1. 1. Objet

   
   

Cette politique définit les exigences minimales de sécurité pour les mots de passe, passphrases, clés et tokens (« secrets »), ainsi que l’usage obligatoire de l’authentification multifacteur (MFA) afin de réduire les risques d’accès non autorisé aux systèmes d’ExoWeb.

2. 2. Portée

La politique s’applique à tous les employés, sous-traitants et stagiaires ayant accès aux systèmes d’ExoWeb (production, pré-production, développement, services cloud, VPN, messagerie, panneaux d’hébergement, hyperviseurs, CI/CD, dépôts Git, etc.).

Elle couvre les comptes utilisateurs, comptes à privilèges (admin, root, panel), comptes de service, accès API, clés SSH, tokens et tout autre mécanisme d’authentification.

3. 3. Principes directeurs

• Principe du moindre privilège et approche « Zero-Trust ».
• MFA activée par défaut partout où disponible.
• Pas de rotation arbitraire des mots de passe utilisateurs non compromis ; rotation immédiate en cas d’incident, d’élévation de privilèges ou de suspicion d’exposition.
• Stockage des secrets dans des coffres/gestionnaires approuvés, jamais en clair.
• Automatisation privilégiée (FIDO2/WebAuthn, SSO/IdP, tokens courts, KMS).

4. 4. Posture envers les secrets des clients

ExoWeb ne conserve aucun mot de passe appartenant à ses clients.

Toute transmission de données confidentielles pour un client doit se faire exclusivement via notre instance auto-hébergée et modifiée de Password Pusher disponible à l’adresse : https://secure.exoweb.ca/.

Les liens de partage sont à usage limité (par défaut : 3 vue, expiration 7 jours) et sont supprimés automatiquement à l’expiration. Les informations / secrets / iddentifiants des clients ne sont pas importés dans nos coffres internes.

5. 5. Gestionnaire de mots de passe (interne ExoWeb)

ExoWeb utilise un gestionnaire de mots de passe d’entreprise pour stocker les identifiants de ses différentes plateformes (cloud, panneaux d’hébergement, hyperviseurs, CI/CD, outils internes). L’accès au coffre est protégé par MFA et, si possible, par clé matérielle (FIDO2). Les partages sont granulaires et audités. Les exports en clair sont interdits.

6. 6. Exigences pour les mots de passe (utilisateurs humains)

• Longueur minimale : 20 caractères aléatoires.
• Complexité adaptative : Chiffres, majuscules, minuscules et caractères spéciaux ; interdiction des mots de passe communs/compromis (vérification de fuite à la création/changement), mots du dictionnaire.
• Historique : 12 derniers mots de passe non réutilisables.
• Tentatives : verrouillage progressif après 10 échecs, déverrouillage via MFA/support.
• Expiration de session interactive : maximum 1 h d'inactivité (réauthentification MFA requise pour les actions sensibles).
• Les sessions actives sont automatiquement fermées lors du verrouillage de l’appareil ; une réauthentification est requise à la reprise. Les employés doivent verrouiller leur appareil dès qu’ils ne sont pas devant celui-ci.

7. 7. Comptes à privilèges

• MFA obligatoire (FIDO2/WebAuthn recommandé, TOTP acceptable).
• Passphrase 20+ caractères.
• Interdiction du login root direct (réservé aux administrateurs système uniquement)
  usage de sudo avec journalisation.
• SSH : clés + FIDO2 ; authentification par mot de passe interdite.
• Timeout d’inactivité : 10 min (TTY/console), 15 min (interfaces Web).

8. 8. Comptes de service & secrets applicatifs

• Utiliser des mécanismes non interactifs : tokens courts, OIDC, JWT signés, KMS.
• Rotation des clés/tokens critiques : trimestrielle (mensuelle si exposition Internet + données sensibles).
• Stockage exclusif dans un coffre de secrets ; jamais en clair dans le code, Git, tickets, e-mails ou chats.

9. 9. Authentification multifacteur (MFA)

MFA est obligatoire pour : messagerie, VPN, SSO/IdP, Cloud, panneaux d’hébergement (DirectAdmin/Cloudflare), hyperviseurs, dépôts Git, CI/CD, accès à distance, gestionnaires/coffres.

Facteurs autorisés (préférence) : FIDO2/WebAuthn → TOTP → Push. Interdits : SMS/e-mail seuls (sauf secours temporaire approuvé).

Enrôlement : au moins 2 facteurs par utilisateur + 10 codes de secours uniques et imprimés.

10. 10. Paramétrage recommandé (exemples)

• SSH : PasswordAuthentication no
PermitRootLogin no
AuthenticationMethods publickey,publickey (clé + FIDO2)ClientAliveInterval 300
ClientAliveCountMax 1.
• VPN : SSO + MFA ; certificats clients individuels ; révocation centralisée.
• Panneaux (DirectAdmin / WHMCS) : MFA requis ; mots de passe 20+ ; comptes nominaux ; alertes d’échecs.
• Virtualiseur : Realm SSO si possible, MFA obligatoire ; tokens API restreints.
• WordPress/Back-office : MFA pour administrateurs et éditeurs
  Imposer « strong passwords » ; limiter les tentatives ; sessions courtes.
• Cloud/CDN : tokens à portée/durée minimales ; clés API scoping strict.

11. 11. Partage & transmission des secrets

• Clients : échange uniquement via https://secure.exoweb.ca (Password Pusher auto-hébergé modifié) ; liens à usage limité (par défaut : 1 vue, 48 h) ; suppression automatique.
• Interne ExoWeb : partage via le gestionnaire approuvé (coffre), avec droits par rôles et audit. Les e-mails/chats/documents en clair sont interdits.

12. 12. Reprise, perte, révocation & suppression

Perte de facteur : vérification d’identité renforcée, usage des codes de secours, enrôlement d’un nouveau facteur et révocation immédiate de l’ancien.

Départ d’un collaborateur : désactivation immédiate des comptes nominatifs, rotation des secrets affectés, transfert des accès coffre.

Secrets clients : suppression automatique par secure.exoweb.ca à l’expiration ; sur demande client, purge immédiate (incluant sauvegardes applicables).

13. 13. Journalisation, surveillance et audits

Journaliser : connexions (réussies/échouées), changements de mots de passe, enrôlements/révocations MFA, accès/partages du coffre, création/consultation/suppression de liens via secure.exoweb.ca.

Audit semestriel : comptes inactifs, privilèges, tokens permissifs, conformité aux longueurs/exigences, vérification qu’aucun secret client n’est stocké dans les coffres internes.

14. 14. Sensibilisation et formation

Formation initiale puis rappel annuel : création de passphrases robustes, risques de phishing/MFA fatigue, bonnes pratiques du coffre, procédure Password Pusher (création de lien, expiration, suppression).

15. 15. Conformité, dérogations et sanctions

Le non-respect de cette politique peut entraîner la suspension d’accès, des mesures disciplinaires et, au besoin, des poursuites. Les dérogations temporaires doivent être approuvées par écrit par SecOps, avec justification et durée limitée.

16. 16. Révision et gouvernance

La politique est révisée au moins une fois par an ou à la suite d’un changement technologique/réglementaire majeur. Les mises à jour sont approuvées par la Direction Sécurité & Conformité.

Tableau des versions et des changements :