Politique de sécurité en matière de mots de passe

Au CES Saint-Vincent, nous accordons la plus grande attention aux mots de passe et leur gestion en général.

Ainsi, les mots de passe que vous utilisez en tant que membre du personnel doivent répondre aux exigences de la "politique de sécurité interne". Les élèves sont dispensés d'activer l'authentification à double facteur car ils ne sont pas autorisés à utiliser leur smartphone dans l'enceinte de l'école.

Tous les utilisateurs sont néanmoins tenus de suivre les bonnes pratiques de sécurité lors de la création et l'utilisation des mots de passe :

• les mots de passe ne doivent jamais être divulgués à d'autres personnes, y compris à la direction et aux administrateurs du système
• les mots de passe ne doivent pas être écrits, à moins qu'une méthode sûre n'ait été approuvée préalablement par le responsable informatique
• les mots de passe générés par les utilisateurs ne doivent pas être distribués par quelque moyen que ce soit (oral, écrit, électronique, etc.)
• les mots de passe doivent être changés immédiatement s'il y a des indications que les mots de passe ou le système ont pu être compromis ; dans ce cas, un incident de sécurité doit être signalé
• des mots de passe forts doivent être choisis, utilisant au moins douze caractères et une combinaison d'au moins trois des éléments suivants :
  • au moins un caractère numérique
  • au moins une majuscule et au moins une minuscule
  • au moins un caractère spécial
  • un mot de passe ne doit pas être un mot du dictionnaire, un mot dialectal ou un mot de jargon d'une langue quelconque, ni aucun de ces mots écrit à l'envers (à l'exception des phrases de passe qui sont une bonne alternative aux mots de passe habituels)
  • les mots de passe ne doivent pas être basés sur des données personnelles (par exemple, date de naissance, adresse, nom d'un membre de la famille, etc.)
• les trois derniers mots de passe ne doivent pas être réutilisés
• les mots de passe doivent être changés régulièrement
• le mot de passe doit être modifié lors de la première connexion à un système
• les mots de passe ne doivent pas être stockés dans un système de connexion automatisé (par exemple, une macro ou le navigateur web)
• les mots de passe utilisés à des fins privées ne doivent pas être utilisés à des fins professionnelles.
• L'authentification à double facteur est obligatoire pour tous les membres du personnel qui disposent de 3 jours calendrier pour procéder à la mise en place d'un ou plusieurs moyens de protection. Passé ce délai, le compte sera automatiquement bloqué.
  Des informations complémentaires sont disponibles ici : https://www.ces-st-vincent.be/actualites/infos-2fa ou dans cette base de connaissances.

Obligation des membres du personnel

Les membres du personnel ont l'obligation de suivre cette politique de sécurité interne (mots de passe, confidentialité et 2FA).
Tout manquement peut entraîner et sans préavis le blocage temporaire de leur compte.
Dans ce cas précis, il leur est demandé de prendre contact avec le responsable informatique. 

Transmission des identifiants

Lorsque nous sommes amenés à transmettre des identifiants ou lorsque nous réinitialisons un mot de passe, la procédure validée par le DPO consiste à envoyer un message chiffré à usage unique. Cette méthode garantit que les informations n'ont pas été divulguées à une tierce personne.
Alternativement, les administrateurs de compte G-Workspace peuvent envoyer un lien d'activation/réinitialisation via la console G-Workspace (email Google Admin).

⚠️Les mots de passe temporaire ont une durée de vie de 48 heures. Passé ce délai, veuillez prendre contact avec le helpdesk.

Documents de référence

• ISO/IEC 27001 standard, clauses A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3
• Politique de sécurité de l'information
• Déclaration d'acceptation des documents ISMS