Gestion des mots de passe moderne

Voir plus d'articles

Chez Thirdbridge, offrir une tranquilité d'esprit à nos clients est au centre de nos priorités et, selon nous, tout commence par la fiabilité de nos pratiques et processus internes. Pour bien débuter l’année, nous avons décidé de dépoussiérer notre politique de gestion des mots de passe. Nous croyons que les bonnes pratiques de l’industrie sont en fait désuètes et avons choisi d’adopter une approche différente.

En général, une politique classique de gestion des mots de passe ressemble à ceci :

Les membres de Compagnie XYZ doivent utiliser des mots de passe respectant les critères suivants dans le cadre de l’utilisation d’outils ou de systèmes nécessaires à leur travail :

Au moins 10 caractères ;
Contenir au moins un chiffre ;
Contenir au moins une lettre minuscule et une lettre majuscule ;
Contenir au moins un caractère spécial.

Un mot de passe ne doit jamais être réutilisé pour différents outils ou systèmes. De plus, les mots de passe doivent être modifiés de manière périodique, au minimum une fois tous les six mois.

Dans cet article, nous allons présenter comment et pourquoi la politique de Thirdbridge, centrée sur l’utilisation d’un gestionnaire de mots de passe, est beaucoup mieux adaptée à la réalité actuelle. Plus précisément, nous aborderons l’entropie des mots de passe, leur unicité, les fuites sur le deep web, la protection contre le hameçonnage et la culture de sécurité.

La Version Thirdbridge

Présentement, la politique de gestion des mots de passe de Thirdbridge se résume comme suit :

Les membres de Thirdbridge doivent installer l’application 1Password ainsi que l’extension sur le navigateur web de leur choix. Chaque mot de passe doit être généré par 1Password et obtenir le score « Fantastique ».

Bien que cette formulation soit très simple et ne contienne pas de directives précises sur le contenu des mots de passe, la simple intégration d’un outil comme 1Password la rend beaucoup plus pertinente pour une multitude de raisons.

Thirdbridge n’est ni affilié ni commandité par 1Password. Bien que la suite de ce texte puisse ressembler à une publicité, il existe plusieurs concurrents qui offrent des produits similaires. Ceci étant dit, chez Thirdbridge, nous apprécions particulièrement 1Password.

Un mot de passe Fantastique

Tel que mentionné dans notre politique, les mots de passe doivent obtenir le score "Fantastique" lorsqu’ils sont créés dans 1Password. Ce score repose sur des critères sophistiqués qui intègrent une multitude de paramètres.

Réutilisation

À moins de posséder une mémoire photographique, il est pratiquement impossible de mémoriser un mot de passe sécurisé différent pour chaque outil numérique utilisé dans le cadre de notre travail. Sans gestionnaire de mots de passe, la réalité est que la plupart des gens réutilisent le même mot de passe pour plusieurs comptes, ce qui constitue un énorme risque de sécurité.

En imposant l’utilisation de 1Password pour la création de tous les mots de passe, le gestionnaire détecte automatiquement toute réutilisation de mot de passe et n’attribuera pas le score Fantastique dans un tel cas. Problème résolu!

Détection des brèches

Lors de la création d’un mot de passe dans 1Password, une vérification automatique est effectuée pour confirmer que le mot de passe choisi n’a jamais été compromis dans une fuite antérieure et qu’il n’est pas accessible sur le deep web.

Bien qu’il soit vrai que de nombreux navigateurs web offrent désormais cette fonctionnalité par défaut, plusieurs autres interfaces, moins modernes, ne disposent pas de ce genre de vérification sophistiquée. Grâce à 1Password, cette protection est systématiquement intégrée, quel que soit l’outil utilisé.

Entropie

De manière extrêmement simplifiée, l’entropie peut être décrite comme le niveau de hasard d’un mot de passe. Plus l’entropie est élevée, plus il est difficile de deviner ou de casser le mot de passe. 1Password utilise cette approche pour évaluer la force d’un mot de passe, au lieu de se limiter à la présence d’un ensemble de caractères obligatoires. Grâce à cette approche, il est possible de générer des mots de passe extrêmement sécurisés même pour des systèmes archaïque où, par exemple, l’utilisation de caractères spéciaux est bloquée par un pare-feu d’entreprise.

Hameçonnage

L’ajout de l’obligation d’installer l’extension pour les navigateurs web n’est pas aléatoire. Non seulement elle offre une expérience d’utilisation beaucoup plus agréable, mais elle contribue également à protéger contre un autre vecteur d’attaque.

Lors de notre dernière campagne de simulation d’hameçonnage, nous avons tenté d’induire les gens en erreur pour qu’ils entrent leurs identifiants sur une fausse plateforme visuellement identique à l’originale. Plusieurs collègues ont mentionné que l’absence de complétion automatique par 1Password leur avait mis la puce à l’oreille. Bien que dans notre cas il ne s’agissait que d’une simulation, le hameçonnage demeure à ce jour le vecteur d’attaque le plus courant! Selon le rapport 2023 State of the Phish, pas moins de 84 % des entreprises ont été victimes d’une attaque réussie, avec des conséquences parfois désastreuses.

Ainsi, bien qu’il ne s’agisse pas d’une solution infaillible contre l’hameçonnage comme les Passkeys, l’utilisation de l’extension dans le navigateur améliore tout de même significativement le niveau de protection.

Culture de la sécurité

Un autre bénéfice de notre approche est qu’elle est beaucoup plus visible. En effet, que ce soit lors d’un partage d’écran ou d’une séance de travail en présentiel, il est très facile de remarquer si un collègue se connecte à un site sans utiliser 1Password. Le but n’est pas de dénoncer ou d’infliger des conséquences. Au contraire, un simple rappel amical est parfois suffisant pour inculquer, de manière beaucoup plus efficace, une hygiène de gestion des mots de passe adéquate.

En conclusion, nous croyons fermement que lier notre politique interne de gestion des mots de passe à un outil comme 1Password est la meilleure manière de procéder. Les gabarits proposés par des cabinets d’avocats ou des firmes d’accompagnement, qui ne font que répertorier des critères fixes, ne sont, à notre avis, que des documents stériles servant uniquement à cocher une case dans un processus légal ou de conformité. Au contraire, nous visons à bâtir une culture d’entreprise où la sécurité est un élément central qui guide nos actions au quotidien.

Les clients de Thirdbridge peuvent donc dormir sur leurs deux oreilles: La pression mise sur la création de mots de passe sécuritaire via 1password garantit un haut niveau de sécurité pour les accès aux données sensibles de nos clients et des leurs!

Autres Articles

Virginie Lavoie

5 nov. 2025

Couche-Tard x Thirdbridge

Quand la correction d’un bug mène a 10 ans d’innovation.

Pascale Tessier

5 nov. 2025

Fenplast x Thirdbridge

Quand un Extranet vieillissant devient le moteur d’une nouvelle ère numérique.

Nicolas St-Aubin

17 sept. 2025

Comment réussir le développement de son application mobile en 2025 : les étapes clés

Le développement d’une application ne s’improvise pas. Il est essentiel d’être bien préparé. Une grande majorité des projets numériques d’envergure échoue faute d’une préparation adéquate.

Virginie Lavoie

10 sept. 2025

Pourquoi c’est aussi cher une app?

On constate le besoin d’éducation quant à la justification des coûts réels associés à la conception et au développement d’un produit numérique.

Pascale Tessier

7 août 2025

Churn rate: comment réduire les désinstallations

Le churn rate, ou taux d’attrition, désigne le pourcentage d’utilisateurs qui cessent d’utiliser une application sur une période donnée c'esr donc le taux de perte d’utilisateurs.