Aller au contenu Sauter au menu de traduction
Search Icon

Dernière modification : 19 mars 2025

Politique n° 4204 Procédure relative aux mots de passe

Vue d'ensemble

Les mots de passe sont un élément essentiel de la sécurité de l'information. Les mots de passe servent à protéger les comptes d'utilisateurs ; toutefois, un mot de passe mal conçu peut entraîner la compromission de systèmes individuels, de données ou de l'ensemble du réseau. Les présentes lignes directrices présentent les meilleures pratiques en matière de création de mots de passe sécurisés.

Objectif

L'objectif de cette procédure est d'établir une norme pour la création de mots de passe forts, la protection de ces mots de passe et la fréquence des changements.

Champ d'application/Responsabilité

Cette procédure s'applique à tout le personnel et à toutes les entités travaillant pour le compte du district qui ont ou sont responsables d'un compte (ou de toute forme d'accès nécessitant un mot de passe) sur tout système résidant ou connecté à une installation du PCSD.

Procédure

Pour minimiser les risques d'accès non autorisé, tous les mots de passe doivent être conformes ou supérieurs aux lignes directrices relatives à la création de mots de passe forts.

Caractéristiques du mot de passe

  • Des mots de passe forts :
    • contenir au moins 12 caractères alphanumériques
    • contenir des lettres majuscules et minuscules
    • contenir au moins un chiffre (par exemple, 0-9)
    • contenir au moins un caractère spécial (par exemple, !$%^&*()_+|~-=\`{}[] :";' ?,/)
  • Mots de passe médiocres ou faibles :
    • contenir moins de huit caractères
    • Peut être trouvé dans un dictionnaire, y compris dans les langues étrangères, ou exister dans l'argot, les dialectes ou le jargon.
    • contenir des informations personnelles telles que des dates de naissance, des adresses, des numéros de téléphone, des noms de membres de la famille, d'animaux domestiques, d'amis ou de personnages fictifs
    • contenir des informations liées au travail, telles que des noms de bâtiments, des mascottes, du matériel ou des logiciels
    • contenir des motifs numériques tels que aaabbb, qwerty, zyxwvuts ou 123321
    • contiennent des mots courants épelés à l'envers ou précédés/suivis d'un chiffre (par exemple, terces, secret1, ou 1secret)
    • Il s'agit d'une version de "Welcome123", "Password123" ou "Changeme123"

Meilleures pratiques en matière de mots de passe

  • Les utilisateurs ne doivent pas utiliser le même mot de passe pour les comptes PCSD que pour d'autres accès non PCSD (par exemple, courrier électronique personnel, sites d'achat, médias sociaux).
  • Dans la mesure du possible, les utilisateurs ne doivent pas utiliser le même mot de passe pour différents besoins d'accès au PCSD.
  • Les comptes d'utilisateurs disposant de privilèges au niveau du système (par exemple, PowerSchool) doivent avoir un mot de passe unique pour les privilèges au niveau du système, à moins d'utiliser l'authentification à deux facteurs.
  • Les utilisateurs ne devraient jamais écrire ou stocker des mots de passe sans un cryptage acceptable.
  • Créez des mots de passe faciles à mémoriser. Une méthode consiste à utiliser une phrase, par exemple "Ceci peut être une façon de se souvenir", qui pourrait devenir TmB1w2R !

Exigences relatives à la modification du mot de passe

  • Tous les mots de passe au niveau du système (par exemple, les comptes root, admin, application admin) doivent être modifiés au moins une fois par trimestre.
  • Tous les mots de passe des utilisateurs (par exemple, courrier électronique, Internet, ordinateur de bureau) doivent être modifiés au moins une fois par an. L'intervalle recommandé est de quatre mois.
  • L'équipe InfoSec peut être amenée à craquer ou à deviner des mots de passe de manière périodique. Si un mot de passe est compromis, l'utilisateur doit le changer immédiatement.
  • Les systèmes qui peuvent imposer des changements de mot de passe doivent le faire régulièrement.
  • Les mots de passe par défaut doivent être modifiés lors de l'installation et de la configuration initiales.

Sécurité et gestion des mots de passe

  • Le service d'assistance technologique gère les mots de passe oubliés et les réinitialisations. Les utilisateurs doivent vérifier leur identité avant qu'une réinitialisation ne soit accordée.
  • Les mots de passe ne doivent être partagés avec personne, y compris les assistants administratifs, les secrétaires, les responsables, les collègues ou les membres de la famille.
  • Les mots de passe ne doivent pas être inclus dans les courriels ou autres communications électroniques.
  • Les utilisateurs ne doivent jamais révéler de mots de passe dans les questionnaires ou les formulaires de sécurité.
  • Les utilisateurs ne doivent pas faire allusion au format d'un mot de passe (par exemple, "mon nom de famille").
  • N'écrivez pas vos mots de passe et ne les conservez pas dans un bureau ou dans un fichier non crypté.
  • Ne stockez pas les mots de passe dans un fichier sur un ordinateur ou un appareil mobile non crypté.
  • N'utilisez jamais la fonction "Mémoriser le mot de passe" dans les applications (par exemple, les navigateurs web).
  • Si un utilisateur soupçonne que son mot de passe a été compromis, il doit le signaler à son supérieur et changer immédiatement tous ses mots de passe.
  • Utilisez la déconnexion automatique sur les systèmes qui le permettent.

Dernière mise à jour Statut :

Mise à jour janvier 2015

Politiques et procédures connexes

Translation Tool