J'espère que vous trouverez dans les conseils suivants de quoi apporter de l'eau à votre moulin !
Pour commencer que diriez d'un petit exemple simple ? Votre botte de beurre, il ne vous est jamais venu à l'esprit qu'elle n'était pas bien dans votre réfrigérateur ? Vous n'avez jamais eu l'idée de la mettre dans une pièce équipée d'une porte en acier trempé avec clé infalsifiable pour la protéger ? Pourquoi ? Tout simplement parce qu'elle n'en vaut pas le cout ! Non pas que vous n'en n'ayez pas besoin, mais si un jour elle vous fait défaut, vous pouvez toujours l'ajouter dans votre liste de course ... Il devrait en être de même pour les régles de sécurité informatique :
Garder en tête le degrés d'importance des informations que l'on souhaite protéger et par conséquent l'importance des mesures qu'il convient de leur appliquer ...
Une fois que vous avez bien défini ce que vous souhaitez protéger et avec quels degrés de protection, il est important de bien gauger les implications quotidiennes, au sein de votre organisation, de chaque mesure. En effet, si les collaborateurs doivent passer plus de temps a s'authentifier qu'a être productif parce que vous avez mal évaluer les contraintes d'accès à tel ou tel document, je ne suis pas sur que vous ayez vraiment gagné votre pari !... bien évaluer l'impact des mesures sur le travail quotidien des collaborateurs ...
Dès les mesures arrêtées et leurs impacts évalués, il faut prévoir la campagne d'explication du pourquoi des changements demandés. C'est souvent un point négligé, alors que de mon point de vu c'est primordial. Il est en effet important que chaque collaborateur prenne conscience de son rôle dans la politique mise en place.... prévoir des scéances d'explication des mesures de sécurité et du rôle de chacun dans cette politique afin d'assurer la réussite de sa mise en place.
Trouver le bon compromis entre compléxité, délai de renouvellement et mémorisation des anciens mots de passe ...
Une fois ces trois paramètres mis en adéquation avec les contraintes de l'entreprise, il convient de communiquer sur la nécessité pour tous de choisir une mot de passe "fort" (selon les experts il doit "avoir une longueur minimale de 8, voir 10, caractères, comprendre des caractères d'au moins 3 catégories différentes : chiffres, lettres, caractères spéciaux - %, #, :, $, *, @ - et majuscules/minuscules").Pour pouvoir mémoriser son mot de passe, plusieurs astuces mnémotechniques existent. Créer une phrase et prendre le premier caractère de chaque mot la composant pour définir le mot de passe. "La suite qui contient un # est plus sure", pourra ainsi donner Lsqc1#eps. Grâce à cette méthode, en partant d'une simple phrase, vous obtenez un mot de passe robuste.
La méthode phonétique peut également être employée. Ce sont alors les sons de chaque syllabe d'une phrase qui constitueront le sésame. Les adeptes des SMS seront ravis ... Exemple donné par le CERTA à la direction centrale de la sécurité des systèmes d'information : "J'ai acheté huit CD pour cent euros cet après midi". La phrase donne ainsi "ght8CD%E7am".
... proposer aux utilisateurs des méthodes pratiques et rapides pour obtenir des mots de passe "forts" ...
Enfin, une fois tout ceci bien compris et mis en place, il convient de rappeler aux utilisateurs qu'il ne faut JAMAIS donner son mot de passe (même à ce cher administrateur système et réseau) et surtout pas au téléphone !... et surtout ne JAMAIS donner son mot de passe à un tiers.
Quelques articles pour étayer cet argumentaire et vous donner quelques pistes :Toujours verrouiller sa session lorsque l'on laisse son poste sans surveillance.
Pour cela, il est important sur les serveurs de limiter au maximum les besoins d'accès via des comptes "anonymes" que sont les comptes "Administrateur", "root", ... Il serait en effet, de mon point de vue, mal venu de reprocher à un développeur d'avoir effacer par mesgarde un fichier "méga stratégique" sur le serveur parce qu'il avait tous les droits du fait que la seule façon qu'il avait de se connecter au serveur était le compte administrateur !
Eviter au maximum les besoins de connexion via des comptes anonymes comme "Administrateur", "root", mais plutôt donner les droits nécessaire à chaque utilisateur ou groupe d'utilisateur.