
Chez Thirdbridge, offrir une tranquilité d'esprit à nos clients est au centre de nos priorités et, selon nous, tout commence par la fiabilité de nos pratiques et processus internes.
Chez Thirdbridge, offrir une tranquilité d'esprit à nos clients est au centre de nos priorités et, selon nous, tout commence par la fiabilité de nos pratiques et processus internes. Pour bien débuter l’année, nous avons décidé de dépoussiérer notre politique de gestion des mots de passe. Nous croyons que les bonnes pratiques de l’industrie sont en fait désuètes et avons choisi d’adopter une approche différente.
En général, une politique classique de gestion des mots de passe ressemble à ceci :
Les membres de Compagnie XYZ doivent utiliser des mots de passe respectant les critères suivants dans le cadre de l’utilisation d’outils ou de systèmes nécessaires à leur travail :
- Au moins 10 caractères ;
- Contenir au moins un chiffre ;
- Contenir au moins une lettre minuscule et une lettre majuscule ;
- Contenir au moins un caractère spécial.
Un mot de passe ne doit jamais être réutilisé pour différents outils ou systèmes. De plus, les mots de passe doivent être modifiés de manière périodique, au minimum une fois tous les six mois.
Dans cet article, nous allons présenter comment et pourquoi la politique de Thirdbridge, centrée sur l’utilisation d’un gestionnaire de mots de passe, est beaucoup mieux adaptée à la réalité actuelle. Plus précisément, nous aborderons l’entropie des mots de passe, leur unicité, les fuites sur le deep web, la protection contre le hameçonnage et la culture de sécurité.
La Version Thirdbridge
Présentement, la politique de gestion des mots de passe de Thirdbridge se résume comme suit :
Les membres de Thirdbridge doivent installer l’application 1Password ainsi que l’extension sur le navigateur web de leur choix. Chaque mot de passe doit être généré par 1Password et obtenir le score « Fantastique ».
Bien que cette formulation soit très simple et ne contienne pas de directives précises sur le contenu des mots de passe, la simple intégration d’un outil comme 1Password la rend beaucoup plus pertinente pour une multitude de raisons.
Thirdbridge n’est ni affilié ni commandité par 1Password. Bien que la suite de ce texte puisse ressembler à une publicité, il existe plusieurs concurrents qui offrent des produits similaires. Ceci étant dit, chez Thirdbridge, nous apprécions particulièrement 1Password.
Un mot de passe Fantastique
Tel que mentionné dans notre politique, les mots de passe doivent obtenir le score "Fantastique" lorsqu’ils sont créés dans 1Password. Ce score repose sur des critères sophistiqués qui intègrent une multitude de paramètres.
Réutilisation
À moins de posséder une mémoire photographique, il est pratiquement impossible de mémoriser un mot de passe sécurisé différent pour chaque outil numérique utilisé dans le cadre de notre travail. Sans gestionnaire de mots de passe, la réalité est que la plupart des gens réutilisent le même mot de passe pour plusieurs comptes, ce qui constitue un énorme risque de sécurité.
En imposant l’utilisation de 1Password pour la création de tous les mots de passe, le gestionnaire détecte automatiquement toute réutilisation de mot de passe et n’attribuera pas le score Fantastique dans un tel cas. Problème résolu!
Détection des brèches
Lors de la création d’un mot de passe dans 1Password, une vérification automatique est effectuée pour confirmer que le mot de passe choisi n’a jamais été compromis dans une fuite antérieure et qu’il n’est pas accessible sur le deep web.
Bien qu’il soit vrai que de nombreux navigateurs web offrent désormais cette fonctionnalité par défaut, plusieurs autres interfaces, moins modernes, ne disposent pas de ce genre de vérification sophistiquée. Grâce à 1Password, cette protection est systématiquement intégrée, quel que soit l’outil utilisé.
Entropie
De manière extrêmement simplifiée, l’entropie peut être décrite comme le niveau de hasard d’un mot de passe. Plus l’entropie est élevée, plus il est difficile de deviner ou de casser le mot de passe. 1Password utilise cette approche pour évaluer la force d’un mot de passe, au lieu de se limiter à la présence d’un ensemble de caractères obligatoires. Grâce à cette approche, il est possible de générer des mots de passe extrêmement sécurisés même pour des systèmes archaïque où, par exemple, l’utilisation de caractères spéciaux est bloquée par un pare-feu d’entreprise.
Hameçonnage
L’ajout de l’obligation d’installer l’extension pour les navigateurs web n’est pas aléatoire. Non seulement elle offre une expérience d’utilisation beaucoup plus agréable, mais elle contribue également à protéger contre un autre vecteur d’attaque.
Lors de notre dernière campagne de simulation d’hameçonnage, nous avons tenté d’induire les gens en erreur pour qu’ils entrent leurs identifiants sur une fausse plateforme visuellement identique à l’originale. Plusieurs collègues ont mentionné que l’absence de complétion automatique par 1Password leur avait mis la puce à l’oreille. Bien que dans notre cas il ne s’agissait que d’une simulation, le hameçonnage demeure à ce jour le vecteur d’attaque le plus courant! Selon le rapport 2023 State of the Phish, pas moins de 84 % des entreprises ont été victimes d’une attaque réussie, avec des conséquences parfois désastreuses.
Ainsi, bien qu’il ne s’agisse pas d’une solution infaillible contre l’hameçonnage comme les Passkeys, l’utilisation de l’extension dans le navigateur améliore tout de même significativement le niveau de protection.
Culture de la sécurité
Un autre bénéfice de notre approche est qu’elle est beaucoup plus visible. En effet, que ce soit lors d’un partage d’écran ou d’une séance de travail en présentiel, il est très facile de remarquer si un collègue se connecte à un site sans utiliser 1Password. Le but n’est pas de dénoncer ou d’infliger des conséquences. Au contraire, un simple rappel amical est parfois suffisant pour inculquer, de manière beaucoup plus efficace, une hygiène de gestion des mots de passe adéquate.
En conclusion, nous croyons fermement que lier notre politique interne de gestion des mots de passe à un outil comme 1Password est la meilleure manière de procéder. Les gabarits proposés par des cabinets d’avocats ou des firmes d’accompagnement, qui ne font que répertorier des critères fixes, ne sont, à notre avis, que des documents stériles servant uniquement à cocher une case dans un processus légal ou de conformité. Au contraire, nous visons à bâtir une culture d’entreprise où la sécurité est un élément central qui guide nos actions au quotidien.
Les clients de Thirdbridge peuvent donc dormir sur leurs deux oreilles: La pression mise sur la création de mots de passe sécuritaire via 1password garantit un haut niveau de sécurité pour les accès aux données sensibles de nos clients et des leurs!
Autres articles

.jpg)


15 oct. 2024
Valoriser la gestion de Produit : Clé du Succès en Développement Logiciel
La distinction entre gestion de produit et gestion de projet est essentielle pour garantir une productivité optimale. Il ne suffit pas de les traiter comme des concepts interchangeables ; il est crucial d’adopter une approche proactive pour placer les bonnes ressources aux bons endroits.



9 août 2024
Les PWAs : un moyen de tester le potentiel des apps mobiles
Dans la dernière décennie, les applications mobiles ont changé notre quotidien : ces simples outils sont devenus des facilitateurs essentiels des tâches quotidiennes et des catalyseurs des interactions professionnelles et personnelles.

.png)
14 juin 2024
Recruter une équipe à l’interne ou engager une agence pour développer son application?
Lorsqu’on entreprend un projet aussi imposant et important que celui du développement d’une application, un dilemme crucial surgit rapidement: choisir entre une agence spécialisée ou recruter sa propre équipe à l’interne pour accomplir le travail. Une chose est certaine, c’est que les deux options présentent des avantages et des contraintes distincts.

14 juin 2024
Réussir le développement de son application en 5 étapes
Le développement d’une application ne s’improvise pas. Pour réussir dans ce domaine convoité, il est essentiel d’être bien préparé. Malheureusement, une grande majorité des projets numériques d’envergure échoue faute d’une préparation adéquate.

30 mai 2024
Avez-vous vraiment besoin d’une application?
Ne froncez pas les sourcils! Ceci est une vraie bonne question. Il suffit d’observer les gens dans le métro, par exemple, ou encore dans une salle d’attente : tout le monde ou presque a un téléphone à la main, pour lire, texter, jouer, obtenir un renseignement, rencontrer l’âme sœur, commander à manger ou magasiner…

22 mai 2024
Optimiser la synergie avec votre partenaire de développement logiciel
L’univers du numérique, et d’autant plus celui du développement de solutions numériques sur mesure, ne cesse d’évoluer — entre les avancées technologiques rapides et les besoins changeants des consommateurs, il est bien difficile de prédire de quoi l’avenir sera fait pour les acteurs du Web.

.png)
3 mai 2024
Des infrastructures simplifiées pour plus de vélocité
Chez Thirdbridge, nous sommes convaincus que les équipes orientées projet livrent des résultats de qualité supérieure, et ce, plus rapidement. Étant donné qu’elles sont responsables de l’intégralité du flux de création de valeur, ces équipes peuvent augmenter leur vélocité en éliminant elles-mêmes les goulots d’étranglement. De plus, accorder la responsabilité du flux de bout en bout à nos équipes de développeurs rend leur travail encore plus engageant et motivant.
.jpg)

29 oct. 2024
L'IA au service de l'innovation : une nouvelle ère pour les apps mobiles et l’expérience utilisateur
L'intelligence artificielle (IA) représente une transformation num érique qui nous impacte tous. Cette technologie qui s'améliore rapidement grâce à l'analyse des données, permet non seulement de prendre des décisions informées et de réaliser des prévisions fiables, mais également de réaliser de nombreuses tâches plus rapidement.


15 oct. 2024
Pierre-Étienne Bousquet invité du journal ‘’Les Affaires’’
Notre président et cofondateur, Pierre-Étienne Bousquet s'est entretenu avec Jean-François Venne de Les Affaires afin de discuter de l'importante croissance du numérique dans l'industrie du commerce de détail et de son impact sur les ventes en ligne, qui deviennent de plus en plus cruciales pour le chiffre d'affaires.

24 sept. 2024
Cybersécurité et applications mobiles: Opter pour la bonne méthode d’authentification
Les applications mobiles sont des outils essentiels, manipulant des données personnelles, accédant à des informations sensibles, et faisant partie de notre quotidien à tous. Cependant, à l’ère où le mot cybersécurité est sur les lèvres de tous, assurer la sécurité de ces applications et des informations qui s’y retrouvent est primordial.



18 juin 2024
Hybride vs. Natif: Faire le bon choix
Chez Thirdbridge, l'approche de développement hybride est celle de prédilection. Mais analysons plus en détail en comparant le développement hybride et natif à travers des étapes clés du développement d'applications: les coûts, la performance, la sécurité et la maintenance.


.png)

.png)
