Exigences de stratégie de mots de passe Active Directory PCI DSS

Fin 2004, cinq grandes sociétés émettrices de cartes bancaires (American Express, Discover Financial Services, JCB International, MasterCard et Visa Inc.) se sont unies pour créer la norme PCI DSS (Payment Card Industry Data Security Standard, ou norme de sécurité des données du secteur des cartes de paiement) pour tenter de lutter contre les fraudes de données dans le secteur financier. Toute organisation souhaitant traiter, stocker ou transmettre des données de carte bancaire doit veiller à respecter les exigences de stratégie de mots de passe qu’impose la norme PCI DSS. La clause 3.2, section 8, l’énonce clairement.

Protection des comptes d’utilisateur AD

Pour se conformer à la norme PCI DSS, l’organisation doit respecter les exigences de stratégie de mots de passe qu’expose la section 8 pour authentifier les comptes d’utilisateur Active Directory (AD).

PCI DSS 3.2, section 8

Cette section indique les exigences de tous les mots de passe d’utilisateur du domaine servant à se connecter au système pour accéder à des données de paiement.

Les mots de passe doivent :

1. Contenir au moins sept caractères.
2. Inclure des chiffres.
3. Expirer dans un délai de 90 jours.
4. Être différents des quatre précédents mots de passe.

Conformité PCI DSS simplifiée avec ADSelfService Plus

ADSelfService Plus offre des paramètres avancés de stratégie de mots de passe pour veiller à ce que l’entreprise respecte les exigences PCI DSS. On peut créer une stratégie de mots de passe personnalisée qui remplit toutes les exigences PCI DSS et impose des règles à tous les utilisateurs AD ou certains selon leur appartenance à un domaine, une unité d’organisation (OU) ou un groupe.

1. Application d’un historique des mots de passe : assurez la force des mots de passe en vérifiant leur historique à la réinitialisation Windows native dans la console ADUC (Utilisateurs et ordinateurs Active Directory).
2. Définition d’une longueur de mot de passe donnée : imposez des mots de passe plus forts pour les utilisateurs du domaine Windows en précisant la longueur minimale.
3. Respect d’une complexité des mots de passe : veillez à ce qu’un mot de passe d’utilisateur contienne des majuscules, des minuscules, des caractères spéciaux et des chiffres.

Même si on met en place les contrôles de stratégie ci-dessus pour la norme PCI, les mots de passe des utilisateurs restent vulnérables aux attaques liées aux identifiants comme celles par force brute, de dictionnaire et test de mots de passe faibles.

ADSelfService Plus aide les organisations à suivre l’évolution du paysage des cybermenaces en permettant aux administrateurs de :

1. Interdire les mots de passe faibles ou divulgués, les séquences clavier et les palindromes.
2. Limiter les caractères répétés ou consécutifs du nom d’utilisateur ou d’un ancien mot de passe, ainsi que les types de caractère courants au début et à la fin du mot de passe.
3. Afficher un analyseur de force lorsque l’utilisateur change ou réinitialise son mot de passe AD.
4. Imposer des phrases secrètes en dérogeant à la complexité du mot de passe si la longueur de celui de l’utilisateur dépasse une valeur fixée.
5. Respectez les règlementations NIST, CJIS, et HIPAA.