Gestion des mots de passe moderne
Jerome Kelly

Gestion des mots de passe moderne

Chez Thirdbridge, offrir une tranquilité d'esprit à nos clients est au centre de nos priorités et, selon nous, tout commence par la fiabilité de nos pratiques et processus internes.

Chez Thirdbridge, offrir une tranquilité d'esprit à nos clients est au centre de nos priorités et, selon nous, tout commence par la fiabilité de nos pratiques et processus internes. Pour bien débuter l’année, nous avons décidé de dépoussiérer notre politique de gestion des mots de passe. Nous croyons que les bonnes pratiques de l’industrie sont en fait désuètes et avons choisi d’adopter une approche différente.

En général, une politique classique de gestion des mots de passe ressemble à ceci :

Les membres de Compagnie XYZ doivent utiliser des mots de passe respectant les critères suivants dans le cadre de l’utilisation d’outils ou de systèmes nécessaires à leur travail :

  • Au moins 10 caractères ;
  • Contenir au moins un chiffre ;
  • Contenir au moins une lettre minuscule et une lettre majuscule ;
  • Contenir au moins un caractère spécial.

Un mot de passe ne doit jamais être réutilisé pour différents outils ou systèmes. De plus, les mots de passe doivent être modifiés de manière périodique, au minimum une fois tous les six mois.

Dans cet article, nous allons présenter comment et pourquoi la politique de Thirdbridge, centrée sur l’utilisation d’un gestionnaire de mots de passe, est beaucoup mieux adaptée à la réalité actuelle. Plus précisément, nous aborderons l’entropie des mots de passe, leur unicité, les fuites sur le deep web, la protection contre le hameçonnage et la culture de sécurité.

La Version Thirdbridge

Présentement, la politique de gestion des mots de passe de Thirdbridge se résume comme suit :

Les membres de Thirdbridge doivent installer l’application 1Password ainsi que l’extension sur le navigateur web de leur choix. Chaque mot de passe doit être généré par 1Password et obtenir le score « Fantastique ».

Bien que cette formulation soit très simple et ne contienne pas de directives précises sur le contenu des mots de passe, la simple intégration d’un outil comme 1Password la rend beaucoup plus pertinente pour une multitude de raisons.

Thirdbridge n’est ni affilié ni commandité par 1Password. Bien que la suite de ce texte puisse ressembler à une publicité, il existe plusieurs concurrents qui offrent des produits similaires. Ceci étant dit, chez Thirdbridge, nous apprécions particulièrement 1Password.

Un mot de passe Fantastique

Tel que mentionné dans notre politique, les mots de passe doivent obtenir le score "Fantastique" lorsqu’ils sont créés dans 1Password. Ce score repose sur des critères sophistiqués qui intègrent une multitude de paramètres.

Réutilisation

À moins de posséder une mémoire photographique, il est pratiquement impossible de mémoriser un mot de passe sécurisé différent pour chaque outil numérique utilisé dans le cadre de notre travail. Sans gestionnaire de mots de passe, la réalité est que la plupart des gens réutilisent le même mot de passe pour plusieurs comptes, ce qui constitue un énorme risque de sécurité.

En imposant l’utilisation de 1Password pour la création de tous les mots de passe, le gestionnaire détecte automatiquement toute réutilisation de mot de passe et n’attribuera pas le score Fantastique dans un tel cas. Problème résolu!

Détection des brèches

Lors de la création d’un mot de passe dans 1Password, une vérification automatique est effectuée pour confirmer que le mot de passe choisi n’a jamais été compromis dans une fuite antérieure et qu’il n’est pas accessible sur le deep web.

Bien qu’il soit vrai que de nombreux navigateurs web offrent désormais cette fonctionnalité par défaut, plusieurs autres interfaces, moins modernes, ne disposent pas de ce genre de vérification sophistiquée. Grâce à 1Password, cette protection est systématiquement intégrée, quel que soit l’outil utilisé.

Entropie

De manière extrêmement simplifiée, l’entropie peut être décrite comme le niveau de hasard d’un mot de passe. Plus l’entropie est élevée, plus il est difficile de deviner ou de casser le mot de passe. 1Password utilise cette approche pour évaluer la force d’un mot de passe, au lieu de se limiter à la présence d’un ensemble de caractères obligatoires. Grâce à cette approche, il est possible de générer des mots de passe extrêmement sécurisés même pour des systèmes archaïque où, par exemple, l’utilisation de caractères spéciaux est bloquée par un pare-feu d’entreprise.

Hameçonnage

L’ajout de l’obligation d’installer l’extension pour les navigateurs web n’est pas aléatoire. Non seulement elle offre une expérience d’utilisation beaucoup plus agréable, mais elle contribue également à protéger contre un autre vecteur d’attaque.

Lors de notre dernière campagne de simulation d’hameçonnage, nous avons tenté d’induire les gens en erreur pour qu’ils entrent leurs identifiants sur une fausse plateforme visuellement identique à l’originale. Plusieurs collègues ont mentionné que l’absence de complétion automatique par 1Password leur avait mis la puce à l’oreille. Bien que dans notre cas il ne s’agissait que d’une simulation, le hameçonnage demeure à ce jour le vecteur d’attaque le plus courant! Selon le rapport 2023 State of the Phish, pas moins de 84 % des entreprises ont été victimes d’une attaque réussie, avec des conséquences parfois désastreuses.

Ainsi, bien qu’il ne s’agisse pas d’une solution infaillible contre l’hameçonnage comme les Passkeys, l’utilisation de l’extension dans le navigateur améliore tout de même significativement le niveau de protection.

Culture de la sécurité

Un autre bénéfice de notre approche est qu’elle est beaucoup plus visible. En effet, que ce soit lors d’un partage d’écran ou d’une séance de travail en présentiel, il est très facile de remarquer si un collègue se connecte à un site sans utiliser 1Password. Le but n’est pas de dénoncer ou d’infliger des conséquences. Au contraire, un simple rappel amical est parfois suffisant pour inculquer, de manière beaucoup plus efficace, une hygiène de gestion des mots de passe adéquate.

En conclusion, nous croyons fermement que lier notre politique interne de gestion des mots de passe à un outil comme 1Password est la meilleure manière de procéder. Les gabarits proposés par des cabinets d’avocats ou des firmes d’accompagnement, qui ne font que répertorier des critères fixes, ne sont, à notre avis, que des documents stériles servant uniquement à cocher une case dans un processus légal ou de conformité. Au contraire, nous visons à bâtir une culture d’entreprise où la sécurité est un élément central qui guide nos actions au quotidien.

Les clients de Thirdbridge peuvent donc dormir sur leurs deux oreilles: La pression mise sur la création de mots de passe sécuritaire via 1password garantit un haut niveau de sécurité pour les accès aux données sensibles de nos clients et des leurs!


Partager cet article

Autres articles

30 janv. 2025

Jour de match

Il est important de garder à l’esprit que l’objectif principal est de mettre en lumière les zones d’ombre du projet.

6 janv. 2025

25 Tendances clés pour optimiser son application mobile en 2025

L’équipe de Thirdbridge a rassemblé dans cet article 25 tendances à considérer pour le développement ou la stratégie d’une application mobile, ou de tout autre type de produit numérique en 2025.

24 oct. 2024

Miser sur le mobile pour optimiser l’experience de magasinage en ligne

Les fêtes représentent une période stratégique et une occasion essentielle pour les entreprises de maximiser leurs ventes via le mobile tout en enrichissant l'expérience de magasinage en ligne.

15 oct. 2024

Valoriser la gestion de Produit : Clé du Succès en Développement Logiciel

La distinction entre gestion de produit et gestion de projet est essentielle pour garantir une productivité optimale. Il ne suffit pas de les traiter comme des concepts interchangeables ; il est crucial d’adopter une approche proactive pour placer les bonnes ressources aux bons endroits.

27 sept. 2024

Thirdbridge dans La Presse: Vision et croissance

Notre président et co-fondateur, Pierre-Étienne Bousquet, a récemment été l'invité de Camille Dauphinais-Pelletier de La Presse, où il a partagé des réflexions sur le parcours de Thirdbridge.

12 sept. 2024

Maximiser l'engagement avec le contenu généré par les utilisateurs

L'émergence du contenu généré par les utilisateurs (UGC) révolutionne la co-création. Devenu un outil clé dans les stratégies marketing des marques, l'UGC change la manière dont le contenu est créé et consommé.

9 août 2024

Les PWAs : un moyen de tester le potentiel des apps mobiles

Dans la dernière décennie, les applications mobiles ont changé notre quotidien : ces simples outils sont devenus des facilitateurs essentiels des tâches quotidiennes et des catalyseurs des interactions professionnelles et personnelles.

26 juin 2024

Thirdbridge dans La Presse

En tant que dirigeant d’entreprise, on doit se poser la question « Qu’est-ce que j’essaie d’accomplir avec mon projet ? » et y répondre par une vision qui va au-delà de ses propres intérêts.

14 juin 2024

Recruter une équipe à l’interne ou engager une agence pour développer son application?

Lorsqu’on entreprend un projet aussi imposant et important que celui du développement d’une application, un dilemme crucial surgit rapidement: choisir entre une agence spécialisée ou recruter sa propre équipe à l’interne pour accomplir le travail. Une chose est certaine, c’est que les deux options présentent des avantages et des contraintes distincts.

14 juin 2024

Réussir le développement de son application en 5 étapes

Le développement d’une application ne s’improvise pas. Pour réussir dans ce domaine convoité, il est essentiel d’être bien préparé. Malheureusement, une grande majorité des projets numériques d’envergure échoue faute d’une préparation adéquate.

30 mai 2024

Avez-vous vraiment besoin d’une application?

Ne froncez pas les sourcils! Ceci est une vraie bonne question. Il suffit d’observer les gens dans le métro, par exemple, ou encore dans une salle d’attente : tout le monde ou presque a un téléphone à la main, pour lire, texter, jouer, obtenir un renseignement, rencontrer l’âme sœur, commander à manger ou magasiner…

22 mai 2024

Optimiser la synergie avec votre partenaire de développement logiciel

L’univers du numérique, et d’autant plus celui du développement de solutions numériques sur mesure, ne cesse d’évoluer — entre les avancées technologiques rapides et les besoins changeants des consommateurs, il est bien difficile de prédire de quoi l’avenir sera fait pour les acteurs du Web.

14 mai 2024

Réussir vos mises à jour en 5 étapes

Saviez-vous qu’au moins 20% du temps de développement d’une application devrait être alloué aux tests et à l’assurance qualité ?

3 mai 2024

Des infrastructures simplifiées pour plus de vélocité

Chez Thirdbridge, nous sommes convaincus que les équipes orientées projet livrent des résultats de qualité supérieure, et ce, plus rapidement. Étant donné qu’elles sont responsables de l’intégralité du flux de création de valeur, ces équipes peuvent augmenter leur vélocité en éliminant elles-mêmes les goulots d’étranglement. De plus, accorder la responsabilité du flux de bout en bout à nos équipes de développeurs rend leur travail encore plus engageant et motivant.

12 avr. 2024

La bourse entrepreneur Thirdbridge

Thirdbridge est plus que fier de pouvoir apporter son soutien à un projet et à des individus plein de promesses.

20 janv. 2025

Thirdbridge sous les projecteurs : Le partenaire numérique de L’Arrière-Scène

Thirdbridge est donc fier d’annoncer qu’il est le partenaire numérique officiel de JA Hypothèques et de leur dernier projet: L’Arrière-scène.

29 oct. 2024

L'IA au service de l'innovation : une nouvelle ère pour les apps mobiles et l’expérience utilisateur

L'intelligence artificielle (IA) représente une transformation numérique qui nous impacte tous. Cette technologie qui s'améliore rapidement grâce à l'analyse des données, permet non seulement de prendre des décisions informées et de réaliser des prévisions fiables, mais également de réaliser de nombreuses tâches plus rapidement.

17 oct. 2024

Comment mesurer la performance de son application mobile?

L’application mobile est devenue une extension de l'expérience client d'une marque.

15 oct. 2024

Pierre-Étienne Bousquet invité du journal ‘’Les Affaires’’

Notre président et cofondateur, Pierre-Étienne Bousquet s'est entretenu avec Jean-François Venne de Les Affaires afin de discuter de l'importante croissance du numérique dans l'industrie du commerce de détail et de son impact sur les ventes en ligne, qui deviennent de plus en plus cruciales pour le chiffre d'affaires.

24 sept. 2024

Cybersécurité et applications mobiles: Opter pour la bonne méthode d’authentification

Les applications mobiles sont des outils essentiels, manipulant des données personnelles, accédant à des informations sensibles, et faisant partie de notre quotidien à tous. Cependant, à l’ère où le mot cybersécurité est sur les lèvres de tous, assurer la sécurité de ces applications et des informations qui s’y retrouvent est primordial.

4 sept. 2024

L’impact de la recherche UX

L’intégration des principes et des pratiques de l’expérience utilisateur (UX) dans le processus de développement d'un logiciel ou d'une application est devenu crucial.

15 juil. 2024

La Phygitalisation: Le commerce du détail repensé

Les entreprises ont toujours dû innover et repenser leurs façons de faire afin de demeurer pertinentes, et cela est encore plus vrai à l’ère du numérique.

18 juin 2024

Hybride vs. Natif: Faire le bon choix

Chez Thirdbridge, l'approche de développement hybride est celle de prédilection. Mais analysons plus en détail en comparant le développement hybride et natif à travers des étapes clés du développement d'applications: les coûts, la performance, la sécurité et la maintenance.

14 juin 2024

Financer son projet numérique

Ce n’est pas un secret pour personne que concrétiser ses rêves les plus fous en ce qui concerne l’innovation numérique au sein de votre entreprise amène de nombreux points positifs.

13 juin 2024

Lancer son application : la clé d’un budget bien planifié

Très peu de projets numériques se terminent dans les budgets et les délais initiaux.

23 mai 2024

Trucs et astuces pour une conception logicielle durable

Quand on pense à réduire notre empreinte écologique, notre premier réflexe est de penser aux moyens de transport qu’on utilise ou à nos habitudes de recyclage ou de consommation.

17 mai 2024

Rentabiliser son application : nos conseils

Que vous cherchiez à faire gagner du temps à vos utilisateurs, à les fidéliser ou à améliorer leur expérience d’achat, on vous partage ici les trois principaux éléments clés à considérer pour maximiser votre retour sur investissement (ROI).

6 mai 2024

Couche-Tard Connecté: Le dépanneur sans caisse

Bravo à notre équipe de développement mobile qui a tout donné dans les dernières semaines afin d’assurer un lancement sans embûche du projet Couche-Tard Connecté.

25 avr. 2024

Au-delà du lancement : comment assurer la pérennité de votre application?

Vous avez religieusement suivi les étapes de développement de votre application et êtes sur le point de la lancer : bravo! Mais même s’il s’agit là d’un bel accomplissement, votre job est loin d’être terminée…

22 mars 2024

Nos 12 conseils pour réussir un projet logiciel après 12 ans dans l’industrie

Thirdbridge célèbre ses 12 ans!