Norme sur les mots de passe (12001)

À propos de cette norme

La norme sur les mots de passe est conçue pour être utilisés dans les établissements de santé pour le contrôle d'accès aux systèmes d'information.

An English version is available at: Password Standard

Introduction

Champs d'application

Cette norme s'applique dans le cadre d'une authentification avec mot de passe. Elle se limite au contexte où un utilisateur doit s'authentifier à un système d'information; elle n'inclu pas le cas d'une authentification de machine à machine, ni l'utilisation de mécanismes de sécurité sans mot de passe.

Simulation

Le contenu de ce document est le résultat d'une série d'ateliers, qui ont eu lieu à l'Université de Sherbrooke, dans le cadre du Microprogramme en normes informatiques de la santé. Les ateliers ont pour but de simuler un comité de normalisation au niveau international, où de nombreux pays participent à l'adoption d'une nouvelle norme.

Contributeurs

Participants 2009

  • Marc André Léger, Président du comité de normalisation
  • Daniel Agagnier, Chef de délégation de la Belgique
  • Hugo Arenas, Délégué de l'Argentine
  • Michel Boivin, Délégué de la France, Éditeur de la norme
  • Michel Charfeddine, Chef de délégation du Danemark
  • Janet Errasmuspe, Délégué du Danemark, Co-editeur de la norme
  • Margaret Ann Kennedy, Délégué des USA
  • Pasqualino Lavecchia, Délégué Canada, Co-editeur de la norme
  • Chantal Lavoie, Délégué de la Belgique
  • Georges Moiny, Chef de délégation des USA
  • Walter Hugo Ramirez, Chef de délégation de l'Argentine
  • Jean- François Rancourt, Chef de délégation de la France, Co-editeur de la norme
  • Craig Sadler, Chef de délégation du Canada

Principles et politiques

Politique de sécurité

La politique de sécurité définit comment un système est sécurisé, ce dernier pour une organisation ou d'une autre entité. IT (Information Technology) est le point focal de cette norme, la politique de sécurité répond aux contraintes de la réglementation que les membres sont soumis à la suivre. Les contraintes concernent le niveau des accès permis à un system ou un application.

Les politiques de sécurité sur un large éventail d'intérêts. Le processus d'établissement d'une relation sécurisée entre deux ou plusieurs entities4 exige une approche fondamentalement restrictive mais dans un cadre acceptable pour permettre la modification des contraintes.

Orientations de la politique doivent adhérer à certaines normes et la législation applicable dans leurs domaines respectifs, tels que la "Loi concernant l'accès à des renseignements personnels".

La politique de sécurité est complexe et subjective, où le comportement humain influence le résultat de l'effet escompté. Ce dernier doit être fait important en reconnaissant les avantages de l'éducation et de la mise en œuvre de la politique de sécurité dans toutes les facettes de l'organisation.

La politique de sécurité est toujours dans un état de progression. Avec l'augmentation des avances en technologie de l'information, la nécessité de mettre en œuvre de nouvelles politiques et ensuite créer des règles

Directive sur les mots de passes

  • L'entreprise doit avoir une directive de caractéristiques de création des mots de passe.
  • Sécurité: Tenant compte cela, il faut établir la longueur en fonction du niveau d’importance du système ou de l’application, dépendant de la sensibilité des données à protéger.

Validité des mots de passe: Pour respecter un principe de confidentialité , il est important d'établir des règles sur la période de validité. Par exemple.

  • Après une période d’inactivité d’une heure au maximum, le système doit automatiquement redemander l’authentifiant de l’utilisateur ou mettre un terme à la session de travail.
  • Le mot de passe peut être changé en tout temps.
  • Le mot de passe doit être changé au moins une fois tous les 90 jours.
  • Le compte de l’usager doit être suspendu après plusieurs tentatives consécutives infructueuses. Un message doit apparaître à l'usager lui indiquant qu'il doit prendre contacte avec le département TI pour le réactiver.
  • Le compte de l’usager est suspendu lorsque l’utilisateur s’absente pour une période prolongée ( ex: de plus de six semaines) ou quitte définitivement l’organisme.
  • L’outil de gestion des privilèges informatiques ou administratifs doit comporter des mécanismes permettant de réviser, de suspendre, de révoquer, de bloquer ou de radier et de journaliser ces privilèges en tout temps.

L'organisation devrait se doter d'un comité permettant de créer des groupes d'utilsateurs pour l'attribution de niveaux de sécurité.

Règles

Règles de création de mot de passe

  • Un mot de passe doit avoir une longueur minimale de 8 caractères.
  • Un mot de passe doit répondre à au moins 3 des 4 conditions de la qualité:
  • au moins (1) la lettre minuscule
  • au moins (1) lettre majuscule
  • au moins (1) nombre
  • au moins (1) caractère spécial (?, *,%, Etc)
  • dans le document de la France ( ~ ! @ # $ % ^ * ( ) _ - + = { } [ ] | : ; " , ?) Ne pas utiliser < >& ou '
  • pas plus de 3 lettres et de chiffres consécutifs peuvent être utilisés (par exemple eee, 333 ne seront pas autorisés)
  • Les utilisateurs seront tenus de s'inscrire en répondant à un certain nombre de questions de sécurité. Les utilisateurs peuvent choisir des questions à partir d'une liste déroulante et ils doivent répondre à toutes les questions qui y sont présentées. Par exemple, le nom de jeune fille de la mère, l'animal préféré le nom, la ville de naissance, etc.
  • Les mots de passe doivent être changés, au minimum, tous les 120 jours.
  • Mot de passe ne peut pas faire partie d'un nom d'utilisateur.
  • Les mots de passe ne doit pas être répétée et, en conséquence, un record précédemment utilise les mots de passe seront maintenus.
  • Les mots de passe ne peut être fondée sur de simples, consécutive combinaisons de touches (par exemple, QWERTY)
  • Les utilisateurs ne devraient pas créer des mots de passe qui peut être trouvé dans un dictionnaire ou un nom de famille ou nom d'animal de compagnie.
  • Les utilisateurs ne peuvent pas utiliser un mot de passe basé sur la terminologie médicale (par exemple, le code CIM10 ou SNOMED terminologie)
  • Les mots de passe doivent être sensibles à la casse.
  • Pas de mot de passe par défaut est permise.
  • Les blancs ne seront pas permis.
  • Alpha numérique de substitution ne seront pas permis.
  • Mot de passe ne s'affiche pas en format texte.

Règles d'utilisation

Tous les mots de passe doivent être considérés comme sensibles et des informations confidentielles. En particulier,

  • Ne pas révéler un mot de passe au téléphone pour ANYONE
  • Ne pas révéler un mot de passe dans un e-mail
  • Ne pas révéler un mot de passe pour le patron
  • Ne pas parler un mot de passe devant les autres
  • Ne pas faire allusion à la forme d'un mot de passe (par exemple, "mon nom de famille")
  • Ne pas révéler un mot de passe sur des questionnaires ou des formulaires de sécurité
  • Ne partagez pas un mot de passe avec les membres de la famille
  • Ne pas révéler un mot de passe à des collègues pendant les vacances
  • Il est interdit de partager un compte utilisateur;
  • L’utilisateur ne doit jamais donner son mot de passe, même aux personnes chargées de la sécurité;
  • L’utilisateur ne doit jamais écrire sur papier son mot de passe;
  • L’utilisateur ne doit jamais communiquer son mot de passe par téléphone, mail ou messagerie instantanée;
  • L’utilisateur doit s’assurer de la déconnexion avant de quitter un poste;
  • L’utilisateur doit changer le mot de passe au moindre soupçon de compromission.
  • Les établissements de santé doivent désactiver toutes les fonctionnalités permettant à l’usager de conserver et rappeler automatiquement un mot de passe.
  • Dans certains cas où le niveau de risque est élevé, il peut être nécessaire pour l’utilisateur de ne pas utiliser le même mot de passe pour différents systèmes;

Règles de gestion

  • Les mots de passes doivent être chiffrés pendant leur transfert sur un réseau de télécommunication.
  • Les mots de passe doivent être chiffrés lorsqu'ils sont entreposés dans une base de données ou un répertoire d'entreprise.
  • On doit s'assurer que la validation du mot de passe, prenne un temps raisonnable pour ne pas nuire à l'utilisateur. Le temps de validation devrait être moins de 1 seconde.
  • La session d'un utilisateur doit être désactivitée après un certain délai d'inactivité. Chaque organisation doit fixer ce délai maximal; on considère que ce délai devrait se situer entre 20 minutes et 60 minutes.
  • Un compte utilisateur doit être désactivé lorsque employé doit s'absenter pour une période de plus longue que la préiode de changement de mot de passes.
  • Un compte utilisateur doit être désactivé dès qu'un employé quitte l'entreprise.

Authentification unique

L'authentification unifiée (Single Sign-on) vise à réduire au minimum le nombre de fois qu'un utilisateur doit saisir son identifiant et mot de passe pour se connecter à de multiples applications. Quand un utilisateur lance une application sur leur poste de travail, le logiciel client SSO automatiquement le ID et le mot de passe dans les champs que l'application de l'écran de connexion. Le système élimine répétitives signe-ons par les utilisateurs.

Afin de rendre le système plus sûr et de prévenir le piratage ou le craquage de mots de passe, SSO sera utilisé en conjonction avec les cartes de proximité ou la BIOMETRIE.

Lors de l'inscription, un nom d'utilisateur et mot de passe initial sera généré, suivi par l'enregistrement de caractéristiques physiques telles que: empreintes digitales (pouce ou l'index) ou rétine. L'utilisateur sera tenu de fournir les caractéristiques de deux fois, d'abord le temps de s'inscrire et la deuxième fois pour valider.

Si l'authentification biométrique est réussie, le Gestionnaire d'accès permet l'accès aux ressources ou aux applications en lançant une authentification au nom de l'utilisateur afin d'établir une session.

Le système devra intercepter les demandes des utilisateurs non autorisés.

Le système de contrôle de l'accès à des systèmes est fondés sur les politiques assignés à l'utilisateur.

Le système sera vérifié sur une base régulière pour éviter les abus / hacking ou cracking mot de passe.

Vote: Pas de consensus formel sur ce sujet. Certains ajustements ont été demandés afin d'ajouter une authentification forte comme la biométrie, ou tout autre dispositif. Des commentaires spécifiques ont été enregistré par le Canada, les États-Unis et l'Argentine.

Glossaire

Application: Logiciel, progiciel, système central ou système d'exploitation.

Contrôle d'accès: Processus par lequel les données d'authentification fournies par une personne, ou toute autre entité, pour avoir accès à un centre ou à un système informatiques, sont comparées avec des valeurs de référence définies touchant cette entité, permettant ainsi l'autorisation ou le refus de l'accès demandé, qu'il soit physique ou logique.

Entité: Utilisateur, périphérique ou système.

Mot de passe: Authentifiant prenant la forme d'une chaîne de caractères alphanumériques, généralement choisie par l'utilisateur, que celui-ci doit entrer lors de la procédure d'accès à un système informatique, notamment à un réseau ou à sa boîte aux lettres électronique.

Numéro d'identification personnel (NIP): Code numérique partagée entre un utilisateur et un système, utilisée pour s'authentifier à un système. Un numéro d'identification personnel (NIP) est différent d'un mot de passe car il est composé uniquement de caractères numériques et est généralement plus court qu'un mot de passe; le niveau de sécurité est plus faible pour un code PIN par rapport à un mot de passe.

Système: Ensemble composé d'un ou de plusieurs ordinateurs en réseau, des périphériques, du logiciel d'exploitation, des logiciels d'application et des installations de réseau, coordonné de manière à permettre le traitement et l'échange d'informations.

Système d'information (SI) : Ensemble structuré de tous les éléments qui contribuent à la gestion de l'information dans une entreprise, dont les ressources matérielles, techniques, financières, humaines, intellectuelles ou autres, que cet ensemble soit informatisé ou non, en totalité ou en partie.

Authentification unique (SSO: Single Sign-On) : Solution logicielle basée sur un annuaire, qui permet aux utilisateurs d'un réseau d'entreprise d'accéder, en toute transparence, à l'ensemble des ressources autorisées, sur la base d'une authentification unique effectuée lors de l'accès initial au réseau.

Technologies de l'information (TI) : Application de la science au traitement des données selon des instructions programmées afin d'en tirer des résultats. Au sens le plus large, les TI comprennent toutes les technologies liées à l'information et aux télécommunications.

Utilisateur: Individu qui fait usage ou qui utilise un système d'information.

Références

[1] IS0 17799, « Information technology - Code of practice for information security management», ISO/IEC, 2005, http://www.iso.org/iso/fr/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=39612
[2] IS0 27799, « Information technology - Code of practice for information security management», ISO/TC 215, 2008, http://www.iso.org/iso/fr/catalogue_detail?csnumber=41298
[3] Club de sécurité des systèmes d’information Français (CLUSIF), « Présentation ISO 17799 -», http://www.hsc.fr/~schauer/clusif/Presentation-ISO17799.pdf
[4] National Institute of standard and technologiy (NIST), « Electronic Authentication Guideline – Information Security », NIST Special Publication 800-63-1, 2008, http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf
[5] National Institute of standard and technologiy (NIST), « Security Requirements for cryptographic modules », Federal Information Processing Standard Publication, FIPS PUB 140-2, 2001, http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf
[6] Bill Burr, « NIST E-Authentication Guidance SP 800-63 », NIST, 2004, http://www.biometrics.org/bc2004/Presentations/Conference/2%20Tuesday%20September%2021/Tue_Ballroom%20B/2%20NIST%20Session/3%20Burr_presentation.pdf
[7] UK National Health Services (NHS) – Western Cheshire, 2008, http://www.wcheshirepct.nhs.uk/default.asp?page=default.asp
[8] Virginia University – Password Standard, 2007, http://www.ts.vcu.edu/security/ismanagement/PasswordStandard.pdf
[9] Colorado Department of Public Health and Environment, 2005, http://www.cdphe.state.co.us/privacyandsecurity/PrivacyandSecurityPolicies/15-12PasswordManagement.pdf
[10] Bellevue Community College – Password management, 2006, http://bellevuecollege.edu/ir/ITSA/PDF/Standards/PasswordManagement.pdf
[11] State Services Commission New-Zelande– Password Standard, 2005, http://www.e.govt.nz/services/authentication/standards/password-standards/password-standard.pdf
[12] Institut pour la sécurité de l’information du Québec – Gestion des accès, 2007,
https://www.isiq.ca/en/outils/Guides/PME/
[13] INSTITUT POUR LA SÉCURITÉ DE L’INFORMATION DU QUÉBEC, « Choisir un mot de passe », 2007, https://www.isiq.ca/fr/Guides/Citoyens/mot_de_passe.html
[14] Ministère de la santé et des services sociaux (MSSS), Cadre global de gestion des actifs informationnels – Volet sur la sécurité, 2007, http://msssa4.msss.gouv.qc.ca/extranet/ri.nsf/49dd266bd183416e852566e2005c98b6/9c29ee7e5c5d42058525703b00725379/$FILE/Cadre%20global%20de%20gestion-volet%20securite_V2007-03.pdf
[15] ArCERT , "Manual de seguridad en redes", page 4-5.
[16] ArCERT, Presentation "Sensibilización en Seguridad Informática", 2003, http://www.arcert.gob.ar/cursos/curso_sensibilizacion/sensibilizacion-seg-inf.ppt
[17] Stanford Univirsity, "Administrative Guide Memo 64 - Identification and Authentication Systems", 2006, http://adminguide.stanford.edu/64.pdf
[18] University of Florida, "Guidelines to Help IT Workers Create Password Standards", 2008, http://www.it.ufl.edu/policies/security/documents/password-guidelines.pdf
[19] INSTITUTO ARGENTINO DE NORMALIZACIÓN (IRAM), “ESQUEMA 1 DE NORMA IRAM-ISO IEC 17799”, 2002, http://www.jefaturadegabinete.gov.ar/Paginas/UAI/Pdf/NormaISO17799.pdf
[20] Hôpital Européen Georges Pompidou, «COLLOQUE PRÉSENT ET AVENIR DES SYSTÈMES D’INFORMATION ET COMMUNICATION HOSPITALIERS (SICH) », 2002, http://www.adeli.org/voirdoc.php?dest=lalettre/l49p38.pdf
[21] Club de la sécurité des systèmes d’information français, « Étude de la réglementation et recommandations relative à la sécurité des systèmes », 2004, http://www.clusif.asso.fr/fr/production/ouvrages/pdf/Etude_sante.pdf
[22] Microsoft, « Strong passwords: How to create and use them », 2006, http://www.microsoft.com/protect/yourself/password/create.mspx
[23] Lakehead’s University, « Password Policy », 2005, http://policies.lakeheadu.ca/policy.php?pid=168
[24] Canadian Health Informatics, « Computer security 101: Do you know the basics? », 2005, http://www.canhealth.com/D05apr.html
[25] Centre d’excellence en technologie de l’information et de la communication, « La technologie eHealth en réponse aux défis des soins de santé belges », http://www.cetic.be/article798.html
[26] University of Alberta, « AICT Password Standards », http://www.ualberta.ca/CNS/policy/password-standards.html
[27] USAID, « Password Creation Standards », 2006, http://www.usaid.gov/policy/ads/500/545mau.pdf
[28] Health Alberta, « Password Standards », 2006, http://www.health.alberta.ca/documents/Password-Standards-AHW-2006.pdf
[29] Federal Deposit Insurance Corporation, « Use of Passwords », 2009, http://www.fdic.gov/formsdocuments/1360-10.doc
[30] National Institute of standard and technologiy (NIST), « Federal Information Processing Standards Publication 181 - Standard for Automated Password Generator (APG)», 1993, http://www.itl.nist.gov/fipspubs/fip181.htm
[31] National Institute of standard and technologiy (NIST), « Federal Information, Processing Standards Publication 112 - Standard for PASSWORD USAGE », 1985, http://www.itl.nist.gov/fipspubs/fip112.htm
[32] Silicon.com, « Introduction to Iris Recognition for personal identification », http://whitepapers.silicon.com/0,39024759,60024092p,00.htm
[33] University College of Santa Cruz, « Password Standards Strength », http://its.ucsc.edu/security/policies/password.php
[90] Office de la langue française du Québec, 2009, http://www.oqlf.gouv.qc.ca/ressources/bibliotheque/dictionnaires/terminologie_sec_informatique/mot_de_passe.html
[91] Wikipedia, “Passwords”, 2009, http://en.wikipedia.org/wiki/Password.

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-NonCommercial 3.0 License