La sécurité des comptes utilisateurs est une priorité. Plusieurs mesures ont été mises en place pour protéger l’accès à votre compte et prévenir les connexions non autorisées.
Protection contre les tentatives de connexion suspectes
Le système détecte les comportements anormaux lors de la connexion. Lorsqu’un certain nombre de tentatives infructueuses sont observées sur une courte période, des mesures de protection peuvent s’appliquer automatiquement, telles que :
- Une demande de réinitialisation du mot de passe
- Une restriction temporaire de l’accès
Ces mesures visent à bloquer les accès non autorisés tout en permettant aux utilisateurs légitimes de continuer à accéder à leur compte. Les protections sont continuellement améliorées selon les meilleures pratiques de l’industrie.
Politique de mot de passe renforcée
Pour renforcer la sécurité des comptes, tous les mots de passe doivent respecter les critères suivants :
- Minimum de 12 caractères et maximum de 128 caractères
- Contenir au moins une lettre majuscule
- Contenir au moins une lettre minuscule
- Contenir au moins un chiffre
- Contenir au moins un caractère spécial
Le mot de passe ne peut pas contenir :
- Le nom d’utilisateur
- L’adresse courriel associée (ni la portion avant ni après le @, même partiellement)
- Le nom de l’entreprise
Note : Les vérifications sont insensibles à la casse pour ces informations interdites.
Le mot de passe doit obtenir un score minimal de 3/5 sur une échelle de complexité (Très faible, Faible, Moyen, Bon, Excellent).
Un mot de passe jugé Très faible ou Faible ne pourra pas être utilisé.
Détection de mots de passe compromis
Lors de la création ou modification d’un mot de passe, celui-ci est vérifié dans une base de données publique de mots de passe compromis. S’il figure dans cette base, un avertissement invite l’utilisateur à en choisir un autre plus sécuritaire.
Aide visuelle à la création
Un indicateur visuel est affiché pour guider les utilisateurs dans le choix d’un mot de passe conforme à la politique en vigueur.
Authentification à deux facteurs (A2F) obligatoire
Par défaut, tous les utilisateurs et utilisatrices de la plateforme doivent avoir au moins une méthode d’authentification à deux facteurs active.
Lorsqu’un nouvel utilisateur est invité, l’A2F par courriel est activée automatiquement. Il peut également ajouter une méthode via une application d’authentification (ex. : Google Authenticator, Microsoft Authenticator).
S’il active la méthode par application, il peut désactiver la méthode par courriel, mais au moins une méthode d’A2F doit toujours rester active.
L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire en demandant un code temporaire en plus du mot de passe.
Ce code est généré par courriel ou par une application d’authentification.
Par défaut, l’A2F est demandée à chaque connexion, sauf si l’utilisateur se connecte depuis un appareil de confiance. Un appareil marqué comme fiable le reste pour une durée maximale de 30 jours.
Le nombre de tentatives pour entrer un code A2F est également limité afin de prévenir les attaques.
En savoir plus sur l'authentification à deux facteurs >
Conseils de sécurité
L’authentification à deux facteurs (A2F) est obligatoire pour tous les comptes et constitue une mesure essentielle pour sécuriser votre accès.
Voici quelques bonnes pratiques supplémentaires :
- Utilisez un mot de passe unique et robuste
- Ne partagez jamais vos identifiants
- Soyez vigilant face aux courriels ou messages suspects