Quelles politiques de mots de passe adopter pour mon entreprise ?

Une politique de mots de passe, c'est l'ensemble des règles que vous définissez pour encadrer la façon dont vos collaborateurs créent, utilisent et renouvellent leurs identifiants d'accès. Longueur minimale, complexité requise, fréquence de changement, partage autorisé ou non : tout ça, c'est votre politique.

Voyons ensemble où vous en êtes. Trois niveaux de politique de gestion de mots de passe, (qui vont du minimum nécessaire à une protection avancée) permettent de situer votre maturité actuelle et d'identifier les prochaines étapes.

Que vous soyez une petite équipe, une entreprise en pleine croissance ou un grand groupe, mettre en place une politique de mots de passe ne se résume pas à imposer des règles à vos équipes. L’enjeu est avant tout de garantir la sécurité des données en veillant à ce que les pratiques de sécurité soient bien appliquées par les collaborateurs.

Si un grand nombre d’entreprises laissent encore une certaine liberté à leurs employés dans le choix de leurs mots de passe, elles sont de plus en plus nombreuses à  opter pour des politiques de mot de passe adaptées aux spécificités de chaque utilisateur et au niveau de sensibilité des informations qu’il gère.

3 niveaux d'implémentation de politique de sécurité de mots de passe

Je n'ai aucune politique de mots de passe dans mon entreprise

Beaucoup de petites entreprises (PME)ou structures en croissance n’ont pas encore instauré de politique formelle pour la gestion des mots de passe. Les utilisateurs choisissent leurs propres mots de passe, partagent les accès sur des canaux non sécurisés comme l’email ou le téléphone, et réutilisent le même mot de passe sur cinq comptes différents.

Risques :

• Vulnérabilité accrue aux cyberattaques : des mots de passe simples, faibles ou réutilisés sont crackés en quelques secondes par les hackers avec des outils automatisés. C'est du credential stuffing : les attaquants testent des millions de combinaisons issues de fuites passées sur tous vos services.
  
  
• Fuite de données sensibles : l’absence de contrôle sur la gestion des mots de passe peut mener à une compromission des données sensibles, impactant la confidentialité des données de l'entreprise et des clients.
  
  
• Non-conformité réglementaire : la directive NIS 2 (entrée en vigueur en 2024) par exemple  imposent des mesures techniques de sécurité des accès. Sans politique formalisée, vous vous exposez à des sanctions financières qui peuvent atteindre 4 % de votre chiffre d'affaires mondial.
  
  

Par où commencer - conseils pratiques :

• Instaurez rapidement une politique de mots de passe : fixez des règles de complexité minimales (longueur, types de caractères) et sans fréquence de renouvellement. L'ANSSI le déconseille : ça génère plus de contournements que de sécurité.
  
  
• Utilisez un gestionnaire de mots de passe d'entreprise pour générer, centraliser et sécuriser les identifiants sans alourdir le quotidien des employés.
  
  
• Formez et sensibiliser les collaborateurs aux bonnes pratiques de sécurité. Une session courte avec des exemples concrets de phishing : ça suffit à changer les comportements.

J'ai une politique de mots de passe globale (la même règle pour tous les employés)

Certaines entreprises optent pour une politique de mots de passe uniforme pour tous leurs employés, avec les mêmes exigences de sécurité, quel que soit leur rôle, c'est plus simple à administrer. Et franchement, c'est déjà beaucoup mieux que rien.

Bien que la politique de mots de passe globale puisse offrir une base de sécurité commune, le niveau de sécurité doit être proportionnel à la sensibilité des données, et une politique uniforme peut manquer de cette nuance. L'ANSSI le précise dans son guide sur l'authentification multifacteur et les mots de passe.

Mais voilà, avec une politique de mots de passe globale, le problème est le suivant : un administrateur système qui accède à vos serveurs critiques n'a pas les mêmes enjeux de sécurité qu'un commercial qui consulte un CRM.

Des règles trop rigides pour certains utilisateurs peuvent entraîner une frustration et un impact sur leur productivité, car ces employés devront peut-être changer leurs mots de passe plus fréquemment ou respecter des critères trop élévés pour des outils peu critiques.

Conseils de Julien Tessier, expert en cybersécurité pour améliorer votre sécurité:

• Identifiez vos profils d'accès : standards, privilégiés, comptes de service partagés. Trois catégories suffisent pour commencer.
  
  
• Adapter la politique de mots de passe en fonction des rôles et privilèges d'accès des utilisateurs.
  
  
• Choisir un gestionnaire de mots de passe capable personnaliser et gérer facilement plusieurs niveaux de politique au sein d'un même outil et de les appliquer automatiquement selon le groupe d'utilisateurs.
  
  
• Clarifier auprès de chaque collaborateur pourquoi certaines règles s’appliquent à eux et pas à d’autres, pour éviter la frustration.

J'ai une politique de mots de passe basée sur la criticité de données et des privilèges des utilisateurs

C'est le niveau recommandé par l'ANSSI, et c'est ce que les organisations les plus matures ont mis en place. Dans une entreprise où les accès sont différenciés selon les rôles et la criticité des données, chaque utilisateur se voit attribuer une politique de mots de passe adaptée à son niveau d’accès. Par exemple, un administrateur aura des règles de sécurité bien plus strictes qu'un simple utilisateur ayant accès à des documents non sensibles.

Vous voyez la différence ? C'est ça, une politique de mots de passe intelligente : protéger fort là où c'est nécessaire, sans pénaliser le reste.

Avantage :

Chaque utilisateur bénéficie des protections adaptées à son rôle et à la criticité des données qu’il gère. Les employés ayant un accès limité peuvent avoir des mots de passe simples mais sécurisés, tandis que ceux ayant accès à des systèmes critiques bénéficieront de protections renforcées, telles que des tokens de sécurité ou une authentification MFA.

Conseils pratiques :

• Synchronisez votre gestionnaire de mots de passe avec votre annuaire d'entreprise (Active Directory, Okta ) pour appliquer automatiquement les bonnes politiques spécifiques par groupe ou entité (filiale).
  
  
• Réévaluer régulièrement les rôles et les niveaux d’accès en fonction de l’évolution des missions des utilisateurs.
  
  
• Faites évoluer les politiques de mots de passe suivant les nouvelles recommandations de l’ANSSI.

Comment mettre en place une politique de mots de passe efficace ?

Pour que votre politique de mots de passe soit réellement efficace, elle doit être comprise et appliquée par tous vos collaborateurs. Voici quelques clés pour une mise en œuvre réussie :

1. Expliquez clairement à vos collaborateurs l’importance des bonnes pratiques de mots de passe et formez-les régulièrement sur les risques encourus.
   
   
2. Mettez en place des audits réguliers pour vous assurer que les mots de passe respectent les règles de sécurité définies par la politique de mots de passe. Cela permet de corriger rapidement les failles potentielles.
   
   Avec LockPass, le gestionnaire de mots de passe dédié aux entreprises, vous  pourrez imposer des politiques de mots de passe, avec un niveau d'exigence de sécurité pour chaque groupe en fonction des risques et des responsabilités associées. Vous garderez également une visibilité en temps réel sur l’ensemble de vos politiques.
   

1. Fournissez à vos équipes des outils ergonomiques tel qu’un gestionnaire de mot de passe pour simplifier la création, le stockage et la gestion des mots de passe. L'un des principaux défis pour les entreprises est de trouver l’outil qui concilie sécurité et expérience utilisateur. 
   
   

Témoignage de Gabriel Mocomble - Responsable infrastructure et réseaux du pôle Automatisme - Tours Métropole : L’un des avantages de LockPass est son ergonomie et cela demande beaucoup moins de formation auprès des équipes et notamment des profils non techniques.

Et vous, où en êtes-vous ? Repartez de l'état actuel de votre politique de mots de passe pour mettre en place des mesures  adaptées à vos besoins spécifiques.

Si vous souhaitez aller plus loin dans la sécurisation de votre organisation, démarrez un essai gratuit LockPass pendant 14 jours. Protégez vos données, réduisez les risques, et assurez la conformité de votre entreprise avec les meilleures pratiques de cybersécurité.

A retenir

• Définition : Une politique de mots de passe fixe les règles de création, gestion et renouvellement des identifiants d'accès de vos collaborateurs.

• Recommandations : 12 caractères pour les accès standards, 16 pour les accès privilégiés, 20+ pour les comptes de service.
• Bonnes pratique : une politique différenciée par rôle protège mieux.
• Adoption : Avec LockPass, les organisations observent un taux d'adoption supérieur à 90 % en quelques mois grâce à l'ergonomie du gestionnaire de mots de passe.