Gestion des comptes : Lignes directrices et pratiques exemplaires

Une mauvaise gestion des comptes usager peut compromettre gravement la sécurité du réseau. Il faut donc employer des méthodes appropriées si l’on veut réduire au minimum les risques d’atteinte à la sécurité.

Choisir un mot de passe qui est difficile à deviner peut aider à prévenir le vol d'identité auprès de l'usager.

Les lignes directrices et pratiques suivantes, qui visent à informer et à aider les administrateurs de système chargés de serveurs ou de services branchés au réseau de l’Université d’Ottawa.

Règles à suivre pour les mots de passe

Nombre de caractères exigés

Tout mot de passe doit comporter au moins dix caractères. De plus, le nombre de caractères doit toujours être vérifié automatiquement lorsque l’usager crée ou sélectionne son mot de passe.

Choisir un mot de passe difficile à deviner

Tous les mots de passe choisis par l’usager pour accéder au système ou au réseau doivent être difficiles à deviner. Les mots du dictionnaire, les dérivés du code de l’usager, les combinaisons banales comme « 123456 », les détails de la vie privée comme le nom du conjoint ou d’un animal de compagnie, les numéros d’immatriculation ou d’assurance sociale ainsi que les dates de naissance sont à proscrire.

Éviter de réutiliser les anciens mots de passe

Les usagers ne doivent pas créer de mots de passe identiques ou semblables à ceux qu’ils ont déjà utilisés. La réutilisation des mots de passe augmente le risque de divulgation à des personnes non autorisées. 

Utiliser une combinaison de caractères

Tout mot de passe choisi par l’usager devrait être constitué de caractères provenant d’au moins trois des quatre groupes suivants :

  • Lettres minuscules
  • Lettres majuscules
  • Chiffres (0-9)
  • Ponctuation

L’emploi de caractères de commande macro ou d’autres caractères qui ne s’impriment pas est déconseillé puisque ces derniers pourraient déclencher des problèmes de transmission réseau ou encore faire exécuter des fonctions non désirées.

Gestion des mots de passe

Attribuer immédiatement les mots de passe produits par l’ordinateur

Les mots de passe ou les numéros d’identité personnels (NIP) générés par l’ordinateur doivent toujours être attribués immédiatement après leur création. Peu importe leur forme, les mots de passe et les NIP qui ne sont pas assignés tout de suite ne doivent jamais être mis en mémoire sur l’ordinateur en question.

Protéger les algorithmes de génération des mots de passe

Si un ordinateur génère des mots de passe ou des NIP, tous les logiciels et les fichiers qui comportent des formules, des algorithmes ou d’autres opérations servant à la génération doivent être surveillés au moyen des mesures de sécurité les plus rigoureuses possibles pour l’ordinateur en question.

Garder un historique crypté des mots de passe

Chaque station à usagers multiples doit comporter un logiciel d’exploitation ou d’application qui conserve un historique crypté des mots de passe fixes. Ce fichier d’historique doit servir à empêcher les usagers de réutiliser leurs anciens mots de passe et doit renfermer au moins les 13 derniers mots de passe de chaque usager.

Masquer ou supprimer l’affichage et impression de mots de passe

L’affichage ou l’impression de mots de passe doit être masquée, supprimée ou tout au moins occultée, pour que les personnes non autorisées ne puissent voir ou récupérer un mot de passe.

Obliger le changement régulier des mots de passe

Tous les usagers devraient être tenus de changer leur mot de passe régulièrement, de préférence tous les 30 jours pour l’accès à des données sensibles et tous les 90 jours pour l’accès au reste des données.

Limiter la validité des mots de passe initiaux à la première session

Les mots de passe initiaux émis par le gestionnaire des comptes ne doivent être valides que pour la première session de l’usager en mode interactif. La création d’un nouveau mot de passe doit donc être exigée avant même que l’usager puisse ouvrir la session.

Limiter les entrées consécutives de mauvais mots de passe

Afin de réduire le risque qu’un mot de passe puisse être deviné, le nombre de tentatives consécutives permises doit être très limité. Par exemple, après avoir entré dix fois de suite un mauvais mot de passe, l’usager verra son droit d’accès :

  • suspendu jusqu’à ce qu’un administrateur de système le rétablisse;
  • temporairement désactivé (pendant au moins trois minutes)

Imposer une seule combinaison pour l’ouverture de sessions simples ou généralisées

Une seule combinaison de code d’usager et de mot de passe doit être demandée pour l’accès au réseau ou au système destinataire. L’information concernant l’identité de l’usager doit alors être transmise (à l’insu de l’usager) aux autres ordinateurs, systèmes de gestion de bases de données, services et applications.

Protéger tous les postes de travail par un mot de passe au démarrage

Indépendamment de leur emplacement, tous les postes de travail utilisés pour les affaires de l’Université d’Ottawa doivent employer un système de contrôle d’accès approuvé par le Technologies de l'information. Dans la plupart des cas, cela signifie des écrans de veille protégés par un mot de passe fixe, ainsi qu’une fonction de désactivation après une certaine période d’inactivité.

Empêcher la lecture des mots de passe en dehors des postes de travail

Lorsqu’un mot de passe est transmis, diffusé ou enregistré à l’extérieur de l’ordinateur personnel ou du poste de travail, son format ne doit jamais être lisible.

Protéger les mots de passe envoyés par courrier

Les mots de passe et les noms d'usager envoyés par courrier conventionnel ou par tout autre service de distribution matérielle doivent faire l’objet d’envois séparés n’affichant aucune mention quant à la nature du contenu. De plus, les mots de passe doivent être dissimulés à l’intérieur d’enveloppes opaques qui laissent voir d’emblée toute violation.

Éviter la mise en mémoire des mots de passe en format lisible

Les mots de passe ne doivent pas être mis en mémoire en format lisible dans un fichier séquentiel, un script d’ouverture de session automatique, une macro de logiciel, une touche de fonction d’un terminal, un ordinateur sans contrôle d’accès, ou tout autre endroit où une personne non autorisée pourrait les trouver et les utiliser.

Assurer les cryptage des mots de passe

Les mots de passe doivent toujours être cryptés lorsqu’ils sont mis en mémoire pour une longue période ou transmis par réseau. Ainsi, ils ne peuvent être divulgués aux personnes branchées clandestinement, aux membres de l’équipe technique qui lisent le journal de l’ordinateur ou à toute autre personne non autorisée.

Changer le mot de passe par défaut du fournisseur

Tous les mots de passe par défaut attribués par le fournisseur doivent être changés sur les ordinateurs ou les systèmes de communication avant que ceux-ci soient utilisés à l’Université d’Ottawa.

Responsabilités de l'usager

Exiger un mot de passe différent pour chaque ordinateur

Afin d’éviter la compromission de multiples systèmes, les usagers doivent employer un mot de passe différent pour chacun des ordinateurs auxquels ils ont accès, sauf si la marche à suivre d’ouverture de session généralisée est en place.

Changer vite le mot de passe en cas de divulgation présumée

Tout mot de passe doit être changé dans les moindres délais si l’on soupçonne ou constate qu’il a été divulgué à des tiers non autorisés.

Changer obligatoirement tous les mots de passe après une compromission

Dès que la sécurité d’un ordinateur est compromise par un tiers non autorisé, les administrateurs de système doivent immédiatement changer tous les mots de passe de l’ordinateur en question, que les soupçons soient confirmés ou non. Dans les deux cas, il faut également recharger une version éprouvée du système d’exploitation et de tous les logiciels liés à la sécurité. Enfin, il faut revoir toutes les modifications récemment apportées aux privilèges des usagers et aux possibilités du système afin de déceler celles qui n’ont pas été autorisées.

Exiger une preuve d’identité pour l’obtention d’un mot de passe

Un mot de passe ne doit jamais être divulgué oralement par ligne téléphonique à moins que la preuve d’identité exigée puisse être confirmée selon une méthode prédéterminée. Dans tous les autres cas, l’usager doit se présenter en personne avec une preuve d’identité convenable.

Ouverture de session

Attribuer un nom d'usager et un mot de passe unique

Chaque usager doit avoir un seul nom d'usager, lequel doit être unique, ainsi qu’un mot de passe personnel et secret. Ces renseignements sont nécessaires pour l’accès aux ordinateurs à usagers multiples et aux réseaux informatiques de l’Université d’Ottawa.

Présenter un avis de sécurité dans la fenêtre d’ouverture de session

Chaque ouverture de session entreprise sur un ordinateur à usagers multiples doit afficher un avis spécial précisant (1) que l’accès à cet ordinateur est réservé aux usagers autorisés; (2) qu’en en continuant d’utiliser cet ordinateur, l’usager déclare être autorisé à le faire.

Fournir la date et l’heure de la dernière ouverture de session

Au moment d’ouvrir la session, chaque usager doit être informé de la date et de l’heure de l’ouverture de la dernière session enregistrée pour son code d’usager. Cela permet de repérer facilement une utilisation non autorisée.

Interdire l’ouverture de plus d’une session à la fois

À moins d’avoir reçu une permission spéciale de l’administrateur de système ou de fonctionner dans un environnement UNIX, aucun usager ne doit pouvoir ouvrir plus d’une session à la fois sur un même ordinateur.

Assurer la fermeture automatique de session

Après 20 minutes d’inactivité, le terminal, le poste de travail ou le PC doit automatiquement occulter l’écran et suspendre la session jusqu’à ce que l’usager fournisse à nouveau son mot de passe.

Gestion des privilèges

Ne jamais attribuer de nom d'usager à un tiers

Il faut veiller à ne jamais donner de nom d'usager, ou tout autre privilège d’accès aux ordinateurs ou aux systèmes de communication de l’Université d’Ottawa, à des personnes autres que les employés, les étudiants, les chercheurs, les entrepreneurs et les conseillers, à moins qu’elles aient obtenu au préalable une approbation écrite du directeur de service, du doyen ou d’un délégué.

Exiger la signature d’un contrat pour l’accès d’un tiers aux systèmes de l’Université d’Ottawa

Pour qu’un tiers puisse avoir accès aux systèmes de l’Université d’Ottawa, un gestionnaire responsable de son entreprise doit d’abord signer un contrat précisant les modalités générales d’un tel accès, lesquelles doivent être approuvées par l'Architecte de sécurité et par le Conseiller juridique.

Retirer les privilèges d’accès des membres du personnel dès leur fin d’emploi

Quiconque cesse de travailler pour l’Université d’Ottawa se voit retirer sans tarder tous ses privilèges d’accès aux systèmes d’information de l’établissement, à moins que ses services ne soient retenus au sein d’une collectivité particulière ou que le directeur ou le doyen lui accorde une permission spéciale.

Prendre connaissance de l’avis de non responsabilité pour dommages causés à des données ou à des programmes

L’Université d’Ottawa effectue un contrôle d’accès et applique diverses mesures de sécurité afin de protéger la confidentialité, l’intégrité et la disponibilité de l’information traitée par ses ordinateurs et ses systèmes d’information. Conformément à ces objectifs, l’administration se réserve le droit :

  • de restreindre ou de retirer les privilèges d’un usager;
  • d’examiner, de copier, de retirer ou de modifier toute donnée, tout programme ou toute autre ressource du système qui va à l’encontre de ces objectifs;
  • de prendre toute autre mesure jugée nécessaire pour assurer la gestion et la sécurité de ses systèmes d’information.

Ces pouvoirs pourront être exercés sans que les usagers concernés en soient nécessairement informés. L’Université d’Ottawa n’est pas responsable de la perte ou de l’endommagement de données ou de logiciels que pourraient entraîner les efforts déployés pour atteindre ces objectifs de sécurité.

Restreindre la télégestion d’ordinateurs branchés à Internet

La télégestion d’ordinateurs branchés à Internet n’est pas permise à moins que l’on ait recours à un mot de passe à utilisation unique et à un lien chiffré (encrypted link) pour chaque ordinateur à accès limité de la zone sécuritaire ou contenant des données sensibles.

Retirer automatiquement les privilèges après deux ans d’inactivité

Les privilèges associés à tout code d’usager sont automatiquement retirés après deux ans d’inactivité. Si un usager autorisé prend des vacances ou un congé non rémunéré pour une période prolongée, son code d’usager sera retiré en vertu de cette directive, sous réserve d’une autorisation contraire de son unité.

Réviser et ré autoriser régulièrement les privilèges d’accès des usagers

Les privilèges d’accès au système informatique, accordés à tous les usagers, doivent être réévalués par le supérieur immédiat de chaque usager tous les 12 mois. Cette révision sert entre autres à déterminer si les privilèges accordés correspondent toujours aux besoins de l’usager dans le cadre de son travail.

Assurer la gestion conforme de la sécurité pour tous les ordinateurs en réseau

Les paramètres de configuration et d’installation de chaque ordinateur hôte branché au réseau de l’Université d’Ottawa doivent être conformes aux règlements et aux normes de sécurité internes de l’administration.

Supprimer les fichiers après le départ d’un membre du personnel

Sauf avis contraire, tous les fichiers dans les répertoires usager d’un ancien membre du personnel doivent être archivés puis purgés quatre semaines après que cette personne quitte définitivement l’Université d’Ottawa.

Haut de page