Conseils pour atténuer les risques liés à la réutilisation des mots de passe
Toutes les organisations assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) doivent s’assurer que les renseignements personnels sont protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Selon la situation, il est possible que vous ayez besoin d’une protection supplémentaire contre tout accès non autorisé en sus des mots de passe de vos clients et de vos employés.
Le risque pour votre entreprise
La réutilisation des mots de passe présente un double risque pour votre entreprise ainsi que pour les utilisateurs :
- Si votre entreprise fournit des comptes informatiques protégés par un mot de passe, la réutilisation par les utilisateurs d’un mot de passe qui a été piraté sur un autre site pourrait permettre aux pirates d’avoir accès aux comptes des clients touchés.
- Si vos employés réutilisent ailleurs leur mot de passe de leurs comptes informatiques au travail, les pirates pourraient avoir accès au réseau entier de votre entreprise.
Mesures à prendre pour atténuer ce risque
Il existe toute une gamme de mesures de sécurité que les entreprises, grandes, moyennes et petites, peuvent prendre pour atténuer le risque associé à la réutilisation des mots de passe par les employés ou les clients. Elles pourraient, par exemple, s’abonner aux alertes ou aux bulletins sur les cybermenaces de nature générale ou à ceux propres à leur secteur d’activité. Elles pourraient aussi songer à faire part de leur propre expérience à d’autres entreprises de leur collectivité ou de leur industrie sachant qu’une personne avertie en vaut deux!
Voici quelques conseils qui aideront votre organisation à évaluer et à atténuer le risque associé à la réutilisation des mots de passe :
Atténuer le risque associé à la réutilisation des mots de passe par les employés
Le mot de passe d’un employé ne devrait pas constituer la seule ligne de défense de votre entreprise contre les accès non autorisés.
- Modification des mots de passe réutilisés — Encouragez vivement vos employés à modifier leurs mots de passe au travail s’ils les ont déjà utilisés ailleurs.
- Accès sécurisé — Si les employés peuvent avoir accès à distance à leurs comptes du travail, des mécanismes de contrôle d’accès sont à votre disposition pour atténuer le cyberrisque auquel est exposée votre entreprise tout en répondant à ses besoins opérationnels. Par exemple, vous pourriez :
- autoriser la connexion à distance uniquement à partir d’adresses IP autorisées;
- utiliser un réseau privé virtuel (RPV);
- obliger l’utilisateur à répondre à des questions de sécurité supplémentaires;
- exiger une authentification à plusieurs facteurs (fortement recommandée dans le cas d’employés bénéficiant de privilèges d’administrateur).
- Surveillance — Surveillez les ouvertures de session dans le compte des employés pour détecter toute activité en ligne inhabituelle. Il s’agit d’une bonne mesure de protection contre le risque associé à la réutilisation des mots de passe par les employés. Certains dangers liés aux cyberattaques se concrétisent lorsque des accès inhabituels passent inaperçus — par exemple l’ouverture de plusieurs sessions au milieu de la nuit ou à partir d’adresses IP dans d’autres pays.
Questions à vous poser : Votre entreprise a-t-elle activé la fonction de journalisation des accès et, le cas échéant, conserve-t-elle les registres pendant une période assez longue pour détecter les tendances? Vérifiez-vous périodiquement les registres pour repérer des comportements inhabituels?
Atténuer le risque associé à la réutilisation des mots de passe par les clients
- Alertes — Rappelez à vos clients et aux utilisateurs de ne pas utiliser le même mot de passe utilisé pour votre organisation sur d’autres sites.
- Suggestion de solutions — Envisagez de suggérer d’autres moyens de gérer les nombreux mots de passe. Il est difficile de se rappeler de plusieurs mots de passe et de les gérer. Pour éviter les tracas en cas d’oubli, il est sage de conserver une liste des mots de passe dans un endroit sûr hors ligne.
- Évaluation des répercussions — La rigueur des processus d’authentification devrait être proportionnelle au risque auquel sont exposées l’organisation et la personne. Ainsi, plus le risque est élevé, plus grandes seront les garanties que l’organisation devra obtenir en vue d’autoriser l’accès ou la transaction. En évaluant le risque, vous pourrez plus facilement déterminer les mesures de protection supplémentaires appropriées en sus des mots de passe des clients.
Questions à vous poser : De quelle ampleur pourraient être les préjudices subis par votre entreprise ou par des personnes si des pirates avaient accès à votre site? Le piratage pourrait-il aboutir à un vol d’identité, à des achats frauduleux ou à une atteinte à la réputation des personnes?
- Authentification multicouches — Lorsque les mots de passe des clients protègent des renseignements sensibles ou de grandes quantités de renseignements personnels, envisagez d’ajouter une couche d’authentification, par exemple des questions de sécurité ou une authentification à plusieurs facteurs. La couche d’authentification supplémentaire peut être mise en œuvre de façon globale ou sélective, par exemple uniquement lorsqu’un utilisateur ouvre une session à partir d’une adresse IP inhabituelle ou qu’il a un comportement inhabituel.
- Surveillance — Le processus d’authentification exige la tenue de registres de vérification fiables des transactions d’authentification. Ces registres permettent d’utiliser des applications de surveillance pour détecter les signes de tentatives de connexion automatisées, par exemple des tentatives de connexion à un grand nombre de comptes à partir d’une seule adresse IP. Ils vous aideront aussi à faire la preuve de votre conformité aux lois sur la protection des renseignements personnels auxquelles votre entreprise est assujettie.
- Limitation des répercussions — Plusieurs moyens s’offrent à vous pour atténuer les préjudices éventuels si un pirate accède au compte d’un client. Mettez-vous à la place du pirate. Quelles mesures un pirate ayant accès au compte d’un de vos clients pourrait-il prendre? Par exemple, il pourrait modifier les coordonnées du titulaire afin que les futures communications émanant de votre entreprise (susceptibles d’alerter le client de l’atteinte à la sécurité) lui soient acheminées et non pas au client. L’envoi d’un courriel automatisé à l’adresse précédente des clients pour leur demander de confirmer s’ils ont bien modifié leurs coordonnées ou leur mot de passe, etc., peut les aider à détecter une activité non autorisée et à vous la signaler plus rapidement.
Documents d’orientation et sources d’information pertinentes
- Pour en savoir plus sur l’identification et l’authentification, consultez nos Lignes directrices en matière d’identification et d’authentification et notre Blogue Savoir Techno : Votre identité — Moyens dont disposent les services pour une solide authentification.
- Vous êtes prêt pour une vérification de sécurité? Utiliser notre outil d’autoévaluation intitulé Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations.
- Pour mieux comprendre l’obligation d’assurer la sécurité qui vous incombe en vertu de la loi, consultez notre Bulletin sur l’interprétation de la LPRPDE – Mesures de sécurité.
- Pour en savoir plus sur les autres types d’accès non autorisé, par exemple par un membre de la famille ou du ménage du titulaire, ou au moyen de l’ingénierie sociale, par exemple par hameçonnage, consultez les documents suivants :
- Date de modification :