Contrôlez qui se connecte à vos serveurs

Utilisez uniquement des comptes individuels et ne partagez jamais vos mots de passe

Les comptes d'utilisateur, et leurs mots de passe correspondants, doivent rester strictement confidentiels afin d'en garantir la sécurité. Les comptes partagés présentent le risque de cacher la responsabilité de l'utilisateur et créent un manque de traçabilité des opérations faites en son nom.
 
En attribuant un compte logique à un et un seul individu, et donc en n'utilisant pas de comptes génériques, soient-ils partagés ou non, on évite l'absence de responsabilisation d'utilisateurs. Un utilisateur peut avoir plusieurs comptes pour plusieurs niveaux d'accès, toujours strictement personnels.
 

Personne ne dispose de privilèges d'administrateur pour les tâches quotidiennes

Pour effectuer ses tâches quotidiennes, un utilisateur a besoin de certains droits d'accès à des données de la société, à des sites internet éventuellement, mais pas de modifier (ou laisser modifier) la configuration technique de son poste, y compris des installations de logiciels douteux.
 
Donner des droits d'administrateur augmente le risque de dommages commis par l'utilisateur en lui donnant la possibilité technique d'effectuer des opérations sensibles à son insu, voire d'élever les privilèges, de collecter des informations sensibles, etc…
 
Si certaines personnes ont encore besoin d'un compte administrateur, créez un deuxième compte utilisateur pour ces personnes, afin de travailler avec le compte par défaut. Quand ils ont besoin d'effectuer une installation ou une modification, ils peuvent alors se connecter temporairement à leur compte administrateur pendant l'intervention.
 

Modifiez tous les mots de passe par défaut, créez des mots de passe administrateur local uniques et désactivez les comptes inutilisés

Beaucoup d'appareils connectés, voire certains logiciels, sont fournis avec des mots de passe par défaut qu'il n'est pas toujours obligatoire de changer à la première utilisation. Des bases de données de ces comptes et mots de passe existent en libre accès. Désactivez les comptes d'administrateur local ou attribuez des mots de passe aléatoires et uniques pour chaque compte local afin de limiter les risques.
 
Les mots de passe par défaut sont une faille de sécurité très facilement exploitable car largement connue et d'utilisation aisée. Les comptes non utilisés sont moins vite détectés (voire pas détectés du tout) en cas d'attaque de force brute.
 
Désactivez les comptes d'administrateur local ou attribuez des mots de passe aléatoires et uniques pour chaque compte d'administrateur local afin d'empêcher la propagation lorsque les attaquants essaient d'utiliser des identifiants partagés.
 

Rendez l'authentification et les règles de mot de passe obligatoires

L'obligation d'utiliser des règles précises, par opposition au libre arbitre de chacun à ce sujet, permet de s'assurer que celles-ci sont uniformément imposées et qu'aucune dérogation, volontaire ou involontaire, n'est techniquement possible.

Si les règles de complexité, d'âge etc... de mots de passe ne sont pas rendues obligatoires (mais juste "recommandées"), certains utilisateurs ne les mettront pas en pratique par facilité ou habitude.