Cet article de blogue vous est présenté par le Commissariat à la protection de la vie privée (CPVP) du Canada qui a pour mission de protéger et de promouvoir le droit des personnes à la vie privée.

Conseils pour atténuer les risques liés à la réutilisation des mots de passe

Toutes les organisations assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) doivent s'assurer que les renseignements personnels sont protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Selon la situation, il est possible que vous ayez besoin d'une protection supplémentaire contre tout accès non autorisé en sus des mots de passe de vos clients et de vos employés.

Le risque pour votre entreprise

La réutilisation des mots de passe présente un double risque pour votre entreprise, ainsi que pour les utilisateurs :

  • si votre entreprise fournit des comptes informatiques protégés par un mot de passe, la réutilisation par les utilisateurs d'un mot de passe qui a été piraté sur un autre site pourrait permettre aux pirates d'avoir accès aux comptes des clients touchés;
  • si vos employés réutilisent ailleurs leur mot de passe de leurs comptes informatiques au travail, les pirates pourraient avoir accès au réseau entier de votre entreprise.

Mesures à prendre pour atténuer ce risque

Il existe toute une gamme de mesures de sécurité que les entreprises, grandes, moyennes et petites, peuvent prendre pour atténuer le risque associé à la réutilisation des mots de passe par les employés ou les clients. Elles pourraient, par exemple, s'abonner aux alertes ou aux bulletins sur les cybermenaces de nature générale ou propres à leur secteur d'activité. Elles pourraient aussi songer à faire part de leur propre expérience à d'autres entreprises de leur collectivité ou de leur industrie sachant qu'une personne avertie en vaut deux!

Atténuer le risque associé à la réutilisation des mots de passe par les employés

Le mot de passe d'un employé ne devrait pas constituer la seule ligne de défense de votre entreprise contre les accès non autorisés.

  • Modification des mots de passe réutilisés — Encouragez vivement vos employés à modifier leurs mots de passe au travail s'ils les ont déjà utilisés ailleurs.
  • Accès sécurisé — Si les employés peuvent avoir accès à distance à leurs comptes du travail, des mécanismes de contrôle d'accès sont à votre disposition pour atténuer le cyberrisque auquel est exposée votre entreprise tout en répondant à ses besoins opérationnels. Par exemple, vous pourriez :
    • autoriser la connexion à distance uniquement à partir d'adresses IP autorisées;
    • utiliser un réseau privé virtuel (RPV);
    • obliger l'utilisateur à répondre à des questions de sécurité supplémentaires;
    • exiger une authentification à facteurs multiples (fortement recommandée dans le cas d'employés bénéficiant de privilèges d'administrateur).
  • Surveillance — Surveillez les ouvertures de session dans le compte des employés pour détecter toute activité en ligne inhabituelle. Il s'agit d'une bonne mesure de protection contre le risque associé à la réutilisation des mots de passe par les employés. Certains dangers liés aux cyberattaques se concrétisent lorsque des accès inhabituels passent inaperçus — par exemple, l'ouverture de plusieurs sessions au milieu de la nuit ou à partir d'adresses IP dans d'autres pays.

Pour en savoir davantage, visitez le site Web du CPVP.