L'ANSSI, autorité nationale de référence en cybersécurité, le répète depuis des années : la grande majorité des intrusions commence par un identifiant compromis.
Face à ces menaces, elle publie régulièrement des recommandations destinées à consolider la sécurité des mots de passe : des pratiques, politiques et outils pour protéger les identifiants d'accès contre les tentatives de vol ou de compromission.
Vous êtes DSI, RSSI ou acteur de la sécurité informatique ? Découvrez les 5 règles prioritaires de l’ANSSI à mettre en place pour renforcer la sécurité des mots de passe en 2026 dans votre organisation.
Pourquoi les recommandations de l'ANSSI sur les mots de passe sont-elles incontournables ?
L'ANSSI, autorité de référence en cybersécurité en France
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l'organisme de référence pour les entreprises et les administrations françaises en matière de cybersécurité. Elle joue un rôle central dans la définition des bonnes pratiques en matière de cybersécurité et publie régulièrement des recommandations opérationnelles pour contrer les menaces informatiques les plus courantes.
Parmi ces préconisations, la gestion des mots de passe occupe une place stratégique, car les accès compromis figurent parmi les principales causes d’intrusions malveillantes, notamment dans le contexte professionnel.
Les cybermenaces qui pèsent sur l'authentification en 2026
Les attaques à l’encontre des systèmes d’authentification n’ont cessé d’augmenter ces dernières années. En 2024 notamment, le nombre de cyberattaques visant les mots de passe a explosé, passant de 4 000 à 7 000 tentatives par seconde en moyenne.1
Le phishing reste l’une des méthodes les plus courantes pour compromettre des identifiants, en deuxième position des préoccupations cyber des DSI et RSSI, juste derrière la compromission des accès d'après notre étude en collaboration avec OpinionWay.
En usurpant l’identité d’un service de confiance, les attaquants parviennent à récupérer les mots de passe des utilisateurs imprudents. Ces identifiants sont ensuite exploités pour mener des attaques par force brute ou de credential stuffing, une technique pour tester automatiquement des combinaisons d’identifiants sur divers services en ligne.
Plus inquiétant encore, les bases de données contenant des millions d’identifiants volés circulent librement sur le dark web. Une fois récupérées, ces informations sont utilisées pour contourner les systèmes d’authentification insuffisamment sécurisés.
Sans mesures de sécurité des mots de passe adaptées, les entreprises s’exposent donc à des violations de données massives et à des risques financiers considérables.
Optimiser la sécurité : repenser nos habitudes de mots de passe
La gestion des mots de passe en entreprise repose encore trop souvent sur des pratiques risquées ou obsolètes. Par exemple, le changement fréquent de mot de passe était auparavant encouragé par l’ANSSI, mais cette approche a conduit les utilisateurs à adopter des mots de passe plus courts et plus simples, souvent prévisibles et donc vulnérables aux cyberattaques.2
La réutilisation des mots de passe est un autre problème majeur. Trop souvent, les collaborateurs utilisent les mêmes identifiants pour plusieurs comptes, ce qui augmente considérablement les risques en cas de fuite de données. Un mot de passe compromis sur un service peut ainsi être utilisé pour accéder à d’autres ressources sensibles de l’entreprise, entraînant potentiellement des violations de données en cascade.
Face à ces constats, il devient impératif d’adopter une approche plus rigoureuse, fondée sur des recommandations éprouvées. L’ANSSI propose aujourd’hui une stratégie combinée intégrant à la fois des mots de passe robustes, une gestion sécurisée des secrets et des méthodes complémentaires, comme l’authentification multifacteurs.
5 recommandations de l'ANSSI pour sécuriser les mots de passe en 2026
Pour renforcer la sécurité des mots de passe en 2026, l'ANSSI préconise une approche globale combinant plusieurs mesures3 :
1. Privilégier des mots de passe longs et robustes
La longueur d’un mot de passe est un facteur déterminant pour sa résistance aux attaques. L’ANSSI recommande désormais d’utiliser des mots de passe, d’au moins 12 à 16 caractères (voire plus pour les accès les plus critiques et les comptes à privilèges), en mettant l’accent sur l’entropie avant tout. C'est l'indicateur à optimiser : elle mesure le degré d'imprévisibilité d'un secret. L’entropie d’un mot de passe mesure sa complexité, ce qui constitue un critère pour évaluer son niveau de résistance aux cyberattaques.
Comment créer un mot de passe sécurisé selon l'ANSSI ?
1. Utilisez un générateur de mots de passe pour créer des secrets aléatoires et très sécurisés, qui respectent les recommandations de l’ANSSI.
2. Optez pour des phrases de passe : longues, mémorisables, mais enrichies de caractères spéciaux.
Contrairement aux combinaisons aléatoires difficiles à mémoriser, une phrase de passe permet d’allier complexité et facilité de mémorisation. Par exemple, un secret comme "L€ChatBleuD@nseS0uLaPluie45!*" sera bien plus résistant qu’un mot de passe court, tout en étant plutôt facile à retenir.
3. Adaptez la robustesse au contexte d'utilisation : les accès critiques exigent des protections renforcées, comme l’authentification multi-facteurs ou l’usage d’une clef de sécurité matérielle. En revanche, pour des comptes à faible impact, une phrase de passe robuste peut suffire.
💡 Conseil pratique : Un outil comme LockPass intègre un générateur de mots de passe conforme aux recommandations ANSSI et permet de paramétrer les règles de complexité par équipe, directement depuis la console d'administration.
2. Renforcer l'authentification avec la MFA
L’authentification multifacteurs constitue une barrière supplémentaire face aux tentatives d’intrusion. Elle repose sur la combinaison de plusieurs facteurs d’authentification : connaissance (mot de passe), possession (clef de sécurité, smartphone…) et intrinsèque (empreinte digitale, scan de l’iris, reconnaissance faciale…).
Ce que recommande l'ANSSI pour le second facteur d’authentification:
❌ Évitez les SMS OTP : vulnérables au SIM swapping
✅ Privilégiez les applications TOTP ou les clés de sécurité physiques4
✅ Rendez la MFA obligatoire pour les accès aux ressources sensibles
3. Sécuriser le stockage et le partage des mots de passe
La sécurité des mots de passe en entreprise ne s'arrête pas à leur création ; leur stockage et leur partage nécessitent également une attention toute particulière. Le chiffrement des bases de données de mots de passe est préconisé pour protéger ces informations sensibles en cas de violation de données. C'est ce qui transforme les mots de passe en une suite de caractères illisibles pour toute personne ne disposant pas d’un droit d’accès, les rendant inexploitables même en cas de vol.
Ce chiffrement doit être robuste, utilisant des algorithmes éprouvés et des clefs de chiffrement sécurisées, avec des procédures détaillées de gestion de ces clefs pour éviter leur compromission.
L'ANSSI recommande l'usage de coffres-forts numériques d'entreprise pour centraliser la gestion des identifiants. Ces outils offrent :
-
Chiffrement AES-256 des données
-
Contrôle granulaire des droits d'accès par utilisateur ou groupe
-
Journaux d'audit pour la traçabilité des actions.
✏️ À noter : Le partage de mots de passe par email ou messagerie instantanée est formellement déconseillé. Même chiffré, il doit impérativement se faire sur des canaux sécurisés. Ici aussi, l’usage des coffres-forts numériques est recommandé car ils permettent de limiter le nombre de personnes ayant accès aux mots de passe et d’attribuer des droits d’accès granulaires en fonction des besoins.
4. Protéger les accès avec une politique de gestion de mots de passe adaptée
Comme le souligne l’ANSSI, la protection des accès en entreprise passe par la mise en place d'une politique de gestion des mots de passe robuste et adaptée. Elle est efficace si elle est écrite, diffusée, et techniquement appliquée (pas seulement déclarée dans une charte).
Les éléments important pour une politique de mots de passe :
-
Interdire l'enregistrement automatique des mots de passe dans les navigateurs (Chrome, Firefox, Edge), c'est une pratique certes commode mais risquée, car elle expose l’intégralité des mots de passe en cas de compromission de l’appareil.
- Définir des règles de complexité différentes selon les équipes et le niveau de sensibilité des données manipulées : les collaborateurs accédant à des informations confidentielles ou critiques doivent être soumis à des exigences plus strictes, comme une longueur minimale plus importante, ou une complexité accrue.
- Intégrer une sensibilisation régulière des collaborateurs à l'ingénierie sociale et aux attaques par phishing, ces techniques étant fréquemment utilisées pour subtiliser des identifiants. Des formations et des simulations d'attaques sont ici indispensables.
💡 Conseil pratique : LockPass permet de définir et d'appliquer des politiques de mots de passe différenciées par groupe d'utilisateurs, avec application automatique des règles (sans intervention manuelle des équipes).
5. Bannir les mauvaises pratiques de gestion des mots de passe
Les mauvaises pratiques pour la gestion des mots de passe en entreprise persistent parce qu'elles sont pratiques mais elles constituent des vulnérabilités pour votre système d'information.
Par exemple, il est proscrit de stocker ses mots de passe en clair, que ce soit dans un fichier texte, un document Excel, ou tout autre support non sécurisé. De même et comme évoqué plus haut, il est impératif de bloquer la possibilité pour les collaborateurs d'enregistrer leurs mots de passe dans leurs navigateurs.
Aussi, l'utilisation de mots de passe trop simples est à bannir. Les secrets prévisibles, tels que le nom de l'entreprise, l'année de naissance, ou des combinaisons courantes, sont extrêmement faciles à deviner, que ce soit par des humains ou par des logiciels automatisés. Ces mots de passe faibles offrent alors une porte d'entrée toute trouvée aux hackers, qui peuvent ensuite compromettre la sécurité de l'ensemble du système d'information.
| ❌ Pratique à bannir | ✅ Alternative recommandée |
| Mots de passe envoyés et stockés en clair (fichier texte, Excel) | Coffre-fort numérique Gestionnaire de mots de passe |
| Réutilisation du même mot de passe | Mot de passe fort et unique par compte |
| Mots de passe prévisibles (nom de l'entreprise, date de naissance) | Phrases de passe aléatoires ou générateur |
| Partage par email ou messagerie | Partage collaboratif basé sur les rôles |
Comment mettre en oeuvre les recommandations de l'ANSSI en entreprise ?
Déployer un gestionnaire de mots de passe certifié par l'ANSSI
Pour une gestion des accès et des identités optimale, le choix d'un gestionnaire de mots de passe certifié par l'ANSSI permet d’élever la sécurité à un niveau supérieur. Ce type d'outil garantit non seulement la sécurité, mais aussi la conformité aux normes les plus strictes. Il assure notamment un chiffrement de bout en bout des données, qu'elles soient en transit ou stockées, ainsi qu’une authentification multi-facteurs systématique pour l’accès au coffre-fort numérique.
Comment un gestionnaire de mots de passe améliore-t-il la sécurité des mots de passe ?
LockPass, par exemple, est une solution conçue spécifiquement pour les entreprises, qui répond aux exigences de sécurité de l’ANSSI (certifié CSPN). L’outil offre un chiffrement de bout en bout des données, une authentification multifacteurs, une gestion granulaire des accès, et une traçabilité complète des actions réalisées.
LockPass permet également de définir et d’appliquer des politiques de mots de passe personnalisées, adaptées à chaque équipe, de manière centralisée et sécurisée.
Atout non négligeable : son interface intuitive et sa simplicité d’utilisation facilitent son adoption en entreprise, pour allier sécurité et parcours utilisateur fluide.
Former les collaborateurs à la sécurité des mots de passe
La formation et la sensibilisation des collaborateurs aux bonnes pratiques cyber sont des éléments indispensables pour garantir l'efficacité d'une politique de sécurité des mots de passe.
Cette sensibilisation doit être régulière, sous la forme de campagnes internes et de formations ciblées en lien avec les menaces actuelles. Il est important d'aborder les enjeux de la sécurité des mots de passe, l'ingénierie et dangers du phishing, et bien sûr, les règles à suivre pour créer, utiliser et stocker les mots de passe.
Pour tester la vigilance des équipes, les simulations de phishing sont des tests très efficaces. Ces fausses attaques permettent de voir qui cliquerait sur un lien malveillant ou fournirait ses identifiants, et ainsi d'identifier les besoins en formation complémentaire.
Enfin, une politique de mot de passe clairement formalisée et compréhensible, même pour les non-techniques, est indispensable. Elle doit expliquer les règles de création, de partage et de stockage des mots de passe, être diffusée largement et rester facilement accessible. Du côté des solutions dédiées, un outil user-friendly comme LockPass peut grandement faciliter la mise en place et l'application de cette politique auprès de tous les collaborateurs, même les moins techniques.
Surveiller et auditer régulièrement les accès en entreprise
La surveillance et l'audit régulier des authentifications et des mots de passe sont nécessaires pour s'assurer de l'efficacité des mesures de sécurité et détecter d'éventuelles vulnérabilités.
Pour ce faire, il est recommandé d'utiliser des outils capables de détecter les comportements anormaux, comme les tentatives d’accès répétées ou depuis des emplacements inhabituels. Des solutions comme les systèmes de détection d’intrusion (IDS) et les systèmes de prévention d’intrusion (IPS) permettent d’identifier et de bloquer les tentatives suspectes en temps réel, notamment les attaques par force brute visant des comptes utilisateurs.
En complément, les outils d’analyse du comportement des utilisateurs (UEBA) facilitent la détection des accès inhabituels ou frauduleux. Enfin, un système de gestion des événements de sécurité (SIEM) centralise ces alertes et automatise leur traitement par les équipes techniques.
L’audit des accès doit être réalisé régulièrement pour vérifier que seules les personnes autorisées disposent de droits sur les ressources critiques. L’identification et la suppression des comptes fantômes, ainsi que la révision périodique des privilèges des utilisateurs sont des mesures à mettre en place suite à cet audit, pour limiter les risques d’abus ou d’usurpation d’identité.
Vous souhaitez évaluer le niveau de maturité de votre gestion des mots de passe ? Demandez une démo de LockPass pour que nos équipes vous accompagne dans la mise en conformité avec les recommandations ANSSI.
Sources :
2 https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite
