« Les utilisateurs sont responsables de la protection de leurs codes d’accès. » C’est du moins l’objectif de l’article 9.3 de la norme ISO/CEI 27002 de 2013.
Qu’entend-t-on par là ?
Etre responsable, c’est répondre de ses actes… ou de son absence d’action. On dit que les parents sont responsables de leurs enfants jusqu’à ce qu’ils aient atteint l’âge de 18 ans… sauf circonstances particulières.
Les anglophones utilisent le terme ‘accountability’ qui se traduit par ‘imputabilité’, un mot que l’on hésite à utiliser en français. Pourtant il dit bien ce qu’il veut dire : « on peut imputer (au sens légal) à l’utilisateur toutes les actions réalisées à l’aide de ses codes d’accès. »
En effet, vers qui peut-on se tourner si une action malveillante ou illégale a été réalisée avec quelque chose dont nous sommes propriétaires (notre voiture) ou dans un lieu dont nous sommes les seuls à avoir la clé ?
Nos codes d’accès (identifiant et authentifiant – mot de passe) sont nos clés. Ils sont uniques et nous ont été confiés. Si nous les laissons trainer… ou si nous choisissons un mot de passe qui est facile de deviner, qui est le fautif ?
Une instructrice de Child Focus, organisme belge de coordination de la recherche d’enfants disparus et de lutte contre le trafic d’enfants, a eu un jour ces mots face à une classe d’adolescents : « Un mot de passe, c’est comme des sous-vêtements. Cela ne se montre pas à tout le monde et on en change souvent. » Inutile d’insister sur l’impact de ces deux phrases ni d’expliciter tous les sous-entendus possibles.
Qu’en dit la norme ?
« Suivez les règles de votre organisation ! », tel est l’objectif à atteindre. Ces règles tellement sont simples et évidentes que beaucoup n’y pensent même pas :
- ne donnez pas d’indications aux autres sur vos codes d’accès ;
- ne les écrivez pas (quel que soit le support) ou rangez cet écrit dans un coffre-fort ;
- changez-les, au moins dès que vous craignez qu’ils ont été compromis ;
- respectez les règles pour le choix du mot de passe (j’ai déjà souvent écrit sur le sujet) ; minuscules, majuscules, chiffres et signes ;
- changez immédiatement le mot de passe temporaire que vous recevez… cela concerne également le mot de passe par défaut que vous recevez avec un équipement (par exemple une caméra, une cafetière ou un jouet connectés) ;
- n’utilisez pas le même mot de passe pour le bureau et pour la maison (privé).
Quoi d’autre ?
Utiliser un même mot de passe pour tous vos comptes revient à décider d’utiliser un passe-partout pour la maison, le coffre à la banque, la voiture et tout le reste.
Pour votre maison ou votre appartement, on vous recommande des serrures et des clés de sécurité que l’on ne peut copier sans présenter un certificat que vous conservez au coffre.
Mais vous pouvez encore perdre cette clé, donc n’y accrochez pas votre adresse.
Pourquoi ne pas utiliser un mot de passe ‘central’ et lui ajouter, selon le compte, un préfixe ou un suffixe ?
Quelles sont les règles qui sont appliquées dans votre entreprise ou organisation ?
A bientôt, plus en sécurité avec vos informations.
Jean-Luc
Google+