Recommandations en matière de stratégie de mot de passePassword policy recommendations

En tant qu’administrateur d’une organisation, vous êtes chargé de la configuration d'une stratégie de mot de passe pour les utilisateurs au sein de votre organisation.As the admin of an organization, you're responsible for setting password policy for users in your organization. La configuration d'une stratégie de mot de passe peut être complexe et déconcertante. Cet article vous fournit des recommandations pour renforcer la sécurité de votre organisation contre les attaques par mot de passe.Setting password policy can be complicated and confusing, and this article provides recommendations to make your organization more secure against password attacks.

Pour déterminer la fréquence d’expiration des mots de passe Microsoft 365 dans votre organisation, consultez la page Définir une stratégie d’expiration de mot de passe pour Microsoft 365.To determine how often Microsoft 365 passwords expire in your organization, see Set password expiration policy for Microsoft 365.

Pour obtenir plus d’informations sur les mots de passe Microsoft 365, consultez ces articles connexes.For more information about Microsoft 365 passwords, see these related articles.

Présentation des recommandations concernant les mots de passeUnderstanding password recommendations

Les pratiques pour mot de passe recommandées sont classées en plusieurs catégories :Good password practices fall into a few broad categories:

  • Résistance aux attaques courantes il s’agit du choix de l’emplacement dans lequel les utilisateurs entrent les mots de passe (les appareils connus et fiables ayant une bonne détection de programmes malveillants, sites validés) et le choix du mot de passe à adopter (longueur et unicité).Resisting common attacks This involves the choice of where users enter passwords (known and trusted devices with good malware detection, validated sites), and the choice of what password to choose (length and uniqueness).

  • Contenir les attaques fructueuses la résistance aux attaques réussies de pirates informatiques consiste à limiter l’exposition à un service précis ou à empêcher les dommages purs et simples, si le mot de passe d’un utilisateur est volé.Containing successful attacks Containing successful hacker attacks is about limiting exposure to a specific service, or preventing that damage altogether, if a user's password gets stolen. Par exemple, s’assurer qu’une violation de vos informations d’identification de réseaux sociaux ne rende pas votre compte bancaire vulnérable, ou ne pas laisser un compte peu protégé accepter des liens de réinitialisation pour un compte important.For example, ensuring that a breach of your social networking credentials doesn't make your bank account vulnerable, or not letting a poorly guarded account accept reset links for an important account.

  • Comprendre la nature humaine de nombreuses pratiques valides en matière de mot de passe échouent face à des comportements humains naturels.Understanding human nature Many valid password practices fail in the face of natural human behaviors. Une compréhension de la nature humaine est essentielle, car les recherches démontrent que pratiquement toutes les règles que vous imposez à vos utilisateurs entraînent une fragilisation de la qualité des mots de passe.Understanding human nature is critical because research shows that almost every rule you impose on your users will result in a weakening of password quality. Les exigences de longueur, de caractères spéciaux et de modification du mot de passe entraînent une normalisation des mots de passe, ce qui permet aux pirates informatiques de deviner ou de déchiffrer les mots de passe plus facilement.Length requirements, special character requirements, and password change requirements all result in normalization of passwords, which makes it easier for attackers to guess or crack passwords.

Conseils relatifs aux mots de passe pour les administrateursPassword guidelines for administrators

La diversité des mots de passe représente l’objectif principal d’un système de mot de passe sécurisé.The primary goal of a more secure password system is password diversity. Votre stratégie de mot de doit contenir de nombreux mots de passe différents qui sont de plus difficiles à deviner.You want your password policy to contain lots of different and hard to guess passwords. Voici quelques recommandations pour garantir la sécurité de votre organisation.Here are a few recommendations for keeping your organization as secure as possible.

  • Conserver une exigence de longueur minimale de 8 caractères (une longueur supérieure n'est pas forcément recommandable)Maintain an 8-character minimum length requirement (longer isn't necessarily better)

  • N'exigez pas de composition de caractères.Don't require character composition requirements. For exemple, *&(^%$For example, *&(^%$

  • Ne demandez pas la réinitialisation de mot de passe régulière obligatoire pour les comptes utilisateurDon't require mandatory periodic password resets for user accounts

  • Interdisez les mots de passe communs pour empêcher les mots de passe vulnérables d'envahir votre systèmeBan common passwords, to keep the most vulnerable passwords out of your system

  • Informez vos utilisateurs pour qu'ils ne réutilisent pas leur mot de passe d'organisation à des fins autres que professionnellesEducate your users to not re-use their organization passwords for non-work related purposes

  • Renforcer l'Inscription des utilisateurs au service d'authentification multifacteurEnforce registration for multi-factor authentication

  • Autoriser les enjeux liés à l’authentification multifacteur basée sur le risqueEnable risk-based multi-factor authentication challenges

Conseils liés aux mots de passe pour vos utilisateursPassword guidance for your users

Voici quelques conseils sur les mots de passe destinés aux utilisateurs de votre organisation.Here's some password guidance for users in your organization. Assurez-vous d'informer vos utilisateurs sur ces recommandations et d'appliquer les stratégies de mot de passe recommandées au niveau de l’organisation.Make sure to let your users know about these recommendations and enforce the recommended password policies at the organizational level.

  • N’utilisez pas de mot de passe identique ou similaire à celui utilisé sur d’autres sites webDon't use a password that is the same or similar to one you use on any other websites

  • N’utilisez pas de mot unique (par exemple, codeou une expression couramment utilisée de typejetaime)Don't use a single word, for example, password, or a commonly-used phrase like Iloveyou

  • Veillez à ce que les mots de passe soient difficiles à deviner, même par des personnes qui vous connaissent bien, telles que les noms et les anniversaires de vos amis et de votre famille, vos groupes préférés et les phrases que vous aimez utiliserMake passwords hard to guess, even by those who know a lot about you, such as the names and birthdays of your friends and family, your favorite bands, and phrases you like to use

Approches courantes et leurs répercussions négativesSome common approaches and their negative impacts

Voici quelques-unes des pratiques les plus couramment utilisées en matière de gestion des mots de passe, bien que des recherches nous avertissent de leurs conséquences négatives.These are some of the most commonly used password management practices, but research warns us about the negative impacts of them.

Exigences d’expiration du mot de passe pour les utilisateursPassword expiration requirements for users

Les conditions d’expiration du mot de passe sont plus néfastes que bénéfiques, car elles permettent aux utilisateurs de sélectionner des mots de passe sans surprise, composés de mots et de chiffres à caractère séquentiel très liés entre eux.Password expiration requirements do more harm than good, because these requirements make users select predictable passwords, composed of sequential words and numbers which are closely related to each other. Dans ce cas, le mot de passe suivant peut être déterminé en se basant sur le mot de passe précédent.In these cases, the next password can be predicted based on the previous password. Les exigences en matière d’expiration de mot de passe ne présentent aucun avantage de confinement, car les cybercriminels utilisent pratiquement toujours les informations d’identification dès qu’ils les compromettent.Password expiration requirements offer no containment benefits because cyber criminals almost always use credentials as soon as they compromise them.

Exigence de mots de passe longsRequiring long passwords

Les exigences de longueur de mot de passe (plus de 10 caractères environ) peuvent entraîner un comportement utilisateur prévisible et non souhaitable.Password length requirements (greater than about 10 characters) can result in user behavior that is predictable and undesirable. Par exemple, il est possible que les utilisateurs devant utiliser un mot de passe de 16 caractères choisissent de répéter des modèles tels que quatrequatrequatre ou motdepassemotdepasse qui respectent les exigences de longueur de caractères, mais qui sont faciles à deviner.For example, users who are required to have a 16-character password may choose repeating patterns like fourfourfourfour or passwordpassword that meet the character length requirement but aren't hard to guess. De plus, les exigences de longueur augmentent les risques d’adoption par les utilisateurs d’autres méthodes non sécurisées, telles que l’écriture sur papier de leurs mots de passe, leur réutilisation ou leur stockage non chiffré dans leurs documents.Additionally, length requirements increase the chances that users will adopt other insecure practices, such as writing their passwords down, re-using them, or storing them unencrypted in their documents. Pour inciter les utilisateurs à considérer un mot de passe unique, nous vous recommandons de conserver une exigence raisonnable d'une longueur minimale de 8 caractères.To encourage users to think about a unique password, we recommend keeping a reasonable 8-character minimum length requirement.

Nécessité d’utiliser plusieurs jeux de caractèresRequiring the use of multiple character sets

L'exigence de complexité de mots de passe permet de réduire l’espace de clé et d'amener les utilisateurs à agir de façon prévisible, faisant ainsi plus de mal que de bien.Password complexity requirements reduce key space and cause users to act in predictable ways, doing more harm than good. La plupart des systèmes appliquent des exigences de complexité des mots de passe d'un certain niveau.Most systems enforce some level of password complexity requirements. Par exemple, les mots de passe doivent contenir des caractères faisant partie des trois catégories suivantes :For example, passwords need characters from all three of the following categories:

  • caractères majusculesuppercase characters

  • caractères minusculeslowercase characters

  • caractères non alphanumériquesnon-alphanumeric characters

Beaucoup de personnes utilisent des modèles similaires par exemple, une lettre majuscule en premier, un symbole en dernier et un nombre dans les deux derniers caractères.Most people use similar patterns, for example, a capital letter in the first position, a symbol in the last, and a number in the last 2. Les cybercriminels le savent, de sorte qu’ils exécutent leurs attaques de dictionnaire en utilisant les substitutions les plus courantes, « $ » pour « s », « @ » pour « a », « 1 » pour « l ».Cyber criminals know this, so they run their dictionary attacks using the most common substitutions, "$" for "s", "@" for "a," "1" for "l". Le fait de contraindre vos utilisateurs à choisir une combinaison de majuscules, minuscules et caractères spéciaux a une incidence négative.Forcing your users to choose a combination of upper, lower, digits, special characters has a negative effect. Certaines exigences de complexité empêchent également les utilisateurs d’utiliser des mots de passe sécurisés et mémorables, et de les contraint à faire usage de mots de passe moins sécurisés et moins marquants.Some complexity requirements even prevent users from using secure and memorable passwords, and force them into coming up with less secure and less memorable passwords.

Modèles performantsSuccessful Patterns

En revanche, voici quelques recommandations favorisant une variété des mots de passe.In contrast, here are some recommendations in encouraging password diversity.

Interdire les mots de passe courantsBan common passwords

L’exigence de mot de passe la plus importante à imposer à vos utilisateurs lors de la création de mots de passe consiste à interdire l’utilisation de mots de passe communs afin de limiter la vulnérabilité de votre organisation aux attaques de mot de passe par force brute.The most important password requirement you should put on your users when creating passwords is to ban the use of common passwords to reduce your organization's susceptibility to brute force password attacks. Les mots de passe utilisateur courants incluent abdcefg, motdepasse et singe.Common user passwords include, abdcefg, password, monkey.

Apprenez à vos utilisateurs à ne pas réutiliser ailleurs les mots de passe d’organisationEducate users to not re-use organization passwords anywhere else

L’un des plus importants messages à faire passer auprès des utilisateurs de votre organisation est de ne pas réutiliser autre part leur mot de passe d’organisation.One of the most important messages to get across to users in your organization is to not re-use their organization password anywhere else. L’utilisation de mots de passe d’organisation sur des sites web externes augmente considérablement la probabilité de compromission de ces mots de passe par des cybercriminels.The use of organization passwords in external websites greatly increases the likelihood that cyber criminals will compromise these passwords.

Imposer l'inscription avec service d'authentification multifacteurEnforce Multi-Factor Authentication registration

Veillez à ce que les utilisateurs mettent à jour leurs informations de sécurité et de contact, telles que l'adresse e-mail secondaire, le numéro de téléphone ou l'appareil enregistré pour les services de notifications Push afin qu'ils puissent répondre aux questions challenges et être informés des évènements de sécurité.Make sure your users update contact and security information, like an alternate email address, phone number, or a device registered for push notifications, so they can respond to security challenges and be notified of security events. Les informations de contact et de sécurité mises à jour permettent aux utilisateurs de vérifier leur identité en cas d'oubli de leur mot de passe, ou si un autre utilisateur tente de prendre le contrôle de leur compte.Updated contact and security information helps users verify their identity if they ever forget their password, or if someone else tries to take over their account. Elles fournissent en outre un canal de notification de type hors plage en cas d'évènements de sécurité, tels que des tentatives de connexion ou des modifications de mots de passe.It also provides an out of band notification channel in the case of security events such as login attempts or changed passwords.

Pour plus d'informations, voir Configurer l'authentification multifacteur.To learn more, see Set up multi-factor authentication.

Activer le service d'authentification multifacteur basé sur le risqueEnable risk-based multi-factor authentication

L’authentification multifacteur basée sur le risque s'assure que, lorsque notre système détecte une activité suspecte, il peut défier l’utilisateur pour s’assurer qu’il s’agit bien du propriétaire du compte.Risk-based multi-factor authentication ensures that when our system detects suspicious activity, it can challenge the user to ensure that they are the legitimate account owner.

Réinitialiser les mots de passeReset passwords

Définir le mot de passe d’un utilisateur de façon à ce qu’il n’expire jamaisSet an individual user's password to never expire

Autoriser les utilisateurs à réinitialiser leur mot de passeLet users reset their own passwords

Renvoyer le mot de passe d’un utilisateur – Aide de l’administrateurResend a user's password - Admin Help