L’Anssi publie un guide sur l’authentification et les mots de passe

Publié le 20 octobre 2021par Lucas Boncourt pour Localtis
Infrastructures numériques, THD, Sécurité

Face à l’évolution des pratiques, des menaces et des systèmes d’authentification, l’Anssi (Agence nationale de la sécurité des systèmes d'information) a mis à jour ses recommandations qui dataient de 2012. Ce guide cible les développeurs d’applications, les administrateurs de systèmes, les DSI mais aussi les utilisateurs finaux. Il pourra être utilisé par les collectivités dans la perspective d’un audit de sécurité ou pour mettre à jour une charte des usages informatiques.
Le principal point à retenir porte sur la nécessité d’adapter le mode d’authentification au service à protéger. "L’authentification sur un site de réservation d’un terrain de tennis et l’authentification sur un réseau contenant des données sensibles ne font pas face aux mêmes menaces et n’ont donc pas les mêmes besoins de sécurité", relève l’agence. Cela signifie que la politique d’authentification d’une organisation a pour préalable une analyse de risque. Pour les services les plus critiques, comme l’accès aux comptes administrateur (serveur, application métier…), l’Anssi incite à utiliser des systèmes d’authentification multifacteurs. Pour les personnels, il s’agira par exemple de déployer des générateurs de clefs à usage unique, propres à chaque agent s’ajoutant à une authentification en ligne. Pour l’accès d’un usager à un service sensible, il peut s’agir de l’envoi d’un code par SMS en plus du login/mot de passe demandé à l’utilisateur.
Concernant les mots de passe, l’agence invite à adapter la robustesse du mot de passe à son contexte d’utilisation, l’accès à la messagerie arrivant en tête des services les plus critiques. L’agence recommande notamment l’interdiction des mots de passe courts (moins de 8 caractères), le recours à des caractères spéciaux ou encore à des phrases (plusieurs mots du dictionnaire) plus faciles à retenir pour l’utilisateur. Si l’usage d’un mot de passe identique pour plusieurs services est à bannir absolument, l’agence estime que leur périodicité de renouvellement doit être adaptée à la sensibilité du service. L’agence incite enfin les utilisateurs à recourir à un coffre-fort de mot de passe et à prohiber leur stockage dans un fichier, même protégé.

Pour aller plus loin

Le guide de l'Anssi

Voir aussi

Actualité Localtis

L’Anssi accompagne 230 collectivités dans leur "parcours cyber"

Sécurité

Actualité Localtis

Cybersécurité : une députée appelle l’État à élargir l’aide aux collectivités

Infrastructures numériques, THD, Sécurité, Smart city

Actualité Localtis

Cybersécurité : Cybermalveillance promet un accompagnement adapté pour les petites collectivités

Sécurité, Smart city

Actualité Localtis

Cybersécurité : des collectivités qui peinent à anticiper les nouvelles menaces

Sécurité, Smart city, Infrastructures numériques, THD

Abonnez-vous à Localtis !

Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

Découvrir Localtis