access Control System+ (TACACS+),
Remote Authentication Dial-In User Service (RADIUS) et/ou X.509 avec récupération de
sécurité LDAP (Lightweight Directory Access Protocol), dans la mesure du possible.

Page9de13
 o Exiger une transmission sécurisée - Les développeurs d'applications doivent, dans la
mesure du possible, développer des applications nécessitant des protocoles sécurisés
pour l'authentification.
o Stockage des mots de passe - Les développeurs d'applications doivent éviter de créer
des applications qui stockent des mots de passe. Si le stockage des mots de passe ne
peut être évité, les développeurs d'applications doivent s'assurer que les applications ne
stockent pas les mots de passe en texte clair ou dans un format facilement réversible ou
décrypté.
o Comptes d'utilisateurs et mots de passe uniques - Les applications doivent prendre en
charge des comptes d'utilisateurs et des mots de passe uniques afin que les utilisateurs
individuels ne soient pas tenus de partager un mot de passe pour utiliser l'application.
3.2.7 Responsabilités des systèmes traitant les mots de passe
Tous les systèmes d'Equity Bank, y compris les serveurs, les applications et les sites Web hébergés
par ou pour Equity Bank, doivent être conçus pour accepter les mots de passe et les transmettre
avec les protections appropriées.

 Les mots de passe doivent être interdits d'affichage lors de leur saisie.
 Les mots de passe ne doivent jamais être stockés dans un format clair et lisible (le
cryptage doit toujours être utilisé).
 Les mots de passe ne doivent jamais être stockés dans le cadre d'un script de
connexion, d'un programme ou d'un processus automatisé.
 Les systèmes stockant ou fournissant un accès à des données confidentielles ou un
accès à distance au réseau interne doivent être sécurisés par une authentification
multifacteur.
 Les hachages de mots de passe chiffrés ne doivent jamais être accessibles aux
personnes non autorisées.
 Dans la mesure du possible, des hachages salés doivent être utilisés pour le cryptage des
mots de passe. Les exceptions doivent être déposées et examinées régulièrement.
 Lorsque l'un des éléments ci-dessus n'est pas pris en charge, des autorisations et des
méthodes de contrôle d'accès appropriées doivent être mises en œuvre pour garantir
que seul un nombre limité de personnes autorisées ont accès à des mots de passe
lisibles.

3.2.8 Politique de verrouillage du compte utilisateur

o Les systèmes d'information d'Equity Bank doivent être configurés (lorsque cela est
possible) pour verrouiller l'ID utilisateur et empêcher l'accès des utilisateurs au système
d'information lorsqu'un mot de passe utilisateur incorrect a été utilisé en séquence 5 fois.
o Les comptes d'utilisateurs verrouillés seront réactivés dans les 3 heures ouvrables si vous
utilisez un système de réactivation automatisé ou plus court, mais pas moins de 15
minutes.
o La demande d'une réactivation manuelle peut nécessiter l'identification de l'utilisateur et
la détermination de la raison du verrouillage au minimum pour rétablir le compte
utilisateur et fournir un nouveau mot de passe utilisateur.

3.2.9 Politique de communication des mots de passe

o Les mots de passe ne doivent pas être transférés électroniquement sur Internet à l'aide
de méthodes non sécurisées. Dans la mesure du possible, des messages texte vers un
numéro de téléphone mobile authentifié ou des protocoles de sécurité, notamment
IMAPS, FTPS, HTTPS, etc., doivent être utilisés.

Page10de13
 o Les mots de passe ne doivent pas être révélés dans les conversations, insérés dans des
messages électroniques ou d'autres formes de communication électronique, à
l'exception du mot de passe initial après la configuration.
o Les mots de passe ne doivent pas être écrits, stockés sur un système d'information ou un
dispositif de stockage, sauf conformément aux procédures de gestion des mots de passe
de toute entreprise existante pour la sauvegarde des mots de passe.
o N'utilisez pas la fonction "Mémoriser le mot de passe" des applications.
o Si un employé sait ou soupçonne que son mot de passe a été compromis, il doit le
signaler à la sécurité informatique et le mot de passe doit être changé immédiatement.
o Le service de sécurité informatique peut tenter de déchiffrer ou de deviner les mots de
passe des utilisateurs dans le cadre de son processus continu d'audit des vulnérabilités
de sécurité. Si un mot de passe est déchiffré ou deviné lors d'un de ces audits, l'utilisateur
devra immédiatement changer son mot de passe.
o Les mots de passe initiaux doivent être communiqués de manière sécurisée par SMS à un
numéro de téléphone validé de l'utilisateur, donné à l'utilisateur verbalement ou par e-
mail crypté. Les e-mails contenant des mots de passe doivent être supprimés une fois lus.
o Les mots de passe initiaux ne doivent être valides que pour la première tentative de
connexion. Les utilisateurs doivent être obligés de changer le mot de passe lors de la
première utilisation.

4 APPLICATION ET MISE EN ŒUVRE

4.1 Rôles et responsabilités

Chaque unité commerciale/département/unité est responsable de la mise en œuvre, de
l'examen et du suivi des politiques internes, des pratiques, etc. pour assurer la conformité à cette
norme.
Le responsable de la sécurité de l'information est responsable de l'application de cette norme.
L'équipe d'audit d'Equity Bank doit fournir une assurance périodique à la politique et aux
procédures établies ou liées à cette politique.
4.2 Conséquences et sanctions
Le non-respect de ces normes peut entraîner les mêmes types de mesures disciplinaires et de
conséquences que les violations d'autres politiques de la Banque, y compris la discipline
pouvant aller jusqu'au licenciement.
Tout appareil qui ne répond pas aux exigences de sécurité minimales décrites dans cette norme
peut être retiré du réseau de la Banque, désactivé, etc., selon le cas, jusqu'à ce que l'appareil
puisse se conformer à cette norme.

Page11de13
5 EXCEPTIONS
Des exceptions peuvent être accordées dans les cas où les risques de sécurité sont atténués par des
méthodes alternatives, ou dans les cas où les risques de sécurité sont à un niveau faible et acceptable et
que le respect des exigences de sécurité minimales interférerait avec les besoins commerciaux légitimes.
Pour demander une exception de sécurité, contactez la sécurité de l'information à
Infosec@equitybank.co.ke

6 ANNEXE

6.1 Annexe A : Conseils pour créer un mot de passe fort

 Évitez les mots, les chiffres ou les informations connues ou publiques qui vous sont
associés. (par exemple, numéros de lieu ; noms, noms de famille, noms d'animaux ;
anniversaires, numéros de téléphone, adresses ; etc.)
 Évitez d'utiliser votre nom de connexion ou toute variante de votre nom de connexion
comme mot de passe. Si votre login est 'fredrick', n'utilisez pas de substitution ou de
réorganisation des lettres. Des exemples seraient 'fr3dr1ck', où le 3=e et le 1 (un)= i. Sinon,
n'utilisez pas kcirderf (en arrière) ou n'ajoutez pas de chiffre au début ou à la fin du mot
(1fredrick ou fredrick1).
 Évitez d'utiliser le même caractère pour l'ensemble du mot de passe (par exemple,
'11111111') ou d'utiliser moins de cinq caractères uniques.
 Évitez les modèles de lettres ou de chiffres courants dans votre mot de passe (par
exemple, « 12345678 » ou « abcdefgh »). Ce sont les premières choses que les pirates
vont tester.
 La substitution ne doit pas être utilisée sur des mots courants ou avec des substitutions
courantes (par exemple, 3=E, 4=A, 1=I, 0=O, etc.).
 Lorsque vous modifiez un mot de passe, remplacez-le par un tout nouveau mot de
passe. Ne vous contentez pas de parcourir une liste de mots de passe favoris.
 Dans la mesure du possible, les mots de passe doivent être faciles à retenir. À cette fin,
des mots de passe basés sur des mots de passe peuvent être utilisés. Par exemple, la
phrase pourrait être : "J'aime ma maison dans les bidonvilles de Runda où je vis depuis
2020" et le mot de passe serait : "IlMh1r$wihls=20" (REMARQUE : n'utilisez pas cet exemple
comme mot de passe car cela pas être un choix intelligent, puisque ce document est
publié à de nombreuses personnes

6.2 Annexe B : Responsabilités individuelles

Les individus sont responsables de la sécurité et de la confidentialité des mots de passe. Ainsi, les
principes suivants doivent être respectés pour la création et la sauvegarde des mots de passe :

 Les mots de passe doivent être changés immédiatement après leur émission pour la
première utilisation. Les mots de passe initiaux doivent être transmis en toute sécurité à la
personne, soit par l'intermédiaire de son supérieur hiérarchique, soit via une ligne
téléphonique mobile authentifiée.
 Les mots de passe ne doivent jamais être partagés avec une autre personne pour une
raison ou d'une manière non conforme à cette politique. Un mot de passe système
partagé ou compromis est un incident de sécurité informatique à signaler.
 Les employés, y compris les sous-traitants, le personnel des fournisseurs et les superviseurs,
ne doivent jamais demander leur mot de passe à qui que ce soit. S'il vous est demandé

Page12de13
 de fournir votre mot de passe à une personne ou de vous connecter à un système et de
donner accès à quelqu'un d'autre sous votre identifiant, vous êtes tenu de le signaler à
la sécurité informatique.
 Les mots de passe ne doivent jamais être écrits et laissés dans un endroit facilement
accessible ou visible pour les autres. Cela inclut les formats papier et numérique sur les
appareils non étiquetés (non pris en charge). Les mots de passe ne doivent pas être
stockés dans le gestionnaire de mots de passe d'un navigateur Web sur un appareil non
étiqueté.
 Les individus ne doivent jamais rester connectés à une application ou à un système où
quelqu'un d'autre peut utiliser leur compte sans le savoir.
o Le service informatique ne vous demandera jamais de mot de passe. Dans les
scénarios d'assistance informatique où un compte informatique ne peut pas être
utilisé, une personne peut autoriser un technicien à utiliser son ordinateur sous le
compte de l'individu même si l'individu n'est pas en mesure d'être présent
pendant toute la session d'assistance. La personne ne doit pas partager son mot
de passe avec le technicien.
o En cas de dysfonctionnement matériel et si l'appareil doit être réparé par un tiers,
le disque dur de l'appareil doit être sauvegardé sur un périphérique de stockage
sécurisé et effacé en toute sécurité avant d'être remis à un technicien externe.
Le service informatique peut vous aider avec une sauvegarde sécurisée et
l'effacement du disque et d'autres circonstances exceptionnelles. Les mots de
passe ne doivent pas être partagés avec un technicien externe.
o Dans le cas où un mot de passe doit être délivré à un utilisateur distant ou à un
fournisseur de services, le mot de passe ne doit jamais être envoyé sans
l'utilisation de protections appropriées (par exemple, n'envoyez pas de mots de
passe par e-mail sans cryptage).
o Si un mot de passe doit être partagé pour la maintenance, la sécurité
informatique doit être contactée pour obtenir l'autorisation et les instructions
appropriées.
o Les mots de passe de tous les systèmes de la Banque doivent être uniques et
différents des mots de passe utilisés pour d'autres services personnels (par
exemple, les médias sociaux).
o Les mots de passe doivent répondre aux exigences de complexité décrites dans
cette politique.
o Les mots de passe doivent être changés régulièrement, comme indiqué dans
cette politique, à l'intervalle de temps régulièrement programmé ou plus tôt en
cas de soupçon de compromission.
o Dans le cas où une violation ou un compromis est suspecté, l'incident doit être
signalé à la sécurité informatique

Date de la prochaine révision : février 2024

Page13de13