Abonnez-vous pour recevoir les derniers billets du blog LastPass
En vous abonnant, vous acceptez de recevoir des conseils sur la cybersécurité, des astuces LastPass, des nouvelles sur les mises à jour des produits, des ressources pour les administrateurs et des actualités sectorielles. Vous acceptez par ailleurs la Politique de confidentialité de LastPass.
Dans un contexte toujours plus volatile, le respect des normes de cybersécurité est essentiel pour favoriser la cyber-résilience des entreprises, comme le respect de la norme Service Organization Control (SOC) 2, élaborée par le American Institute of Certified Public Accountants (AICPA). Conçu pour tester et certifier la posture de cybersécurité d’une entreprise, l’audit SOC 2 évalue la manière dont votre entreprise protège ses données contre les accès non autorisés, une utilisation abusive ou la perte.
Si vous visez la conformité SOC 2, une première étape essentielle consiste à évaluer la sécurité des mots de passe dans votre entreprise. Examinons de plus près les implications et les exigences de la conformité SOC 2 en matière de mots de passe, et comment un gestionnaire de mots de passe peut vous aider à atteindre la conformité SOC 2.
Qu’est-ce que la conformité SOC 2 ?
La conformité SOC 2 relève d’une démarche volontaire, mais elle constitue de fait une exigence en matière de cybersécurité pour les entreprises qui traitent les données sensibles de leurs clients. La norme SOC 2 est un gage de confiance et d’intégrité des données, et elle indique aux clients et aux prospects que les contrôles de l’environnement, l’évaluation des risques, la surveillance et la mise en œuvre de mesures de sécurité sont adaptés.
Basées sur cinq critères de services de confiance que sont la sécurité, la disponibilité, l’intégrité de traitement, la confidentialité et le respect de la vie privée, les exigences en matière de mots de passe sont soumises au critère de sécurité, qui recouvre les contrôles d’accès à la fois logiques et physiques.
Quelles sont les exigences SOC 2 en matière de mots de passe ?
Commençons par les exigences relatives aux mots de passe pour la conformité SOC 2. Elles se divisent en trois catégories conçues pour veiller à ce que les employés utilisent des mots de passe forts, qu’ils ne réutilisent pas les mots de passe, et qu’ils n’accèdent pas à des données sans autorisation.
- Longueur et complexité des mots de passe : gages de fiabilité. Les mots de passe doivent comporter au moins 12 caractères et inclure un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Un générateur de mots de passe peut constituer un bon point de départ.
- Rotation et historique des mots de passe : un bon mot de passe est un mot de passe unique. Les mots de passe doivent être changés au plus tard tous les 90 jours, et ne doivent pas être réutilisés pendant au moins six mois.
- Verrouillage de comptes : les comptes doivent être bloqués au minimum après cinq tentatives de connexion infructueuses. Cela permet de bloquer les accès illicites aux données, et d’alerter les administrateurs en cas de tentatives de piratage potentielles.
Comment les gestionnaires de mots de passe peuvent-ils contribuer à la conformité SOC 2 ?
C’est là que peut intervenir un gestionnaire de mots de passe. Les exigences mentionnées plus haut ? Un gestionnaire de mots de passe peut les satisfaire (parmi d’autres).
- Un gestionnaire de mots de passe peut générer des mots de passe uniques et complexes pour chaque compte des employés, puis les stocker dans un coffre-fort chiffré par un mot de passe maître fort (le seul mot de passe que les employés doivent mémoriser), qui sert de clé d’accès à ce coffre-fort. Il signale également les mots de passe faibles aux employés, et ne préremplit les identifiants que sur les sites de confiance.
- Au sein d’un outil de gestion des mots de passe, les administrateurs peuvent voir le dernier changement de mot de passe maître des employés, et le cas échéant, forcer son changement. Vous pouvez ainsi transformer le mot de passe maître d’un employé en clé dynamique qui entrave l’accès des pirates à vos données sensibles au lieu de les attirer.
- Les gestionnaires de mots de passe intègrent des stratégies d’administration comme un nombre maximal personnalisable de tentatives de connexion. L’administrateur peut également détecter les tentatives de connexion suspectes et les bloquer automatiquement en modifiant les stratégies d’accès. Intégrer l’authentification multifacteur (MFA) peut également entraver les accès illicites.
Vous avez peut-être déjà mis en œuvre certaines de ces pratiques dans votre entreprise, mais un gestionnaire de mots de passe peut vous aider à garantir que tous les employés adhèrent aux bons comportements en matière de mots de passe, et vous rapprocher ainsi d’une certification SOC 2.
Faites un pas supplémentaire vers la conformité SOC 2 avec LastPass. Démarrez votre essai gratuit ici.
