GESTION DES MOTS DE

PASSE

Fevrier 2024

Consultant: Ulysse Aurin Aihounton

TEL 97977917 email : ulyaurin@yahoo.fr
 Table des matières

Table des matières

Table des matières...........................................................................................................1

1 INTRODUCTION...................................................................................................4

1.1 OBJECTIF......................................................................................................................................4

1.2 PORTÉE.........................................................................................................................................4

2 MOT DE PASSE LA GESTION.................................................................................5

Aperçu 5

2.1 CONTRÔLES PAR MOT DE PASSE......................................................................................................5

2.1.1 HISTOIRE ET ÂGE DES MOTS DE PASSE............................................................................................5

2.1.2 LONGUEUR DU MOT DE PASSE.........................................................................................................5

2.1.3 EXIGENCES DE COMPLEXITÉ DU MOT DE PASSE................................................................................7

2.1.4 PREMIER MOT DE PASSE, RÉINITIALISATION DU MOT DE PASSE ET DISTRIBUTION...............................7

2.1.5 AUTHENTIFICATION À DEUX FACTEURS............................................................................................8

2.2 CONTRÔLES DE COMPTE.................................................................................................................9

2.2.1 VERROUILLAGE DE COMPTE............................................................................................................9

2.2.2 COMPTES DORMANTS.....................................................................................................................9

2.2.3 COMPTES PAR DÉFAUT ET MOT DE PASSE PAR DÉFAUT.......................................................................9

2.3 COMPTES ADMINISTRATIFS...........................................................................................................10

2.4 COMPTES SYSTÈME / SERVICE.......................................................................................................10

2.5 CONTRÔLES PIN...........................................................................................................................12

3 GESTION DES MOTS DE PASSE SYSTÈME...........................................................13

Aperçu 13

3.1 STOCKAGE ET TRANSMISSION DU MOT DE PASSE............................................................................13

3.2 SURVEILLANCE DES MOTS DE PASSE..............................................................................................14

3.3 SYSTÈMES DE GESTION DES MOTS DE PASSE GÉNÉRÉS PAR LA MACHINE..........................................15

3.4 AUTHENTIFICATION, AUTORISATION ET COMPTABILITÉ....................................................................15

4 DOCUMENT CONTRÔLE......................................................................................18

4.1 CONTRÔLE DES DOCUMENTS.........................................................................................................18

4.2 CONFORMITÉ DES DOCUMENTS.....................................................................................................18

1 INTRODUCTION

L'accès aux comptes utilisateur doit être contrôlé par un mécanisme d'authentification qui
utilise des ID utilisateur et des mots de passe uniques. Ces mécanismes d'authentification
garantissent un accès contrôlé et restreint aux informations et aux systèmes d'information
en fonction des besoins métiers. Par conséquent, l'utilisation des mots de passe doit être
contrôlée par un processus de gestion formel. Les directives de gestion des mots de passe
établissent des contrôles pour la création, la distribution, la sauvegarde et la résiliation des
mots de passe.

1.1 OBJECTIF

Les objectifs de la norme de gestion des mots de passe sont de définir des contrôles et
des paramètres standard pour:
a. Attribution de mots de passe.
b. Principales pratiques de sécurité pour la sélection et l'utilisation des mots de passe.
c. Un système de gestion de mots de passe interactif qui gère et fournit des mots de
passe de qualité.

1.2 PORTÉE

Le champ d'application du programme de sécurité de l'information et de cette norme de mot

de passe englobe toutes les installations LA LNB, les actifs d'information / information, les
employés, les sous-traitants, les systèmes d'information du personnel tiers, les applications
et les périphériques réseau détenus et gérés par LA LNB. Tous les systèmes / applications
mis en œuvre doivent s'authentifier via la pile LA LNB approuvée et doivent être intégrés à
des solutions d'authentification à deux facteurs.
2 MOT DE PASSE LA GESTION

Aperçu
Les mots de passe fournissent la première ligne de protection assurant des contrôles
d'accès logiques aux systèmes d'information, aux applications et aux périphériques réseau.
Un mot de passe mal choisi peut entraîner la compromission des actifs informationnels de
LA LNB. Tous les employés, sous-traitants et personnel tiers qui ont accès aux systèmes
d'information, applications, équipements et périphériques réseau de LA LNB sont
responsables de prendre les précautions / étapes appropriées, comme indiqué dans cette
norme, pour sélectionner et sécuriser les mots de passe. Cette norme fournit un ensemble
de contrôles de sécurité minimale à mettre en œuvre sur les systèmes d'information, les
applications, les équipements et les périphériques réseau de LA LNB pour la gestion des
mots de passe. Cependant, en fonction de la criticité des informations conservées dans le
système informatique, certaines fonctions métier peuvent appliquer des mesures de
sécurité par mot de passe plus strictes.

2.1 CONTRÔLES PAR MOT DE PASSE

2.1.1 HISTOIRE ET ÂGE DES MOTS DE PASSE

a. L'historique des mots de passe pour les comptes normaux, système / service et
administrateur doit être défini sur un minimum de 24 pour garantir que les
utilisateurs ne réutilisent pas les mots de passe
b. Lorsque l'historique des mots de passe ne peut pas être techniquement appliqué,
l'âge minimum du mot de passe doit être réglé sur 1
c. L'âge maximum du mot de passe doit être configuré à 90 jours ou lorsqu'un mot de
passe a été suspecté d'être compromis
d. Lorsque l'authentification à deux facteurs est activée, l'âge maximal du mot de passe
ne doit plus être appliqué.

2.1.2 LONGUEUR DU MOT DE PASSE

a. Une longueur minimale de mot de passe doit être configurée dans les systèmes
pour appliquer le plus petit nombre de caractères qu'un mot de passe pour un
compte d'utilisateur peut contenir. La valeur doit être définie sur un minimum de 10
pour les comptes d'utilisateurs normaux et de 14 pour les comptes système /
service et administrateur, où il n'y a pas d'authentification à deux facteurs

b. Lorsque l'authentification à deux facteurs a été activée, la longueur minimale du

mot de passe pour les comptes d'utilisateurs normaux doit être définie sur au moins
8 et pour les comptes système / service et administrateur doit être définie sur au
moins 10.
c. La longueur maximale du mot de passe doit être définie sur 256 caractères. Si cela
n'est pas techniquement réalisable, la longueur du mot de passe doit être définie
sur la longueur maximale disponible.
2.1.3 EXIGENCES DE COMPLEXITÉ DU MOT DE PASSE

a. La complexité du mot de passe pour les comptes normaux, système / service et

administrateur doit être activée
b. Lorsque cela est techniquement possible, les mots de passe doivent répondre aux
exigences suivantes:
i. Les mots de passe ne doivent pas contenir tout ou partie du nom de compte de
l'utilisateur.
ii. Les mots de passe ne doivent pas contenir de séquences de numéros
séquentiels.
iii. Les mots de passe ne doivent pas être un mot ou une expression courante
(liste noire).
iv. Les mots de passe doivent contenir des caractères de trois des quatre
catégories suivantes: caractères majuscules anglais (A à Z), caractères
anglais minuscules (a à z), chiffres de base 10 (0 à 9) et caractères non
alphabétiques (par exemple!, $, #,%).
v. Le mot de passe ne doit pas contenir de catégorie fourre-tout d'un caractère
Unicode qui ne relève pas des quatre catégories précédentes.
vi. L'application doit être en mesure de vérifier et de fournir des commentaires à
l'utilisateur sur le fait que le mot de passe sélectionné par l'utilisateur est fort
ou faible.
c. Lorsque la complexité ne peut pas être activée comme indiqué ci-dessus, la
complexité doit avoir une entropie d'au moins 64 bits pour les utilisateurs normaux
et 80 bits pour les comptes système / service et administrateur.

2.1.4 PREMIER MOT DE PASSE, RÉINITIALISATION DU MOT DE PASSE ET

DISTRIBUTION

a. Selon la faisabilité technique, les systèmes doivent être configurés pour attribuer un
premier mot de passe généré aléatoirement à chaque compte d'utilisateur et être lié
à un mécanisme de livraison sécurisé.
b. Tous les utilisateurs doivent être obligés de changer le mot de passe pour la première
fois lors de la première connexion.
c. Pour les environnements où ce contrôle n'est pas techniquement réalisable, les
utilisateurs doivent être informés de l'importance de changer le mot de passe lors
de la première connexion.
d. La distribution des mots de passe doit être effectuée de telle manière que seul le
propriétaire prévu puisse voir ou obtenir le mot de passe. c'est-à-dire
authentification à l'aide de cartes d'employés, documentation d'identité,
cryptographie à clé publique-privée
e. Le propriétaire prévu doit être validé avant que le mot de passe ne soit défini ou
réinitialisé.
f. Les réinitialisations de mot de passe doivent être plus fortes que les mots de passe
 précédemment utilisés.
g. En cas de suspicion de compromission du mot de passe ou de divulgation, les
utilisateurs sont tenus de signaler un incident de sécurité conformément aux
procédures de gestion des incidents.

2.1.5 AUTHENTIFICATION À DEUX FACTEURS

a. L'utilisation de l'authentification à deux facteurs doit être garantie pour les

utilisateurs disposant de privilèges d'accès super utilisateur aux ressources système
et doit être rendue obligatoire lorsque l'accès est
 à partir d'un emplacement distant tel qu'un accès via Internet. Cette catégorie
comprend les administrateurs système, les administrateurs de base de données, les
administrateurs réseau et les administrateurs de pare-feu (Réf CIS CSC 5.6).

2.2 CONTRÔLES DE COMPTE

2.2.1 VERROUILLAGE DE COMPTE

a. Les seuils de verrouillage de compte doivent être configurés dans les systèmes pour
garantir que les comptes d'utilisateurs normaux sont verrouillés après un nombre
prédéfini de tentatives de connexion infructueuses. Le seuil de verrouillage de
compte doit être défini sur 10 sur une période de 30 minutes pour tous les comptes.
b. Le compteur de verrouillage du compte de réinitialisation après 'doit être réglé sur 15
minutes
c. Lorsque l'authentification à deux facteurs n'est pas implémentée pour les comptes
d'administrateur, le compteur de verrouillage de compte doit être défini sur un
verrouillage permanent.
d. Lorsque le fournisseur de l'application recommande de ne pas verrouiller les comptes
de service / d'application / système, une évaluation des risques doit être effectuée et
une surveillance supplémentaire doit être mise en œuvre pour identifier rapidement
les tentatives de force brute.

2.2.2 COMPTES DORMANTS

a. Tous les comptes utilisateurs normaux qui ne sont pas utilisés pendant une période
de 90 jours doivent être automatiquement désactivés .
b. Les comptes d'utilisateurs normaux désactivés pour une période de 60 jours doivent
être supprimés.
c. Les comptes créés à des fins administratives qui ne sont pas utilisés pendant une
période de 30 jours doivent être automatiquement désactivés des systèmes.
d. Les comptes système / service ne doivent pas être supprimés sauf autorisation du
propriétaire du système.
e. Partout où les comptes ne peuvent pas être désactivés en raison de contraintes
techniques, tous les comptes inactifs doivent être supprimés du système.

2.2.3 COMPTES PAR DÉFAUT ET MOT DE PASSE PAR DÉFAUT

a. Tous les comptes système / service et administrateur par défaut doivent être
désactivés et renommés.
b. Tous les mots de passe système par défaut, y compris les comptes de service,
doivent être modifiés avant la migration du système vers l'environnement de
production, même lorsque le compte est désactivé. Il est suggéré d'utiliser des
comptes de migration supplémentaires pour éviter les temps d'arrêt.
 c. Lorsqu'ils sont pris en charge, les comptes système / service et administrateur
désactivés doivent être définis avec un mot de passe non valide.
d. Chaque fois que les mots de passe sont modifiés, ils doivent être stockés dans le
coffre-fort de gestion des mots de passe ou dans une enveloppe scellée et stockés
dans un coffre-fort ignifuge.

2.3 COMPTES ADMINISTRATIFS

a. Pour les comptes administratifs, les contrôles supplémentaires suivants sont

envisagés:
i. Le compte créé à des fins administratives doit être formellement documenté,
attribué à un propriétaire et son objectif clairement indiqué.
ii. Tous les mots de passe de tous les comptes système privilégiés doivent être
conservés dans un système de gestion des mots de passe / de stockage en
chambre forte ou dans un coffre-fort à l'épreuve du feu, et ne devraient être
émis que pour des durées limitées aux individus en cas de besoin.
iii. Si un coffre-fort ignifuge n'est pas disponible, les mots de passe des comptes
système privilégiés doivent être conservés par les administrateurs système
dans des enveloppes scellées sous la garde du responsable fonctionnel.
iv. Le mot de passe doit être changé conformément à 2.1.1 ci-dessus ou chaque
fois qu'il y a un changement dans les responsabilités des administrateurs ou
un changement d'administrateurs
v. Les administrateurs doivent avoir des mots de passe différents pour leurs
comptes administratifs et non administratifs. Les administrateurs doivent être
affectés à des comptes individuels et ne pas utiliser les comptes
d'administrateur par défaut.
vi. Les systèmes de gestion de comptes privilégiés et les flux de travail doivent
être configurés pour prendre en charge les contrôles requis dans cette norme.

2.4 COMPTES SYSTÈME / SERVICE

Pour les comptes système / service, les contrôles supplémentaires suivants doivent être pris
en compte:
i. Lorsque le compte système appartient à une machine, le mot de passe doit
être défini pour ne jamais expirer. Cependant, l'administrateur du domaine
doit s'assurer que le mot de passe est modifié au moins une fois par an.
ii. Les comptes système / service doivent être basés sur le principe du moindre
privilège, cela doit inclure des limitations des autorisations requises pour que
le service s'exécute et doit avoir des autorisations privilégiées limitées.
iii. Tous les mots de passe des comptes système / service privilégiés doivent
être conservés dans un système de gestion des mots de passe ou un coffre-
fort ignifuge et émis pour des durées limitées à des individus en cas de
 besoin.
iv. Dans la mesure du possible, les comptes système / service doivent être
définis pour refuser la connexion localement.
v. Les comptes de service non interactifs doivent suivre les mêmes paramètres
de configuration de mot de passe que pour les comptes système / service
normaux.
2.5 CONTRÔLES PIN

a. Lorsque des broches sont requises pour les appareils mobiles ou utilisées comme
deuxième facteur d'authentification, une longueur minimale de broche doit être
configurée pour appliquer le plus petit nombre de caractères qu'une broche pour un
compte d'utilisateur peut contenir. La longueur minimale de la broche doit être
définie sur 4 caractères.
b. La broche ne doit pas être définie pour permettre des groupes de chiffres ascendants
ou descendants, par exemple 1234, 9876 ou pour permettre des groupes de chiffres
répétés, par exemple 1212.
c. Un chiffre ne peut pas être utilisé plus de deux fois consécutivement, par exemple
2882.
3 GESTION DES MOTS DE PASSE SYSTÈME

Aperçu
Les systèmes de gestion des mots de passe doivent être interactifs et générer des mots de
passe conformément aux principales pratiques de l'industrie. Le journal des systèmes,
l'utilisation d'identifiants d'utilisateur et de mots de passe individuels doivent être utilisés
pour maintenir la responsabilité. Le système de gestion des mots de passe doit être basé
sur le principe de l'authentification, de l'autorisation et de la responsabilité (AAA) et capable
d'appliquer les contrôles définis dans la section 2: Gestion des mots de passe.

3.1 STOCKAGE ET TRANSMISSION DU MOT DE PASSE

a. Le cryptage réversible ne doit jamais être autorisé à moins que les exigences de
l'application ne l'emportent sur la nécessité de protéger les informations de mot de
passe, et seulement après que l'autorisation d'utiliser le cryptage réversible a été
obtenue auprès du Bureau de la sécurité de l'information.
i. Lors de l'utilisation de scripts où le chiffrement réversible n'est pas
techniquement réalisable, un stockage sécurisé des informations
d'identification du système d'exploitation doit être utilisé.
b. Le stockage des mots de passe à l'aide du cryptage réversible revient
essentiellement à stocker les versions en texte brut des mots de passe
i. Les mots de passe doivent être hachés lorsqu'ils sont stockés dans des
fichiers ou des bases de données. L'accès à ce champ de la base de données
est limité aux seuls administrateurs de base de données spécifiés. Les mots
de passe doivent être stockés à l'aide d'algorithmes de hachage irréversibles
tels que SHA256 salé.
ii. Un sel unique (un sel est une valeur aléatoire forte cryptographiquement de
longueur fixe) pour chaque compte avant le hachage des mots de passe
c. Les mots de passe ne doivent pas être transmis sous forme de texte clair avec le
nom d'utilisateur sur le réseau sous quelque forme ou format que ce soit; dans la
mesure du possible, les mots de passe doivent être envoyés via le service de
messages courts (SMS).
d. Les données du système d'application et les mots de passe doivent être stockés dans
un coffre-fort de mots de passe.
e. Les systèmes d'information, les applications et les périphériques réseau doivent être
configurés pour garantir que l'affichage des mots de passe est masqué, supprimé ou
autrement obscurci de telle sorte que des tiers non autorisés ne puissent pas les
observer et / ou les récupérer ultérieurement.
3.2 SURVEILLANCE DES MOTS DE PASSE

a. La surveillance des connexions doit être activée pour détecter une utilisation
inhabituelle.
 b. Sur une base régulière, les administrateurs et les comptes d'utilisateurs distants
doivent être informés des tentatives de connexion irrégulières, réussies ou non, et
signaler celles dont ils ne sont pas responsables.
c. Les mots de passe qui ont été compromis lors de violations précédentes doivent être
surveillés, via Internet et des forums publics. Ces mots de passe doivent être mis sur
liste noire.
d. Un examen des hachages de mots de passe doit être effectué périodiquement
comme défini dans les normes d'annuaire.
e. Les activités de réinitialisation de l'administrateur et du compte système / service
doivent être surveillées.
f. La distribution ou la suppression du fichier de mots de passe ou des hachages n'est
pas autorisée, sauf si l'approbation est obtenue du RSSI

3.3 SYSTÈMES DE GESTION DES MOTS DE PASSE GÉNÉRÉS PAR LA MACHINE

a. Les pays d'exploitation de LA LNB doivent s'assurer que les utilisateurs ont accès aux
systèmes de gestion des mots de passe approuvés pour enregistrer, stocker et
générer des mots de passe.
b. Les systèmes doivent prendre en charge la fonctionnalité Coller lors de la saisie des
mots de passe.
c. Le seuil de verrouillage de compte doit être défini conformément aux principes de
cette norme.
d. Le système d'exploitation utilisé pour les activités liées à la gestion des mots de
passe doit être renforcé conformément aux normes de sécurité du système
d'exploitation.

3.4 AUTHENTIFICATION, AUTORISATION ET COMPTABILITÉ

a. L'AAA doit être mis en œuvre pour garantir que:

i. Tous les utilisateurs qui se connectent aux systèmes d'information du réseau
LNB sont authentifiés via un système d'annuaire central.
ii. AAA pour tous les périphériques réseau critiques tels que les routeurs et les
commutateurs de couche 3 doit être effectué par un serveur de système de
contrôle d'accès Terminal Access Controller (TACACS +) / Remonte
Authentication Dial In User Service (RADIUS) utilisé dans le réseau LA LNB.
Ce serveur doit être contrôlé de manière centralisée et l'accès pour celui-ci
doit être fourni aux administrateurs de sécurité spécifiés.
iii. Tous les utilisateurs backend doivent être authentifiés par les services
d'annuaire respectifs.
b. Dans la mesure du possible, les stratégies de groupe doivent être appliquées via
l'utilisation d'un service d'annuaire central, qui doit verrouiller le compte d'utilisateur
conformément à la section 2.2.1: Verrouillage de compte.
c. Les exigences de complexité des mots de passe, telles que décrites dans la section
2: La gestion des mots de passe doit être appliquée via une stratégie de groupe sur
le service d'annuaire. Le service d'annuaire doit permettre aux utilisateurs de
sélectionner et de modifier leurs propres mots de passe.
d. La stratégie de groupe dans le service d'annuaire doit être définie pour auditer la
connexion / déconnexion du compte utilisateur, afin de garantir que chaque
utilisateur peut être tenu responsable. Les journaux de ces activités doivent être
conservés pendant 90 jours. Les journaux des tentatives infructueuses et des
tentatives présumées réussies doivent être examinés tous les quinze jours par des
administrateurs informatiques désignés.
e. Les mots de passe de l'économiseur d'écran doivent être appliqués sur le bureau /
ordinateur portable des utilisateurs via la stratégie de groupe dans AD. Le mot de
passe de l'économiseur d'écran doit être activé après 15 minutes d'inactivité du
système.
4 DOCUMENT CONTRÔLE
4.1 CONTRÔLE DES DOCUMENTS

a. Sur une base annuelle, une analyse des lacunes de la politique, y compris tous ses
processus, procédures et normes de soutien et / ou connexes, doit être effectuée par
le membre de l'équipe responsable pour évaluer:
i. Alignement avec les objectifs commerciaux et les meilleures pratiques
applicables
ii. Pertinence par rapport à l'environnement de LA LNB en fonction du profil de
risque de l'organisation et de l'évolution de la technologie adoptée par
l'entreprise
iii. Lacunes dans la couverture résultant de changements organisationnels.

4.2 CONFORMITÉ DES DOCUMENTS

a. Toute mesure disciplinaire résultant d'une violation de cette norme sera prise
conformément au code disciplinaire et à la procédure de règlement des griefs de LA
LNB
b. Lorsqu'un employé est soupçonné d'avoir enfreint la norme, une enquête interne
sera entreprise, selon le résultat, des poursuites civiles et / ou pénales pourraient
être engagées contre l'employé.