Politique Mots de Passe Entreprise : Règles et Modèle (PDF)

La politique de mots de passe en entreprise demeure le pilier fondamental de toute stratégie de cybersécurité, et ce malgré l'émergence de technologies d'authentification alternatives. Les mots de passe restent le vecteur d'attaque numéro un exploité par les cybercriminels en 2026 : selon le rapport Verizon Data Breach Investigations Report, plus de 80 % des violations de données impliquent des identifiants compromis, qu'il s'agisse de credential stuffing à partir de bases de données volées, de password spraying ciblant les mots de passe les plus courants, ou de techniques plus sophistiquées comme le Kerberoasting dans les environnements Active Directory. L'ANSSI, dans ses recommandations mises à jour en 2024, insiste sur la nécessité pour chaque organisation de formaliser une politique de mots de passe écrite, diffusée et appliquée. Ce guide complet analyse les meilleures pratiques françaises et internationales, détaille les quatre niveaux d'accès recommandés, compare les technologies d'authentification multifacteur, et vous fournit un modèle de politique prêt à être personnalisé et déployé dans votre entreprise.

Pourquoi les mots de passe restent le vecteur d'attaque numéro un

Malgré des décennies d'innovation en cybersécurité, les identifiants compromis demeurent la cause principale des violations de données. Plusieurs facteurs expliquent cette persistance. D'abord, la prolifération des comptes numériques : un utilisateur professionnel gère en moyenne 87 comptes avec mots de passe distincts, un chiffre qui atteint 130 si l'on inclut les comptes personnels. Cette surcharge cognitive conduit inévitablement à la réutilisation de mots de passe identiques ou similaires sur plusieurs services.

Le credential stuffing exploite précisément cette réutilisation : les attaquants récupèrent des couples identifiant/mot de passe issus de fuites de données publiques (des milliards d'identifiants sont disponibles sur le dark web) et les testent automatiquement sur des centaines de services en ligne. Avec un taux de succès moyen de 0,1 à 2 %, une attaque testant un million d'identifiants compromet entre 1 000 et 20 000 comptes, souvent en quelques heures.

Le password spraying adopte l'approche inverse : plutôt que de tester de nombreux mots de passe sur un seul compte (ce qui déclenche les mécanismes de verrouillage), l'attaquant teste un petit nombre de mots de passe très courants (« Azerty123! », « Bienvenue2026 », « NomEntreprise01 ») sur un grand nombre de comptes. Dans un annuaire Active Directory de 5 000 utilisateurs, il est statistiquement quasi certain qu'au moins un compte utilise un mot de passe figurant dans le top 100 des mots de passe les plus fréquents.

Le Kerberoasting est une technique plus avancée spécifique aux environnements Active Directory. L'attaquant, disposant d'un accès utilisateur standard au domaine, demande des tickets de service Kerberos (TGS) pour des comptes de service associés à un Service Principal Name (SPN). Ces tickets sont chiffrés avec le hash du mot de passe du compte de service et peuvent être craqués hors ligne par force brute. Si le mot de passe du compte de service est faible (ce qui est fréquemment le cas pour des comptes créés il y a des années et jamais mis à jour), l'attaquant obtient un accès privilégié au SI en quelques minutes.

Recommandations ANSSI 2024 versus NIST 800-63B : convergences et divergences

Les deux référentiels les plus influents en matière de politique de mots de passe sont les recommandations de l'ANSSI (mises à jour en 2024) et les Digital Identity Guidelines du NIST (SP 800-63B, révisées en 2024). Bien que convergentes sur de nombreux points, ces deux références présentent des différences significatives qu'il est important de comprendre pour élaborer une politique adaptée au contexte français.

Convergences majeures : les deux référentiels s'accordent sur l'abandon du renouvellement périodique obligatoire des mots de passe (sauf en cas de compromission avérée ou suspectée), la priorité donnée à la longueur plutôt qu'à la complexité (un mot de passe long est plus sûr qu'un mot de passe court et complexe), la recommandation forte de l'authentification multifacteur (MFA), la vérification des mots de passe contre les listes de mots de passe compromis, et l'interdiction des indices de mot de passe (password hints).

Divergences notables : l'ANSSI maintient des exigences de complexité minimale (mélange de caractères majuscules, minuscules, chiffres et spéciaux) que le NIST considère comme contre-productives (elles encouragent des patterns prévisibles comme « Motdepasse1! »). L'ANSSI définit des longueurs minimales par niveau de sensibilité (12, 14, 16 caractères) tandis que le NIST recommande un minimum de 8 caractères avec un maximum autorisé d'au moins 64 caractères. L'ANSSI recommande le changement de mot de passe tous les 12 mois pour les comptes à privilèges même sans compromission, une position que le NIST ne partage pas.

Pour le contexte français, nous recommandons de suivre les recommandations ANSSI comme base, enrichies des bonnes pratiques NIST les plus pertinentes (abandon du renouvellement pour les comptes standard, vérification contre les listes de compromission). Cette approche garantit la conformité avec le référentiel de l'autorité nationale tout en intégrant les avancées les plus récentes de la recherche en sécurité des authentifications.

Entropie et robustesse : la science derrière un mot de passe fort

L'entropie d'un mot de passe mesure sa résistance théorique à une attaque par force brute, exprimée en bits. Un mot de passe avec une entropie de N bits nécessite en moyenne 2^(N-1) tentatives pour être deviné par force brute. Comprendre ce concept permet de prendre des décisions éclairées sur les exigences de la politique de mots de passe.

L'entropie dépend de deux facteurs : la taille de l'alphabet (nombre de caractères possibles pour chaque position) et la longueur du mot de passe. La formule est : Entropie = Longueur × log2(Taille de l'alphabet). Pour un mot de passe composé uniquement de lettres minuscules (26 caractères), chaque caractère apporte environ 4,7 bits d'entropie. Pour un alphabet complet (majuscules, minuscules, chiffres, 33 caractères spéciaux = 95 caractères), chaque caractère apporte environ 6,6 bits.

En comparant deux approches : un mot de passe de 8 caractères utilisant l'alphabet complet (95 caractères) offre une entropie d'environ 52,6 bits. Un mot de passe de 16 caractères utilisant uniquement des lettres minuscules offre une entropie d'environ 75,2 bits. Le mot de passe le plus long est significativement plus robuste, même avec un alphabet plus restreint. C'est ce qui fonde la recommandation moderne de privilégier la longueur sur la complexité.

En pratique, les mots de passe ne sont pas aléatoires : les utilisateurs créent des patterns prévisibles qui réduisent considérablement l'entropie effective. « Toulouse2026! » a une entropie théorique de 85 bits mais une entropie effective de moins de 30 bits car il suit un pattern commun (nom propre + année + caractère spécial). C'est pourquoi les politiques modernes recommandent l'utilisation de phrases de passe (passphrases) composées de 4 à 6 mots aléatoires : « cheval correct batterie agrafe » offre une entropie effective d'environ 44 bits tout en étant plus facile à mémoriser qu'une chaîne aléatoire.

Les quatre niveaux d'accès et leurs exigences de mot de passe

L'ANSSI recommande de définir des exigences proportionnées au niveau de sensibilité des accès. Notre modèle de politique définit quatre niveaux distincts, chacun avec des règles adaptées au risque.

Niveau 1 — Accès standard (utilisateurs courants, applications métier non critiques) : mot de passe d'au minimum 12 caractères, comprenant au moins 3 des 4 catégories de caractères (majuscules, minuscules, chiffres, spéciaux), non présent dans les listes de mots de passe compromis. MFA recommandé mais pas obligatoire pour les accès internes depuis un poste géré. Pas de renouvellement périodique obligatoire sauf compromission avérée. Exemples de comptes concernés : comptes utilisateurs Windows, e-mail, applications RH, CRM.

Niveau 2 — Accès élevé (accès à des données sensibles, fonctions de management) : mot de passe d'au minimum 14 caractères, les 4 catégories de caractères obligatoires, MFA obligatoire pour tout accès distant et recommandé en interne. Renouvellement recommandé tous les 12 mois. Exemples : comptes avec accès aux données financières, RH, données clients sensibles, comptes managers avec délégation de droits.

Niveau 3 — Accès administrateur (comptes d'administration système, réseau, bases de données) : mot de passe d'au minimum 16 caractères, généré par un gestionnaire de mots de passe, MFA obligatoire avec facteur physique (clé FIDO2 ou carte à puce) pour toute authentification. Renouvellement obligatoire tous les 6 mois. Comptes d'administration séparés des comptes utilisateurs courants (principe du moindre privilège). Exemples : comptes Domain Admin, administrateurs de bases de données, root sur les serveurs Linux, comptes d'administration cloud (Azure, AWS, GCP).

Niveau 4 — Accès critique (comptes de service, comptes de bris de glace, accès aux infrastructures critiques) : mot de passe d'au minimum 20 caractères, généré aléatoirement par un système automatisé, stocké dans un coffre-fort de mots de passe avec contrôle d'accès strict et journalisation. MFA obligatoire avec facteur matériel dédié. Rotation automatique programmée (tous les 90 jours pour les comptes de service, après chaque utilisation pour les comptes de bris de glace). Exemples : compte krbtgt Active Directory, comptes de service avec SPN (prévention Kerberoasting), comptes d'administration de la PKI, comptes de sauvegarde.

L'authentification multifacteur (MFA) : comparatif des technologies

L'authentification multifacteur combine au moins deux des trois catégories de facteurs : quelque chose que l'on sait (mot de passe), quelque chose que l'on possède (smartphone, clé physique), quelque chose que l'on est (biométrie). Le MFA réduit de plus de 99 % le risque de compromission de compte selon Microsoft. Cependant, toutes les méthodes MFA ne se valent pas en termes de sécurité et d'expérience utilisateur.

SMS/Appel vocal : le code à usage unique est envoyé par SMS ou communiqué par appel vocal. C'est la méthode la plus simple à déployer mais aussi la moins sécurisée. Le SMS est vulnérable au SIM swapping (l'attaquant convainc l'opérateur de transférer le numéro sur une autre carte SIM), à l'interception SS7 (exploitation de vulnérabilités du protocole de signalisation télécom), et aux malwares mobiles capables de lire les SMS entrants. L'ANSSI déconseille le SMS comme second facteur pour les accès sensibles. Le NIST le considère comme un facteur « restreint » (restricted authenticator).

TOTP (Time-based One-Time Password) : une application d'authentification (Google Authenticator, Microsoft Authenticator, Authy) génère un code à 6 chiffres renouvelé toutes les 30 secondes, basé sur un secret partagé et l'horodatage. Plus sécurisé que le SMS car le code est généré localement sans transmission réseau. Vulnérable au phishing en temps réel (l'attaquant intercepte le code pendant sa période de validité) mais résistant au SIM swapping et à l'interception réseau. Bon compromis sécurité/facilité de déploiement pour la plupart des entreprises.

Push notification : l'utilisateur reçoit une notification sur son smartphone et approuve la connexion d'un simple tap. Plus ergonomique que la saisie d'un code mais vulnérable aux attaques de « MFA fatigue » (l'attaquant déclenche des dizaines de notifications jusqu'à ce que l'utilisateur, excédé, approuve par erreur). Les implémentations modernes (Microsoft Number Matching, Google contextual prompts) atténuent ce risque en demandant à l'utilisateur de confirmer un numéro affiché sur l'écran de connexion.

FIDO2/WebAuthn avec clé de sécurité physique (YubiKey, Feitian, Google Titan) : la méthode la plus sécurisée actuellement disponible. L'authentification repose sur un échange cryptographique à clé publique entre la clé physique et le serveur, résistant par conception au phishing (la clé vérifie l'origine de la requête et refuse de s'authentifier sur un site frauduleux). Google a rapporté zéro compromission de compte sur plus de 85 000 employés équipés de clés FIDO2 depuis 2017. Le coût unitaire (25-50 € par clé) est largement compensé par la réduction des incidents et du support lié aux mots de passe. Recommandé pour tous les comptes de niveaux 3 et 4.

Stratégie de déploiement d'un gestionnaire de mots de passe en entreprise

Le gestionnaire de mots de passe est l'outil complémentaire indispensable de toute politique de mots de passe ambitieuse. Il résout le problème fondamental de la mémorisation : en stockant de manière sécurisée tous les mots de passe dans un coffre-fort chiffré, il permet aux utilisateurs d'adopter des mots de passe longs, complexes et uniques pour chaque service sans surcharge cognitive. Pour un comparatif détaillé des solutions, consultez notre comparatif des gestionnaires de mots de passe.

Le déploiement en entreprise suit plusieurs phases. La phase pilote (4-6 semaines) consiste à déployer la solution auprès d'un groupe test de 20-50 utilisateurs volontaires, incluant des profils techniques et non techniques, pour valider l'ergonomie, identifier les problèmes d'intégration et affiner la configuration. La phase de déploiement (2-3 mois) s'effectue par vagues successives, accompagnées de sessions de formation individuelles ou en petit groupe. La phase de consolidation (continue) vise à atteindre un taux d'adoption de 100 % en identifiant et accompagnant les utilisateurs réticents.

Pour les entreprises utilisant Bitwarden Enterprise, le déploiement s'appuie sur l'intégration SSO (SAML 2.0 ou OIDC), la synchronisation avec l'annuaire Active Directory ou Azure AD via Bitwarden Directory Connector, les politiques d'organisation (exigences du mot de passe maître, activation du MFA obligatoire), et les collections partagées pour les mots de passe d'équipe avec contrôle d'accès granulaire.

Pour les environnements air-gapped (déconnectés d'Internet) ou les organisations ayant des exigences de souveraineté strictes, KeePass (certifié par l'ANSSI, CSPN) offre une alternative entièrement locale. La base de données KeePass (fichier .kdbx chiffré en AES-256) peut être stockée sur un partage réseau interne avec synchronisation via des mécanismes standard. L'écosystème de plugins permet d'ajouter des fonctionnalités (auto-type, intégration navigateur, générateur de phrases de passe).

Politiques de mots de passe Active Directory : GPO et Fine-Grained Password Policies

Dans les environnements Windows, Active Directory gère nativement les politiques de mots de passe via les Group Policy Objects (GPO) et les Fine-Grained Password Policies (FGPP). La maîtrise de ces mécanismes est essentielle pour implémenter techniquement la politique de mots de passe définie par l'organisation.

La Default Domain Policy définit la politique de mots de passe par défaut applicable à tous les utilisateurs du domaine. Elle configure : la longueur minimale (Minimum Password Length), l'historique des mots de passe (Enforce Password History — empêche la réutilisation des N derniers mots de passe), l'âge maximum du mot de passe (Maximum Password Age — durée avant expiration forcée), l'âge minimum (Minimum Password Age — délai avant de pouvoir changer à nouveau, empêche le cyclage rapide pour contourner l'historique), et les exigences de complexité (Password Must Meet Complexity Requirements).

Les Fine-Grained Password Policies (FGPP), disponibles depuis Windows Server 2008, permettent de définir des politiques différentes par groupe d'utilisateurs au sein du même domaine. C'est le mécanisme idéal pour implémenter les quatre niveaux d'accès : une FGPP pour les utilisateurs standard (12 caractères, pas d'expiration), une pour les utilisateurs élevés (14 caractères, expiration 12 mois), une pour les administrateurs (16 caractères, expiration 6 mois). Les FGPP se configurent via ADAC (Active Directory Administrative Center) ou PowerShell (New-ADFineGrainedPasswordPolicy).

Azure AD Password Protection complète le dispositif en interdisant les mots de passe figurant sur une liste personnalisable de mots de passe interdits (nom de l'entreprise, noms de produits, expressions courantes dans l'organisation). Cette fonctionnalité fonctionne aussi pour les mots de passe changés on-premises via un agent installé sur les contrôleurs de domaine, offrant une protection contre les mots de passe prévisibles même dans les environnements hybrides.

Détection des mots de passe compromis : Have I Been Pwned et audit Active Directory

La détection proactive des identifiants compromis est un complément indispensable à la politique de mots de passe. Deux approches complémentaires permettent d'identifier les comptes à risque avant qu'ils ne soient exploités par un attaquant.

L'intégration de Have I Been Pwned (HIBP) dans la politique de mots de passe permet de vérifier automatiquement si un mot de passe choisi par un utilisateur figure dans les bases de données de fuites connues (plus de 13 milliards d'identifiants indexés). L'API HIBP utilise un mécanisme de k-anonymity qui ne transmet que les 5 premiers caractères du hash SHA-1 du mot de passe, garantissant que le mot de passe complet n'est jamais exposé. Plusieurs outils permettent cette intégration avec Active Directory : Specops Password Policy, Lithnet Password Protection (open source), et les scripts PowerShell DSInternals.

L'audit régulier des hashes Active Directory permet de détecter les mots de passe faibles dans l'annuaire existant. L'outil DSInternals (PowerShell) permet d'extraire les hashes NTLM de l'annuaire et de les comparer à des dictionnaires et listes de mots de passe compromis. Cette opération doit être réalisée trimestriellement par l'équipe sécurité, avec un rapport identifiant les comptes à risque et un suivi de la mise en conformité. Pour approfondir les techniques d'audit Active Directory, consultez notre comparatif des outils d'audit AD.

Il est important de noter que l'extraction des hashes NTLM nécessite des privilèges élevés (Domain Admin) et doit être réalisée dans un cadre contrôlé, avec autorisation écrite de la direction et traçabilité complète de l'opération. Les résultats de l'audit (liste des comptes avec mots de passe faibles) sont eux-mêmes des données sensibles qui doivent être protégées et communiquées uniquement aux personnes habilitées.

L'avenir sans mot de passe : Passwordless et passkeys

La technologie passwordless (authentification sans mot de passe) représente l'avenir de l'authentification. Le concept repose sur l'élimination complète du mot de passe au profit de facteurs d'authentification intrinsèquement plus sûrs : clé de sécurité physique FIDO2, biométrie locale (Windows Hello, Touch ID, Face ID), ou passkey synchronisée (credential FIDO stocké dans le cloud du système d'exploitation et synchronisé entre les appareils de l'utilisateur).

Les passkeys, standardisés par l'alliance FIDO et soutenus par Apple, Google et Microsoft, sont la concrétisation grand public du passwordless. Techniquement, un passkey est une paire de clés cryptographiques (publique/privée) liée à un site web spécifique. La clé privée est stockée de manière sécurisée sur l'appareil de l'utilisateur (enclave sécurisée, TPM) et ne le quitte jamais. L'authentification se fait par un challenge-response cryptographique, résistant par conception au phishing, au replay et au credential stuffing.

Toutefois, le passwordless intégral reste un objectif à moyen terme pour la plupart des entreprises. Les obstacles sont multiples : incompatibilité de certaines applications legacy, coût de déploiement des clés physiques à grande échelle, problématiques de récupération de compte en cas de perte du facteur d'authentification, et résistance au changement des utilisateurs. La politique de mots de passe reste donc indispensable pendant la transition, qui s'étendra probablement sur 3 à 5 ans pour la plupart des organisations.

La stratégie recommandée est une approche hybride : déployer le passwordless en priorité pour les cas d'usage les plus exposés (accès administrateurs, accès distants, applications cloud), maintenir des mots de passe robustes avec MFA pour les applications ne supportant pas encore le passwordless, et planifier la migration progressive vers le passwordless intégral à mesure que l'écosystème applicatif évolue.

Gestion des mots de passe des comptes de service

Les comptes de service représentent un risque particulier car leurs mots de passe sont souvent définis lors de l'installation d'une application et ne sont jamais changés par la suite. Ces comptes disposent fréquemment de privilèges élevés (accès aux bases de données, droits d'administration sur des serveurs) et sont les cibles privilégiées des attaques de type Kerberoasting.

La politique doit prévoir des règles spécifiques pour les comptes de service : mots de passe d'au moins 25 caractères générés aléatoirement (les comptes de service ne nécessitent pas de mémorisation humaine), rotation automatique (via Group Managed Service Accounts — gMSA — dans Active Directory, ou via un coffre-fort comme CyberArk ou HashiCorp Vault), suppression de tout SPN inutile (réduction de la surface d'attaque Kerberoasting), et inventaire exhaustif et à jour de tous les comptes de service avec leurs permissions.

Les Group Managed Service Accounts (gMSA) d'Active Directory constituent la meilleure solution pour les comptes de service Windows : le mot de passe est géré automatiquement par Active Directory (240 caractères, rotation automatique tous les 30 jours), n'est connu d'aucun humain, et ne peut pas être utilisé pour une connexion interactive. La migration des comptes de service classiques vers des gMSA devrait être une priorité dans tout programme de sécurisation Active Directory.

Formation et sensibilisation des utilisateurs

La politique de mots de passe la plus rigoureuse est inefficace si les utilisateurs ne comprennent pas les raisons des contraintes et ne disposent pas des outils pour les respecter. Un programme de sensibilisation dédié doit accompagner le déploiement de la politique.

La formation doit couvrir : pourquoi les mots de passe faibles sont dangereux (démonstration en direct d'un craquage de mot de passe court), comment créer un mot de passe robuste (technique de la phrase de passe, utilisation du générateur intégré au gestionnaire), comment utiliser le gestionnaire de mots de passe (installation, création du coffre, remplissage automatique, partage sécurisé), comment reconnaître une tentative de phishing ciblant les identifiants, et que faire en cas de suspicion de compromission (procédure de signalement, changement immédiat).

Les exercices pratiques sont plus efficaces que les présentations théoriques : demander aux participants de tester la robustesse de leurs mots de passe actuels (sur un outil interne, jamais sur un site tiers), organiser un challenge de création de phrases de passe mémorisables, et réaliser une simulation de phishing ciblant les identifiants pour mesurer le niveau de vigilance des collaborateurs.

Politique de mots de passe et conformité réglementaire

La politique de mots de passe s'inscrit dans un cadre réglementaire de plus en plus exigeant. Le RGPD impose des mesures techniques appropriées pour protéger les données personnelles, et la CNIL considère qu'une politique de mots de passe robuste est une mesure élémentaire dont l'absence constitue un manquement sanctionnable. La directive NIS 2 exige des mesures de gestion des identités et des accès, incluant explicitement les politiques d'authentification. L'ISO 27001 (Annexe A, contrôle A.9.2.4) requiert une gestion sécurisée des informations d'authentification secrètes. Les cyber-assureurs conditionnent de plus en plus leurs couvertures à la démonstration d'une politique de mots de passe formalisée et d'un déploiement MFA effectif.

Indicateurs de performance et suivi de la politique

Le suivi de l'efficacité de la politique de mots de passe repose sur des indicateurs mesurables qui doivent être revus trimestriellement. Les KPIs recommandés incluent : le pourcentage de comptes conformes à la politique (objectif : 100 %), le nombre de comptes avec mots de passe compromis détectés (objectif : tendance baissière), le taux d'adoption du gestionnaire de mots de passe (objectif : >90 % à 6 mois), le taux de couverture MFA (objectif : 100 % des accès distants, >80 % des accès internes), le nombre d'incidents liés à des identifiants compromis (objectif : 0), et le temps moyen de changement de mot de passe après notification de compromission (objectif : <4 heures).

Ces indicateurs doivent être présentés lors du comité de sécurité mensuel ou trimestriel et intégrés au tableau de bord de la sécurité de l'information. Les écarts significatifs doivent faire l'objet d'actions correctives documentées et suivies. Pour aller plus loin dans la conformité, consultez notre article sur la conformité RGPD 2026 qui aborde les mesures de sécurité exigées par la réglementation.

Erreurs courantes dans les politiques de mots de passe en entreprise

L'analyse des incidents de sécurité et des audits révèle des erreurs récurrentes dans la conception et l'application des politiques de mots de passe. La première erreur est l'absence de politique formalisée : de nombreuses entreprises se contentent de paramètres Active Directory par défaut sans document écrit définissant les exigences et leur justification. La deuxième erreur est l'application d'une politique uniforme sans tenir compte des niveaux de sensibilité des accès, imposant les mêmes contraintes au stagiaire et à l'administrateur de domaine. La troisième erreur concerne les comptes de service oubliés : ces comptes techniques, souvent dotés de privilèges élevés, échappent fréquemment aux politiques de mots de passe et conservent des identifiants définis à l'installation, parfois depuis des années. La quatrième erreur est le stockage non sécurisé des mots de passe administrateurs dans des fichiers Excel, des notes partagées ou des post-it. La cinquième erreur est l'absence de procédure de révocation rapide en cas de départ d'un collaborateur : les identifiants partagés (comptes de service, accès fournisseurs) ne sont pas changés, maintenant un accès résiduel potentiellement exploitable. La sixième erreur est la négligence des mots de passe des équipements réseau, des imprimantes connectées, des caméras IP et des autres objets IoT qui conservent souvent leurs identifiants constructeur par défaut, offrant un point d'entrée trivial sur le réseau de l'entreprise. Enfin, la dernière erreur fréquente est l'absence de tests réguliers : une politique qui n'est pas auditée périodiquement (craquage des hashes, vérification HIBP, revue des comptes de service) est une politique théorique dont l'application réelle est inconnue.

Questions fréquentes sur la politique de mots de passe

Faut-il encore obliger les utilisateurs à changer leur mot de passe régulièrement ?

Les recommandations actuelles de l'ANSSI et du NIST convergent vers l'abandon du renouvellement périodique obligatoire pour les comptes standard. Les études montrent que le changement forcé conduit les utilisateurs à adopter des patterns prévisibles (incrémenter un chiffre, changer une lettre) qui réduisent la sécurité effective. Le changement doit être exigé uniquement en cas de compromission avérée ou suspectée, ou après un incident de sécurité. Exception : les comptes à privilèges élevés (niveaux 3-4) doivent conserver un renouvellement périodique car les conséquences d'une compromission sont disproportionnées.

Quelle est la longueur minimale recommandée pour un mot de passe ?

L'ANSSI recommande un minimum de 12 caractères pour les accès standard, 14 pour les accès élevés, 16 pour les comptes administrateurs et 20+ pour les accès critiques. Le NIST fixe un plancher à 8 caractères mais recommande fortement des mots de passe plus longs. Notre recommandation est d'adopter les seuils ANSSI, qui représentent un bon équilibre entre sécurité et utilisabilité, surtout combinés avec un gestionnaire de mots de passe qui élimine la contrainte de mémorisation.

Le MFA est-il suffisant pour compenser un mot de passe faible ?

Non. Le MFA ajoute une couche de protection mais ne rend pas un mot de passe faible acceptable. Certaines méthodes MFA sont contournables (SMS via SIM swap, push via MFA fatigue), et des vulnérabilités dans l'implémentation du MFA sont régulièrement découvertes. La politique doit exiger à la fois un mot de passe robuste ET le MFA : la défense en profondeur impose de ne jamais compter sur un seul mécanisme de protection.

Comment gérer les mots de passe des applications legacy qui ne supportent pas le MFA ?

Les applications legacy représentent un défi courant. Plusieurs stratégies sont envisageables : placer l'application derrière un reverse proxy d'authentification (comme Azure AD Application Proxy ou Keycloak) qui ajoute le MFA en amont de l'application ; renforcer les exigences de mot de passe pour ces applications (longueur minimale de 16 caractères) ; restreindre l'accès réseau à l'application (segmentation réseau, accès uniquement depuis des postes gérés sur le réseau interne) ; et planifier la migration vers une application supportant les protocoles modernes d'authentification.

Quel est le coût du déploiement d'une politique de mots de passe robuste ?

Le coût varie considérablement selon la taille de l'organisation et les solutions choisies. Pour une PME de 100 utilisateurs, les estimations sont : gestionnaire de mots de passe Bitwarden Enterprise (environ 5 €/utilisateur/mois soit 6 000 €/an), clés FIDO2 pour les administrateurs (30 clés × 50 € = 1 500 € one-shot), formation et sensibilisation (2-4 demi-journées = 2 000-4 000 €), configuration Active Directory et FGPP (2-3 jours de conseil = 3 000-5 000 €). Le coût total de première année est d'environ 15 000-20 000 €, à comparer au coût moyen d'un incident de sécurité lié à des identifiants compromis (estimé à 150 000-500 000 € pour une PME).

Comment convaincre la direction d'investir dans la politique de mots de passe ?

L'argumentaire doit combiner le risque financier (coût d'une violation de données : amendes RGPD jusqu'à 4 % du CA, frais de remédiation, perte de clientèle), le risque réglementaire (NIS 2 impose des mesures de gestion des identités et des accès, la CNIL sanctionne l'insuffisance des mesures de sécurité des mots de passe), le risque assurantiel (les cyber-assureurs exigent de plus en plus le MFA et une politique de mots de passe formalisée comme condition de couverture), et le benchmark sectoriel (« nos concurrents et partenaires ont déjà déployé ces mesures, notre retard nous expose et nous exclut potentiellement de certains marchés »).

Comment gérer la transition vers le passwordless ?

La transition doit être progressive et planifiée. Phase 1 (0-6 mois) : déployer le MFA sur tous les comptes à privilèges et tous les accès distants, avec une priorité sur FIDO2 pour les administrateurs. Phase 2 (6-18 mois) : déployer les passkeys sur les applications cloud compatibles (Microsoft 365, Google Workspace, applications SSO). Phase 3 (18-36 mois) : migrer progressivement les applications internes vers l'authentification passwordless via un fournisseur d'identité centralisé (Azure AD, Okta, Keycloak). Phase 4 (36+ mois) : atteindre le passwordless par défaut pour tous les nouveaux déploiements, les mots de passe ne subsistant que pour les applications legacy en cours de remplacement.

Quelle différence entre une politique de mots de passe et une charte informatique ?

La charte informatique est un document global qui encadre l'ensemble des usages numériques en entreprise et qui a valeur juridique une fois annexée au règlement intérieur. La politique de mots de passe est un document technique plus spécifique qui détaille les exigences de sécurité des authentifications. Les deux sont complémentaires : la charte contient un article résumant les règles de mot de passe et renvoie à la politique pour les détails techniques. La politique de mots de passe n'a pas besoin d'être annexée au règlement intérieur mais doit être diffusée à tous les utilisateurs.

Inspiré des recommandations de cybermalveillance.gouv.fr (licence Etalab 2.0), de l'ANSSI et de la CNIL.

Conclusion

La prévention et la préparation restent les meilleures armes face aux cybermenaces. Téléchargez cette ressource, diffusez-la dans votre organisation et n'hésitez pas à nous contacter pour un accompagnement personnalisé.