Pourquoi les mots de passe restent un enjeu critique
Malgré l'émergence de nouvelles technologies d'authentification, les mots de passe demeurent le principal mécanisme de protection des accès en entreprise. Et les chiffres sont préoccupants : selon le rapport Verizon DBIR 2025, plus de 60 % des violations de données impliquent des identifiants compromis. Le problème n'est pas le concept du mot de passe en lui-même, mais la manière dont il est utilisé.
Les erreurs les plus fréquentes en entreprise sont bien connues : mots de passe trop courts, réutilisés sur plusieurs services, notés sur des post-it, partagés entre collègues ou jamais changés. Une seule de ces pratiques peut suffire à compromettre l'ensemble de votre système d'information.
Longueur vs complexité : la nouvelle approche
Les recommandations ont considérablement évolué. L'ANSSI et le NIST (l'organisme de référence américain) s'accordent désormais sur un point : la longueur prime sur la complexité. Un mot de passe de 16 caractères composé de mots courants est plus résistant au brute force qu'un mot de passe de 8 caractères mélangeant majuscules, chiffres et caractères spéciaux.
Recommandation ANSSI 2025 : un mot de passe doit comporter au minimum 12 caractères pour un usage courant et 16 caractères pour les comptes à privilèges (administrateurs). Privilégiez les "phrases de passe" : une suite de 4 à 5 mots aléatoires faciles à retenir (ex : "Tulipe-Montagne-Riviere-2026").
L'approche "phrase de passe" (passphrase) offre un double avantage : elle est plus facile à mémoriser pour l'utilisateur et plus difficile à casser pour un attaquant. Un mot de passe comme "Ch@t2!" semble complexe mais ne contient que 6 caractères ; un attaquant le casse en quelques minutes. En revanche, "MonChatDoréAimeLeSoleil" comporte 23 caractères et résisterait des siècles à une attaque par force brute.
Les gestionnaires de mots de passe : un outil indispensable
Avec la multiplication des services en ligne (un salarié utilise en moyenne 80 à 120 comptes professionnels), il est humainement impossible de retenir un mot de passe unique et robuste pour chaque service. C'est là qu'interviennent les gestionnaires de mots de passe.
Ces outils génèrent et stockent des mots de passe complexes et uniques pour chaque compte, le tout protégé par un seul mot de passe maître. Les solutions professionnelles les plus répandues incluent :
- Bitwarden : open source, hébergeable en interne, excellent rapport qualité-prix
- 1Password Business : interface intuitive, intégration SSO, rapports de sécurité
- Keeper : certifié SOC 2, gestion fine des partages entre équipes
- Dashlane Business : solution française, conformité RGPD native
Le coût est modique (3 à 8 euros par utilisateur et par mois) comparé au risque d'une compromission. L'important est de choisir une solution qui permette un déploiement centralisé, un partage sécurisé entre équipes et un tableau de bord administrateur.
Déployer un gestionnaire : les étapes clés
- Choisissez la solution adaptée à votre taille et vos besoins
- Désignez un administrateur et configurez les politiques de sécurité
- Formez vos collaborateurs par petits groupes (30 min suffisent)
- Importez les mots de passe existants depuis les navigateurs
- Supprimez l'enregistrement des mots de passe dans les navigateurs
- Surveillez le tableau de bord pour identifier les mots de passe faibles ou réutilisés
L'authentification multifacteur (MFA) : votre filet de sécurité
Même le meilleur mot de passe peut être compromis (phishing, fuite de base de données, keylogger). L'authentification multifacteur (MFA ou 2FA) ajoute une couche de vérification supplémentaire qui rend l'accès pratiquement impossible pour un attaquant ne disposant que du mot de passe.
Le MFA combine au moins deux facteurs parmi :
- Ce que vous savez : le mot de passe
- Ce que vous possédez : un smartphone (application d'authentification), une clé de sécurité physique (YubiKey, Titan)
- Ce que vous êtes : empreinte digitale, reconnaissance faciale
Important : évitez le MFA par SMS. Cette méthode est vulnérable aux attaques par SIM-swapping. Préférez les applications d'authentification (Microsoft Authenticator, Google Authenticator, Authy) ou mieux, les clés de sécurité physiques FIDO2.
Le MFA doit être activé en priorité sur les services critiques : messagerie professionnelle, VPN, accès administrateur, solutions cloud (Microsoft 365, Google Workspace), outils financiers et RH. L'objectif à terme est de couvrir 100 % des accès professionnels.
Le SSO : simplifier sans compromettre
Le Single Sign-On (SSO) permet à vos collaborateurs de se connecter une seule fois pour accéder à l'ensemble de leurs applications métier. Plutôt que de gérer 50 identifiants différents, le salarié s'authentifie via un fournisseur d'identité central (Azure AD, Okta, Google Identity) qui gère les accès à toutes les applications connectées.
Les avantages du SSO sont multiples :
- Réduction drastique du nombre de mots de passe à gérer
- Centralisation du MFA sur un point unique
- Désactivation instantanée de tous les accès lors du départ d'un collaborateur
- Meilleure expérience utilisateur et productivité accrue
- Traçabilité complète des connexions
La biométrie en entreprise
La biométrie (empreinte digitale, reconnaissance faciale) se démocratise en entreprise, principalement comme facteur d'authentification secondaire via Windows Hello for Business ou Touch ID/Face ID sur les appareils Apple. Elle offre un excellent compromis entre sécurité et praticité : c'est rapide, difficile à usurper et l'utilisateur ne peut pas l'oublier.
Cependant, la biométrie soulève des questions RGPD importantes. Les données biométriques sont considérées comme des données sensibles, soumises à des règles de traitement renforcées. En pratique, les solutions modernes stockent les données biométriques localement sur l'appareil de l'utilisateur (pas de centralisation), ce qui limite considérablement les risques.
Les erreurs fréquentes à éviter
Voici les pratiques encore trop courantes qui mettent en danger la sécurité de votre entreprise :
- Imposer un changement de mot de passe trop fréquent : l'ANSSI et le NIST déconseillent désormais le changement périodique obligatoire (tous les 90 jours), qui pousse les utilisateurs à incrémenter un chiffre ("Motdepasse1", "Motdepasse2"...). Changez uniquement en cas de compromission suspectée.
- Partager des mots de passe par e-mail ou messagerie : utilisez le partage sécurisé de votre gestionnaire de mots de passe
- Utiliser le même mot de passe pour les comptes personnels et professionnels : une fuite sur un service personnel peut compromettre vos accès pro
- Négliger les comptes de service et d'administration : ces comptes à privilèges sont les cibles prioritaires des attaquants
- Ne pas révoquer les accès des anciens collaborateurs : un processus d'offboarding doit inclure la désactivation immédiate de tous les comptes
Conseil CoreWave : mettez en place une politique de mots de passe écrite, communiquée à tous les collaborateurs et intégrée au processus d'onboarding. Une formation de 30 minutes lors de l'arrivée d'un nouveau salarié peut éviter des incidents coûteux.
Plan d'action pour votre entreprise
Voici un plan de mise en oeuvre en 4 phases pour renforcer la sécurité des accès de votre PME :
- Semaine 1-2 : Activez le MFA sur tous les comptes administrateurs et la messagerie
- Semaine 3-4 : Déployez un gestionnaire de mots de passe et formez les équipes
- Mois 2 : Étendez le MFA à l'ensemble des services cloud et au VPN
- Mois 3 : Évaluez et déployez le SSO pour centraliser l'authentification
Besoin d'un accompagnement ?
Nos experts vous aident à déployer une politique de mots de passe robuste et les outils d'authentification adaptés à votre entreprise.
Demander un audit gratuit