Recommandations de stratégie de mot de passe pour Office 365Password policy recommendations for Office 365

En tant qu’administrateur d’une organisation Office 365, vous êtes responsable de la configuration de la stratégie de mot de passe pour les utilisateurs de votre organisation.As the admin of an Office 365 organization, you're responsible for setting password policy for users in your organization. La définition d’une stratégie de mot de passe peut être compliquée et confuse, et cet article fournit des recommandations pour renforcer la sécurité de votre organisation contre les attaques par mot de passe.Setting password policy can be complicated and confusing, and this article provides recommendations to make your organization more secure against password attacks.

Pour déterminer la fréquence d’expiration des mots de passe Office 365 dans votre organisation, consultez la rubrique définir une stratégie d’expiration de mot de passe pour office 365.To determine how often Office 365 passwords expire in your organization, see Set password expiration policy for Office 365.

Présentation des recommandations de mot de passeUnderstanding password recommendations

Les bonnes pratiques en matière de mot de passe appartiennent à quelques catégories:Good password practices fall into a few broad categories:

  • Résister aux attaques courantes Cela implique le choix de l’emplacement où les utilisateurs entrent des mots de passe (appareils connus et approuvés avec une bonne détection des programmes malveillants, sites validés) et le choix du mot de passe à choisir (longueur et unicité).Resisting common attacks This involves the choice of where users enter passwords (known and trusted devices with good malware detection, validated sites), and the choice of what password to choose (length and uniqueness).

  • Contenant des attaques réussies Le fait d’avoir des attaques de pirates est de limiter l’exposition à un service spécifique ou d’empêcher ce dommage, si le mot de passe d’un utilisateur est volé.Containing successful attacks Containing successful hacker attacks is about limiting exposure to a specific service, or preventing that damage altogether, if a user's password gets stolen. Par exemple, en veillant à ce qu’une violation de vos informations d’identification de réseau social ne rende pas votre compte bancaire vulnérable ou ne laisse pas un compte de protection médiocre accepter les liens de réinitialisation pour un compte important.For example, ensuring that a breach of your social networking credentials doesn't make your bank account vulnerable, or not letting a poorly guarded account accept reset links for an important account.

  • Présentation de la nature humaine De nombreuses pratiques de mot de passe valides ne se heurtent pas aux comportements humains naturels.Understanding human nature Many valid password practices fail in the face of natural human behaviors. La compréhension de la nature humaine est essentielle, car les recherches montrent que presque toutes les règles que vous imposez sur vos utilisateurs entraîneront une affaiblissement de la qualité des mots de passe.Understanding human nature is critical because research shows that almost every rule you impose on your users will result in a weakening of password quality. Les exigences en termes de longueur, de caractères spéciaux et de modification de mot de passe aboutissent à une normalisation des mots de passe, ce qui permet aux pirates de deviner ou de pirater plus facilement les mots de passe.Length requirements, special character requirements, and password change requirements all result in normalization of passwords, which makes it easier for attackers to guess or crack passwords.

Instructions relatives aux mots de passe pour les administrateursPassword guidelines for administrators

L’objectif principal d’un système de mot de passe plus sécurisé est la diversité des mots de passe.The primary goal of a more secure password system is password diversity. Vous souhaitez que votre stratégie de mot de passe contienne un grand nombre de mots de passe difficiles à deviner.You want your password policy to contain lots of different and hard to guess passwords. Voici quelques recommandations pour assurer la sécurité de votre organisation.Here are a few recommendations for keeping your organization as secure as possible.

  • Conserver une exigence de longueur minimale de 8 caractères (plus n’est pas forcément préférable)Maintain an 8-character minimum length requirement (longer isn't necessarily better)

  • Ne nécessitent pas de caractères pour la composition.Don't require character composition requirements. Par exemple, * &(^% $For example, *&(^%$

  • Ne nécessitent pas de réinitialisation périodique des mots de passe obligatoires pour les comptes d’utilisateurDon't require mandatory periodic password resets for user accounts

  • Interdire les mots de passe courants afin de conserver les mots de passe les plus vulnérables de votre systèmeBan common passwords, to keep the most vulnerable passwords out of your system

  • Informez vos utilisateurs à ne pas réutiliser les mots de passe de leur organisation à des fins non professionnelles.Educate your users to not re-use their organization passwords for non-work related purposes

  • Appliquer l’inscription pour l’authentification multifacteurEnforce registration for multi-factor authentication

  • Activer les défis liés à l’authentification multifacteur basée sur les risquesEnable risk-based multi-factor authentication challenges

Conseils pour les mots de passe de vos utilisateursPassword guidance for your users

Voici quelques conseils concernant les mots de passe pour les utilisateurs de votre organisation.Here's some password guidance for users in your organization. Veillez à informer vos utilisateurs de ces recommandations et à appliquer les stratégies de mot de passe recommandées au niveau de l’organisation.Make sure to let your users know about these recommendations and enforce the recommended password policies at the organizational level.

  • N’utilisez pas un mot de passe identique ou semblable à celui que vous utilisez sur d’autres sites Web.Don't use a password that is the same or similar to one you use on any other websites

  • N’utilisez pas un seul mot, par exemple, un mot de passe, ou une expression couramment utilisée comme ILOVEYOU .Don't use a single word, for example, password, or a commonly-used phrase like Iloveyou

  • Rendez les mots de passe difficiles à deviner, même par ceux qui connaissent un grand nombre de personnes, telles que les noms et les anniversaires de vos amis et de votre famille, vos bandes favorites et les expressions que vous aimez utiliserMake passwords hard to guess, even by those who know a lot about you, such as the names and birthdays of your friends and family, your favorite bands, and phrases you like to use

Certaines approches courantes et leurs impacts négatifsSome common approaches and their negative impacts

Voici quelques-unes des pratiques de gestion des mots de passe les plus couramment utilisées, mais la recherche nous avertit des impacts négatifs de ces pratiques.These are some of the most commonly used password management practices, but research warns us about the negative impacts of them.

Exigences en matière d’expiration de mot de passe pour les utilisateursPassword expiration requirements for users

Les exigences d’expiration du mot de passe sont plus néfastes que la qualité, car ces exigences permettent aux utilisateurs de sélectionner des mots de passe prévisibles, composés de mots et de numéros séquentiels étroitement liés les uns aux autres.Password expiration requirements do more harm than good, because these requirements make users select predictable passwords, composed of sequential words and numbers which are closely related to each other. Dans ce cas, le mot de passe suivant peut être prédit en fonction du mot de passe précédent.In these cases, the next password can be predicted based on the previous password. Les exigences d’expiration de mot de passe n’offrent aucun avantage de confinement, car les cybercriminels utilisent presque toujours les informations d’identification dès qu’ils les compromettent.Password expiration requirements offer no containment benefits because cyber criminals almost always use credentials as soon as they compromise them.

Exiger des mots de passe longsRequiring long passwords

Les exigences de longueur de mot de passe (plus de 10 caractères) peuvent entraîner un comportement de l’utilisateur prévisible et indésirable.Password length requirements (greater than about 10 characters) can result in user behavior that is predictable and undesirable. Par exemple, les utilisateurs qui doivent avoir un mot de passe de 16 caractères peuvent choisir des modèles répétitifs, tels que fourfourfourfour ou passwordpassword qui répondent aux exigences de longueur de caractères, mais qui ne sont pas difficiles à deviner.For example, users who are required to have a 16-character password may choose repeating patterns like fourfourfourfour or passwordpassword that meet the character length requirement but aren't hard to guess. En outre, les exigences de longueur augmentent les risques que les utilisateurs adopteront d’autres pratiques non sécurisées, telles que l’écriture de leurs mots de passe, leur réutilisation ou leur stockage non chiffrés dans leurs documents.Additionally, length requirements increase the chances that users will adopt other insecure practices, such as writing their passwords down, re-using them, or storing them unencrypted in their documents. Pour inciter les utilisateurs à réfléchir sur un mot de passe unique, nous vous recommandons de conserver une exigence de longueur minimale de 8 caractères.To encourage users to think about a unique password, we recommend keeping a reasonable 8-character minimum length requirement.

Exiger l’utilisation de plusieurs jeux de caractèresRequiring the use of multiple character sets

Les exigences de complexité de mot de passe réduisent l’espace clé et font en sorte que les utilisateurs agissent de manière prévisible, ce qui est plus néfaste que bien.Password complexity requirements reduce key space and cause users to act in predictable ways, doing more harm than good. La plupart des systèmes appliquent un certain niveau de complexité des mots de passe.Most systems enforce some level of password complexity requirements. Par exemple, les mots de passe ont besoin de caractères des trois catégories suivantes:For example, passwords need characters from all three of the following categories:

  • caractères majusculesuppercase characters

  • caractères minusculeslowercase characters

  • caractères non alphanumériquesnon-alphanumeric characters

La plupart des personnes utilisent des modèles similaires, par exemple, une lettre majuscule dans la première position, un symbole dans le dernier et un nombre dans le dernier 2.Most people use similar patterns, for example, a capital letter in the first position, a symbol in the last, and a number in the last 2. Les cybercriminels connaissent cela, afin qu’ils exécutent leurs attaques de dictionnaire à l’aide des substitutions les plus courantes, «$» pour «s», «@» pour «a», ««»» pour «l».Cyber criminals know this, so they run their dictionary attacks using the most common substitutions, "$" for "s", "@" for "a," "1" for "l". En forçant vos utilisateurs à choisir une combinaison de chiffres supérieurs, inférieurs, de chiffres, les caractères spéciaux ont un effet négatif.Forcing your users to choose a combination of upper, lower, digits, special characters has a negative effect. Certaines exigences de complexité empêchent même les utilisateurs d’utiliser des mots de passe sécurisés et mémorables, et de les forcer à venir avec des mots de passe moins sûrs et moins mémorables.Some complexity requirements even prevent users from using secure and memorable passwords, and force them into coming up with less secure and less memorable passwords.

Modèles réussisSuccessful Patterns

En revanche, voici quelques recommandations pour encourager la diversité des mots de passe.In contrast, here are some recommendations in encouraging password diversity.

Interdire les mots de passe communsBan common passwords

L’exigence de mot de passe la plus importante que vous devez mettre à la disposition de vos utilisateurs lors de la création de mots de passe consiste à interdire l’utilisation de mots de passe courants afin de réduire la vulnérabilité de votre organisation aux attaques de mot de passe en force.The most important password requirement you should put on your users when creating passwords is to ban the use of common passwords to reduce your organization's susceptibility to brute force password attacks. Les mots de passe utilisateur courants incluent, abdcefg, Password, singe.Common user passwords include, abdcefg, password, monkey.

Informer les utilisateurs de ne pas réutiliser les mots de passe d’organisation ailleursEducate users to not re-use organization passwords anywhere else

L’un des messages les plus importants à accéder aux utilisateurs de votre organisation est de ne pas réutiliser le mot de passe de leur organisation ailleurs.One of the most important messages to get across to users in your organization is to not re-use their organization password anywhere else. L’utilisation de mots de passe d’organisation dans des sites Web externes augmente considérablement la probabilité que les cybercriminels compromettent ces mots de passe.The use of organization passwords in external websites greatly increases the likelihood that cyber criminals will compromise these passwords.

Appliquer l’inscription multifacteur d’authentificationEnforce Multi-Factor Authentication registration

Assurez-vous que vos utilisateurs mettent à jour les informations de contact et de sécurité, telles qu’une adresse de messagerie de secours, un numéro de téléphone ou un appareil inscrit pour les notifications de transmission, afin qu’ils puissent répondre aux problèmes de sécurité et être avertis des événements de sécurité.Make sure your users update contact and security information, like an alternate email address, phone number, or a device registered for push notifications, so they can respond to security challenges and be notified of security events. Les informations de contact et de sécurité mises à jour aident les utilisateurs à vérifier leur identité s’ils oublient leur mot de passe ou si une autre personne tente de prendre le contrôle de leur compte.Updated contact and security information helps users verify their identity if they ever forget their password, or if someone else tries to take over their account. Elle fournit également un canal de notification hors bande dans le cas d’événements de sécurité, tels que des tentatives de connexion ou des mots de passe modifiés.It also provides an out of band notification channel in the case of security events such as login attempts or changed passwords.

Pour plus d’informations, reportez-vous à la rubrique set up Multi-Factor Authentication.To learn more, see Set up multi-factor authentication.

Activer l’authentification multifacteur basée sur les risquesEnable risk-based multi-factor authentication

L’authentification multifacteur basée sur les risques garantit que lorsque notre système détecte une activité suspecte, il peut contester l’utilisateur pour s’assurer qu’il s’agit du propriétaire de compte légitime.Risk-based multi-factor authentication ensures that when our system detects suspicious activity, it can challenge the user to ensure that they are the legitimate account owner.