Dernière modification : 19 mars 2025
Politique n° 4204 Procédure relative aux mots de passe
Vue d'ensemble
Les mots de passe sont un élément essentiel de la sécurité de l'information. Les mots de passe servent à protéger les comptes d'utilisateurs ; toutefois, un mot de passe mal conçu peut entraîner la compromission de systèmes individuels, de données ou de l'ensemble du réseau. Les présentes lignes directrices présentent les meilleures pratiques en matière de création de mots de passe sécurisés.
Objectif
L'objectif de cette procédure est d'établir une norme pour la création de mots de passe forts, la protection de ces mots de passe et la fréquence des changements.
Champ d'application/Responsabilité
Cette procédure s'applique à tout le personnel et à toutes les entités travaillant pour le compte du district qui ont ou sont responsables d'un compte (ou de toute forme d'accès nécessitant un mot de passe) sur tout système résidant ou connecté à une installation du PCSD.
Procédure
Pour minimiser les risques d'accès non autorisé, tous les mots de passe doivent être conformes ou supérieurs aux lignes directrices relatives à la création de mots de passe forts.
Caractéristiques du mot de passe
- Des mots de passe forts :
- contenir au moins 12 caractères alphanumériques
- contenir des lettres majuscules et minuscules
- contenir au moins un chiffre (par exemple, 0-9)
- contenir au moins un caractère spécial (par exemple, !$%^&*()_+|~-=\`{}[] :";' ?,/)
- Mots de passe médiocres ou faibles :
- contenir moins de huit caractères
- Peut être trouvé dans un dictionnaire, y compris dans les langues étrangères, ou exister dans l'argot, les dialectes ou le jargon.
- contenir des informations personnelles telles que des dates de naissance, des adresses, des numéros de téléphone, des noms de membres de la famille, d'animaux domestiques, d'amis ou de personnages fictifs
- contenir des informations liées au travail, telles que des noms de bâtiments, des mascottes, du matériel ou des logiciels
- contenir des motifs numériques tels que aaabbb, qwerty, zyxwvuts ou 123321
- contiennent des mots courants épelés à l'envers ou précédés/suivis d'un chiffre (par exemple, terces, secret1, ou 1secret)
- Il s'agit d'une version de "Welcome123", "Password123" ou "Changeme123"
Meilleures pratiques en matière de mots de passe
- Les utilisateurs ne doivent pas utiliser le même mot de passe pour les comptes PCSD que pour d'autres accès non PCSD (par exemple, courrier électronique personnel, sites d'achat, médias sociaux).
- Dans la mesure du possible, les utilisateurs ne doivent pas utiliser le même mot de passe pour différents besoins d'accès au PCSD.
- Les comptes d'utilisateurs disposant de privilèges au niveau du système (par exemple, PowerSchool) doivent avoir un mot de passe unique pour les privilèges au niveau du système, à moins d'utiliser l'authentification à deux facteurs.
- Les utilisateurs ne devraient jamais écrire ou stocker des mots de passe sans un cryptage acceptable.
- Créez des mots de passe faciles à mémoriser. Une méthode consiste à utiliser une phrase, par exemple "Ceci peut être une façon de se souvenir", qui pourrait devenir
TmB1w2R !
Exigences relatives à la modification du mot de passe
- Tous les mots de passe au niveau du système (par exemple, les comptes root, admin, application admin) doivent être modifiés au moins une fois par trimestre.
- Tous les mots de passe des utilisateurs (par exemple, courrier électronique, Internet, ordinateur de bureau) doivent être modifiés au moins une fois par an. L'intervalle recommandé est de quatre mois.
- L'équipe InfoSec peut être amenée à craquer ou à deviner des mots de passe de manière périodique. Si un mot de passe est compromis, l'utilisateur doit le changer immédiatement.
- Les systèmes qui peuvent imposer des changements de mot de passe doivent le faire régulièrement.
- Les mots de passe par défaut doivent être modifiés lors de l'installation et de la configuration initiales.
Sécurité et gestion des mots de passe
- Le service d'assistance technologique gère les mots de passe oubliés et les réinitialisations. Les utilisateurs doivent vérifier leur identité avant qu'une réinitialisation ne soit accordée.
- Les mots de passe ne doivent être partagés avec personne, y compris les assistants administratifs, les secrétaires, les responsables, les collègues ou les membres de la famille.
- Les mots de passe ne doivent pas être inclus dans les courriels ou autres communications électroniques.
- Les utilisateurs ne doivent jamais révéler de mots de passe dans les questionnaires ou les formulaires de sécurité.
- Les utilisateurs ne doivent pas faire allusion au format d'un mot de passe (par exemple, "mon nom de famille").
- N'écrivez pas vos mots de passe et ne les conservez pas dans un bureau ou dans un fichier non crypté.
- Ne stockez pas les mots de passe dans un fichier sur un ordinateur ou un appareil mobile non crypté.
- N'utilisez jamais la fonction "Mémoriser le mot de passe" dans les applications (par exemple, les navigateurs web).
- Si un utilisateur soupçonne que son mot de passe a été compromis, il doit le signaler à son supérieur et changer immédiatement tous ses mots de passe.
- Utilisez la déconnexion automatique sur les systèmes qui le permettent.
Dernière mise à jour Statut :
Mise à jour janvier 2015
Politiques et procédures connexes
- 4204 Utilisation de la technologie
- 4204 Utilisation acceptable
- 4204 Audit
- 4204 Bureau propre
- 4204 Plan de reprise après sinistre
- 4204 Courriel
- 4204 Formation des employés à la sensibilisation à la sécurité
- 4204 Chiffrement
- 4204 Mot de passe
- 4204 Accès à distance
- 4204 Sécurité des routeurs et des commutateurs
- 4204 Sécurité des postes de travail sensibles
- 4204 Plan d'intervention de sécurité
- 4204 Sécurité du serveur
- 4204 Installation du logiciel
- 4204 Services de sécurité des sites web
- 4204 Communication entre dispositifs sans fil
- 4204 Communication d'infrastructure sans fil
Français 
English 
Español de México 
Deutsch 
Italiano 
日本語 
한국어 
Lietuvių kalba 
繁體中文 
Português do Brasil 
Русский