Cybersécurité pour les associations : 6 conseils pour vos mots de passe

Cadenas sur PC portable

La sécurité en ligne est devenue un sujet majeur pour toute organisation, notamment pour les associations à but non lucratif. Les mots de passe sont souvent la première ligne de défense contre les cyberattaques.

Imaginez que votre association soit une maison. Les mots de passe sont comme les clés qui protègent le contenu de chaque pièce. Tout comme vous ne laisseriez pas vos clés sur la serrure, la sécurité de vos données mérite une attention particulière.

Voici donc 6 conseils pour vous aider à améliorer la gestion des mots de passe et protéger les informations sensibles de votre organisation.
Dans cet article, je vais vous guider pas à pas afin de mettre en place une politique de mots de passe adaptée à votre association, sans pour autant être un expert en cybersécurité.

Pourquoi votre association a-t-elle besoin d'une politique de mots de passe ?

Il est crucial pour votre association de disposer d’une politique de mots de passe solide.
Une politique de mots de passe consiste en un ensemble de règles à respecter par l’ensemble des personnes utilisant votre système d’information, afin de garantir la sécurité des données. Elle est généralement contenue dans la charte informatique remise à chaque collaborateur (salariés, bénévoles) lors de leur arrivée.

Selon une étude d’Acronis, 80 % des entreprises n’ont pas de politique de mots de passe, ce qui les rend vulnérables aux cyberattaques.

Les associations sont des cibles privilégiées pour les cybercriminels, car elles disposent souvent de moins de ressources pour se protéger que les grandes entreprises. Un seul mot de passe compromis peut suffire à mettre en péril vos activités.

Pour illustrer ce propos, prenons l’exemple de l’Association des Jardins Partagés de l’Ouest Parisien (nom modifié).
En 2024, cette association a été victime d’une cyberattaque après qu’un bénévole ait utilisé le même mot de passe pour son compte email associatif ainsi que pour un site de jardinage en ligne. Ce site ayant subi une fuite de données, les pirates ont pu accéder à la messagerie de l’association et envoyer de faux appels aux dons à tous leurs contacts.
Il a fallu une semaine pour que cette attaque soit détectée. Environ 3 000 euros ont pu être extorqués.

Les 6 piliers d'une politique de mots de passe efficace

1. Un mot de passe unique pour chaque service

L’utilisation de mots de passe uniques est essentielle pour minimiser les risques de sécurité.
Réutiliser le même mot de passe, c’est comme utiliser la même clé pour votre maison, votre voiture et votre bureau : si quelqu’un la trouve, il a accès à tout. D’après les statistiques, la réutilisation des mots de passe serait la deuxième cause de piratage la plus courante.

Recommandation pratique : un service = un mot de passe unique

2. La longueur prime sur la complexité

Contrairement aux idées reçues, un mot de passe long est plus sécurisé qu’un mot de passe court et complexe.
Je recommande l’utilisation d’une « phrase de passe » constituée d’au moins 4 mots, n’ayant pas de rapport entre-eux.

Exemples : Brownie-Paris-Oiseau-Ski ou bien Baguette,Neige,Bureau,Vacances,Euro

Les phrases de passe classiques du type « LeJardinageEstMonPasseTemps2024 » sont parfois moins robustes face à un pirate car elles sont plus prévisibles.

Recommandation pratique : privilégiez des phrases de passe d’au moins 4 mots sans rapport entre-eux

3. L'authentification à deux / multiples facteurs (2FA/MFA)

Imaginez que pour entrer dans un bâtiment sécurisé, vous ayez besoin non seulement d’une clé mais aussi d’un badge. C’est le principe de l’authentification à deux facteurs. Elle ajoute une couche de sécurité supplémentaire en demandant un code temporaire en plus du mot de passe.
Grâce à cette mesure, un pirate ne pourra pas accéder au compte de sa victime, même s’il est en possession de son mot de passe.
Selon la Cybersecurity & Infrastructure Security Agency, l’utilisation de l’authentification multifactorielle sur vos comptes réduit de 99 % les risques de piratage.

Recommandation pratique : activez l’authentification à deux facteurs sur l’ensemble des comptes

4. N'imposez pas un changement régulier des mots de passe

Ce conseil est débattu dans le monde de la cybersécurité. Néanmoins, des études ont mis en évidence une baisse du niveau de robustesse des mots de passe lorsqu’une obligation périodique de leur renouvellement est mise en place.
En effet, les salariés ont tendance à utiliser des mots de passe de plus en plus simple au fil du temps, qui ne respectent plus les exigences précédentes.

Recommandations pratiques 

  • Exiger que les mots de passe respectent les conditions précédentes et ne pas programmer de date de renouvellement
  • N’exiger un changement que s’il y a une suspicion de fuite de données ou de vol de mot de passe
5. Utilisez un gestionnaire de mots de passe

Un gestionnaire de mots de passe est un coffre-fort numérique qui stocke tous vos mots de passe de manière sécurisée.
Vous n’avez plus qu’à retenir un seul mot de passe « maître » pour y accéder.

Le logiciel génère automatiquement des mots de passe longs, complexes et uniques pour chaque service que vous utilisez et les stockent.
Ils permettent également de partager certains de vos identifiants avec vos collaborateurs de manière sécurisé.
Fini les fichiers Word ou Excel avec la liste des comptes et des mots de passe !

Recommandations pratiques :

  • Utiliser un gestionnaire de mot de passe tel que Lastpass, 1Password, Keepass, etc.
  • Ne pas utiliser le gestionnaire de votre navigateur Internet (Chrome, Edge, etc.) !
6. Sensibilisez et formez vos collaborateurs

La formation et la sensibilisation de vos collaborateurs sont des éléments clés pour la sécurité des mots de passe. Chaque utilisateur doit comprendre l’importance des bonnes pratiques en matière de mots de passe et être conscient des risques associés à des mots de passe faibles. Organisez régulièrement des sessions de formation et sensibilisation pour rappeler les règles et introduire les nouveaux outils et méthodes de sécurité. Cela permet de garantir que chaque membre de l’association adopte les bonnes pratiques pour sécuriser les données de manière efficace.

Recommandation pratique : organisez des sessions de formation périodiques pour l’ensemble de vos collaborateurs

Pour aller plus loin

D’autres recommandations, nécessitant des compétences plus techniques, peuvent accroitre votre protection :

  • N’accepter que les mots de passe répondant à votre politique
  • Empêcher l’utilisation de mots de passe simples (123456, password2025!, etc.) ou ayant déjà fuité
  • Utiliser un service d’authentification centralisée (SSO) : un seul compte (Microsoft, Google, etc.) permet l’accès aux autres services
  • Surveiller le Dark Web à la recherche de fuite de données

N’hésitez pas à en parler à votre service ou prestataire informatique.

Conclusion

En suivant ces conseils, vous pouvez grandement améliorer la sécurité de votre association et protéger vos données sensibles contre les cybercriminels. Gardez à l’esprit que la cybersécurité est un processus continu qui nécessite vigilance et adaptation. Protéger vos mots de passe est une première étape essentielle dans la sécurisation de vos informations.

Nous verrons dans un prochain article comment implémenter étape par étape un gestionnaire de mots de passe dans votre association.

N’attendez pas d’être victime d’une cyberattaque pour agir.
Contactez-moi dès aujourd’hui pour évaluer la sécurité de votre système d’information et mettre en place les protections nécessaires.

Inscrivez-vous pour recevoir les prochains articles par mail
Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.

Échangeons sur vos enjeux informatiques

Vous souhaitez optimiser la gestion de votre système d’information ?

Prenons 30 minutes pour échanger sur vos besoins et explorer ensemble les solutions adaptées à votre entreprise.
Ce rendez-vous est gratuit, sans engagement et se déroule en visioconférence.

Prendre rendez-vous