GUIDE CYBERSÉCURITÉ
Sécurité des mots de passe en entreprise
Gestionnaire de mots de passe, MFA, politique interne : les mesures concrètes pour que les comptes de votre entreprise cessent d'être son maillon faible.
Dans ce guide
- Gestionnaire de mots de passe
- MFA partout où c'est possible
- Phrases de passe robustes
- Politique interne réaliste
Pourquoi les mots de passe restent le maillon faible
La plupart des intrusions ne commencent pas par un exploit sophistiqué, mais par un compte compromis : mot de passe deviné, réutilisé sur un site piraté, ou soutiré par un e-mail de phishing. Dans une PME, un seul compte de messagerie compromis suffit pour détourner un virement, usurper l'identité d'un dirigeant ou déployer un ransomware.
Le problème n'est pas la négligence des équipes : c'est qu'on demande à des humains de mémoriser des dizaines de secrets uniques et complexes. Sans outils ni règles claires, ils font ce que ferait tout le monde : le même mot de passe partout, avec une majuscule et « 2024 » à la fin.
Le gestionnaire de mots de passe : l'outil qui change tout
Un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass, etc.) génère et stocke un mot de passe unique et aléatoire pour chaque service. L'utilisateur ne retient plus qu'un seul secret : le mot de passe maître.
En entreprise, choisissez une offre professionnelle pour bénéficier de :
- coffres partagés par équipe (les identifiants du site web ne se transmettent plus par e-mail ou Post-it) ;
- gestion des départs : quand un collaborateur quitte l'entreprise, on révoque son accès sans courir après les mots de passe qu'il connaissait ;
- audit intégré : détection des mots de passe faibles, réutilisés ou présents dans des fuites connues.
Comptez de l'ordre de 3 à 8 € par utilisateur et par mois : l'un des meilleurs investissements sécurité qui soient.
La MFA : indispensable, pas optionnelle
Même un excellent mot de passe peut fuiter. La double authentification (MFA) ajoute une preuve supplémentaire — code d'application, notification, clé physique — et bloque ainsi la quasi-totalité des piratages de comptes.
Ordre de déploiement recommandé : comptes administrateurs d'abord, puis messagerie (la clé de tout le reste : c'est elle qui reçoit les liens « mot de passe oublié »), puis VPN et accès distants — un point détaillé dans notre guide du télétravail sécurisé —, enfin les applications métier. Préférez l'application d'authentification ou la clé de sécurité au SMS. La MFA est incluse dans Microsoft 365 et Google Workspace : l'activer ne coûte rien.
Phrases de passe et politique interne
La robustesse vient de la longueur
Les recommandations actuelles (ANSSI, CNIL) privilégient la longueur sur la complexité artificielle. Une phrase de passe de 4 à 5 mots sans lien entre eux — « tulipe caverne 72 marteau ! » — est à la fois plus résistante et plus facile à retenir que « P@ssw0rd1 ». Visez au minimum 12 à 16 caractères pour les comptes importants, et davantage pour le mot de passe maître du gestionnaire.
Une politique réaliste tient en quelques règles
- un mot de passe unique par service, généré par le gestionnaire ;
- MFA obligatoire sur la messagerie, les accès distants et les comptes à privilèges ;
- pas d'expiration systématique : forcer un changement tous les 90 jours pousse aux variantes prévisibles. On change un mot de passe quand il y a suspicion de compromission ;
- comptes nominatifs : pas de compte « accueil » partagé sans traçabilité ;
- procédure de départ : désactivation des comptes le jour même, rotation des secrets partagés.
Formalisez ces règles dans la charte informatique et faites-les vivre par une sensibilisation courte et régulière — un volet que nous intégrons à nos prestations de cybersécurité.
Les erreurs courantes qui coûtent cher
- Le fichier Excel « mots de passe.xlsx » sur le serveur partagé : la première chose qu'un attaquant cherche — et trouve.
- Le même mot de passe pro et perso : quand un site grand public fuite, vos comptes d'entreprise tombent avec.
- Les comptes administrateurs sans MFA : le sésame absolu laissé sans serrure.
- Les mots de passe dans les navigateurs non gérés : pratiques, mais aspirés en quelques secondes par les malwares voleurs d'identifiants.
- Les comptes d'anciens salariés jamais désactivés : des portes d'entrée oubliées, régulièrement exploitées.
Un audit des comptes et des accès permet de repérer rapidement ces situations et de les corriger par ordre de priorité.
Questions fréquentes
FAQ
Quel est le meilleur gestionnaire de mots de passe pour une PME ?
Bitwarden, 1Password ou KeePass couvrent bien les besoins d'une PME. Le choix dépend surtout de vos usages (coffres partagés, intégration annuaire) : l'essentiel est d'en déployer un et de former les équipes.
Faut-il changer les mots de passe tous les 90 jours ?
Non, cette pratique est abandonnée par l'ANSSI comme par la CNIL : elle pousse aux variantes prévisibles. On change un mot de passe en cas de suspicion de compromission, pas par calendrier.
La MFA par SMS est-elle suffisante ?
Elle vaut mieux que rien, mais le SMS peut être intercepté ou détourné. Préférez une application d'authentification ou une clé de sécurité physique, surtout pour les comptes sensibles.
Qu'est-ce qu'une phrase de passe ?
Une suite de 4 à 5 mots sans lien entre eux, éventuellement complétée de chiffres ou de signes. Sa longueur la rend très résistante aux attaques tout en restant mémorisable.
Comment gérer les mots de passe partagés entre collègues ?
Via les coffres partagés d'un gestionnaire professionnel : chacun accède aux identifiants selon son rôle, les accès sont tracés et révocables au départ d'un collaborateur.
Mettez vos comptes hors de portée
Déploiement d'un gestionnaire, MFA généralisée, audit des accès : nous nous en chargeons.