Informaclique
cd ../blog

blog · article · lecture

Comment mettre en place une politique de mot de passe robuste

author Cédron
Comment mettre en place une politique de mot de passe robuste
informaclique — article.mdutf-8
meta — lecture~4 min
$ wc -w article.md → estim. 4 min de lecture

Comment mettre en place une politique de mot de passe robuste

Les mots de passe restent le premier rempart de sécurité pour l'accès aux systèmes d'information des entreprises. Pourtant, selon les études, plus de 80 % des violations de données impliquent des mots de passe faibles ou compromis. Mettre en place une politique de mot de passe robuste et applicable est un enjeu fondamental pour la sécurité de votre PME.

Les recommandations actuelles de l'ANSSI

Les bonnes pratiques en matière de mots de passe ont considérablement évolué ces dernières années.

  • Longueur minimale de 12 caractères : la longueur est désormais considérée comme plus importante que la complexité, un mot de passe long est plus résistant aux attaques par force brute
  • Phrase de passe privilégiée : une suite de mots aléatoires comme « Girafe-Violet-Planète-Carotte » est à la fois plus sécurisée et plus facile à retenir qu'un mot de passe court et complexe
  • Abandon du renouvellement périodique obligatoire : l'ANSSI ne recommande plus le changement tous les 90 jours, qui poussait les utilisateurs à choisir des mots de passe prévisibles
  • Changement immédiat en cas de compromission : le renouvellement doit être déclenché uniquement en cas de suspicion de fuite ou d'incident de sécurité

Ces recommandations marquent un virage par rapport aux pratiques historiques et nécessitent de mettre à jour les politiques en place dans de nombreuses entreprises.

Déployer l'authentification multifacteur

Le mot de passe seul ne suffit plus pour protéger les accès critiques.

  • Double facteur systématique : combiner le mot de passe avec un second facteur (SMS, application d'authentification, clé physique) pour les accès sensibles
  • Applications TOTP : les applications générant des codes temporaires (type Google Authenticator ou Microsoft Authenticator) offrent un bon équilibre sécurité et facilité d'usage
  • Clés de sécurité physiques : les clés FIDO2/WebAuthn représentent le niveau de sécurité le plus élevé pour les comptes les plus critiques
  • Biométrie : empreinte digitale ou reconnaissance faciale comme facteur complémentaire sur les appareils mobiles

Pour une entreprise du BTP, activer le MFA sur l'accès à l'ERP, à la messagerie et au VPN constitue un minimum vital compte tenu de la sensibilité des données manipulées.

Implémenter un gestionnaire de mots de passe

Un gestionnaire de mots de passe d'entreprise résout la tension entre sécurité et ergonomie.

  • Coffre-fort chiffré : stockage sécurisé de tous les identifiants dans un vault protégé par un mot de passe maître unique
  • Génération automatique : création de mots de passe aléatoires de 20 caractères ou plus pour chaque service, sans effort de mémorisation
  • Partage sécurisé : transmission d'identifiants entre collaborateurs sans passer par des canaux non sécurisés comme l'e-mail ou la messagerie instantanée
  • Audit centralisé : visibilité sur la robustesse des mots de passe utilisés et détection des mots de passe réutilisés ou compromis

Le déploiement d'un gestionnaire de mots de passe réduit drastiquement le nombre d'appels au support informatique pour réinitialisation, tout en renforçant considérablement le niveau de sécurité global.

Configurer les contrôles techniques

La politique de mots de passe doit être appliquée techniquement et pas seulement communiquée.

  • Active Directory et GPO : configurer les stratégies de groupe pour imposer la longueur minimale, la complexité et le verrouillage après tentatives échouées
  • Listes noires de mots de passe : bloquer les mots de passe les plus courants (123456, password, azerty) et ceux spécifiques à l'entreprise (nom de l'entreprise, adresse)
  • Vérification contre les bases de données compromises : comparer les mots de passe choisis avec les bases de fuites connues via des API comme Have I Been Pwned
  • Verrouillage progressif : augmenter le délai d'attente après chaque tentative échouée pour ralentir les attaques par force brute

Accompagner le changement auprès des équipes

La meilleure politique technique échouera si les utilisateurs ne l'adoptent pas.

  • Formation pratique : montrer concrètement comment créer une phrase de passe robuste et utiliser le gestionnaire de mots de passe
  • Communication positive : expliquer le pourquoi des mesures plutôt que les imposer de manière autoritaire
  • Support accessible : mettre en place un accompagnement pour les collaborateurs les moins à l'aise avec les outils numériques
  • Exemplarité de la direction : les dirigeants doivent appliquer les mêmes règles que l'ensemble des collaborateurs

La sécurité des mots de passe est un fondement de votre stratégie de cybersécurité. Auditez votre politique actuelle, déployez les outils adaptés et accompagnez vos équipes pour transformer cette contrainte en réflexe quotidien protégeant l'ensemble de votre système d'information.

informaclique — ctastdout

Besoin d'un accompagnement sur ce sujet ?

Audit gratuit, conseil personnalisé et solutions sur-mesure pour votre entreprise.

En discuter

contact

Un projet en tête ?

Informaclique, développement informatique à Lyon. Applications sur-mesure, sites web et solutions digitales en Auvergne-Rhône-Alpes.

Discuter du projet