Gouvernance

Cette section ne contient aucun article.

Protection

• Encourager les administrateurs à utiliser un coffre fort de mots de passe

  Encourager à utiliser un coffre-fort de mots de passe Types de solutions Il existe plusieurs solutions pour le stockage de mots de passe, allant de solutions intégrées dans les systèmes d'exploitation mobiles à des solutions dédiées de gestion de mots de passe. Mise en garde Le recours aux coffre-forts de mots de passe des navigateurs internet n'est pas recommandé, car les mots de passe ne sont pas chiffrés. Certification par l'ANSSI Pour connaître les coffre-forts de mots dPopulaire

• Activer l'authentification multifacteur pour l'accès des administrateurs au service

  L'authentification multifacteur Définition L'authentification multifacteur combine plusieurs moyens pour s'authentifier à un service. Exemple d'authentification multifacteur élémentaire Facteur de "connaissance": Un mot de passe ou un code PIN, à retenir par cœur. Facteur de "possession": Un code OTP (à usage unique) reçu par SMS, mail ou généré par une application dédiée. Recommandations de l'ANSSI Si les besoins de sécurité du service l'exigent et le permettent, lPeu de lectures

• Fixer des contraintes de longueur et de complexité des mots de passe

  Contraintes de longueur de mots de passePeu de lectures

• Protéger les mots de passe stockés sur le service

  Gestion sécurisée des empreintes de mots de passe Fonction de hachage dédiée L'empreinte des mots de passe doit être calculée avec une fonction de hachage dédiée. Exemples de fonctions de hachage possibles : Argon2 scrypt bcrypt pbkdf2 Stockage salé L'empreinte des mots de passe doit également être stockée salée pour éviter que deux informations identiques génèrent la même empreinte.Peu de lectures

Défense

Cette section ne contient aucun article.

Résilience

• Définir une politique de gestion des incidents de sécurité

  Pourquoi mettre en oeuvre cette mesure ? Cette mesure permet de préparer l'organisation à réagir de manière rapide et efficace en cas d'incident de sécurité affectant le service et à remédier à la situation. Elle permet notamment : D'évaluer la gravité d'un incident cyber. D'identifier les personnes à impliquer et à quel moment. De définir le processus de traitement de l'incident. De fixer une politique de communication autour de l'incident. Comment mettre en oeuvre cette mesurePeu de lectures