Journée du mot de passe 2026 : état des lieux et bonnes pratiques

À l’occasion de la journée du mot de passe, voici un retour sur l’état des pratiques d’authentification en entreprise et sur les alternatives qui s’imposent. En effet, malgré des années de sensibilisation à ce sujet, la mauvaise gestion des mots de passe (réutilisation d’un mot de passe compromis, mots de passe simple…) reste l’une des principales causes de compromission des systèmes d’information.

Pourquoi les mots de passe restent au cœur des incidents de sécurité ?

Malgré des années de sensibilisation et l’essor des technologies d’authentification, les mots de passe faibles ou compromis demeurent responsables d’une part massive des violations de données.

Dans un contexte professionnel, les risques sont amplifiés :

• Les comptes à privilèges (administrateurs, accès critiques aux serveurs, bases de données, sauvegardes) sont des cibles de choix pour les attaquants.
• Le shadow IT (ensemble des outils numériques adoptés par les collaborateurs en dehors du cadre validé par la DSI) et la multiplication des applications SaaS créent une prolifération de comptes non maîtrisés.
• Le télétravail a élargi la surface d’attaque : les collaborateurs se connectent depuis des réseaux variés, parfois peu sécurisés.
• La réutilisation des mots de passe entre comptes personnels et professionnels reste très répandue, malgré les formations.

Au-delà de la réutilisation, la question de la résilience des mots de passe face aux attaques est souvent sous-estimée. Un mot de passe peut être compromis sans que son propriétaire ne le sache : via une fuite de données sur un service tiers, une attaque par phishing ciblé, ou simplement parce qu’il figurait dans une liste de mots de passe courants exploitée lors d’une attaque par dictionnaire. C’est pourquoila robustesse intrinsèque du mot de passe ne suffit pas : elle doit s’accompagner de mécanismes de détection (surveillance des fuites, alertes de connexion suspecte) et d’une capacité de révocation rapide.

Quels sont les fondamentaux d’une politique de mot de passe robuste en entreprise ?

Une politique de mot de passe efficace ne se résume pas à imposer un minimum de 8 caractères et un changement tous les 90 jours. Ces règles, autrefois standards, sont aujourd’hui remises en cause par le NIST (National Institute of Standards and Technology) et l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Ce que recommandent les référentiels actuels

L’ANSSI, dans ses guides sur la gestion des mots de passe, préconise désormais une approche fondée sur la longueur et la mémorabilité plutôt que sur la complexité arbitraire :

• Privilégier les phrases de passe (passphrases) longues (20 caractères et plus) plutôt que des chaînes de caractères aléatoires difficiles à retenir.
• Abandonner les changements forcés périodiques sans raison valable : cela pousse les utilisateurs à adopter des schémas prévisibles (ajout d’un chiffre en fin de mot de passe, capitalisation de la première lettre…)
• Imposer le changement uniquement en cas de suspicion de compromission avérée ou pour les comptes privilégiés.
• Interdire les mots de passe courants : utiliser des listes noires de mots de passe connus et piratés.

Les exigences minimales incontournables

Quelques règles de base restent indispensables dans un contexte professionnel :

• Longueur minimale : 12 caractères pour les comptes standards, 20+ pour les comptes à privilèges.
• Unicité : aucun mot de passe ne doit être partagé entre deux services ou deux utilisateurs.
• Interdiction des mots de passe génériques : « admin », « Password1 », le nom de l’entreprise… Ces mots de passe font partie des premières tentatives lors d’une attaque par dictionnaire.
• Pas de stockage en clair : les mots de passe doivent être hachés via des algorithmes robustes (bcrypt, Argon2, PBKDF2) côté serveur.

Les outils indispensables pour dépasser les limites humaines

Les gestionnaires de mots de passe : l’outil indispensable que les entreprises sous-utilisent

Nous ne sommes pas faits pour mémoriser des dizaines de mots de passe uniques et complexes. C’est précisément pour cela que les utilisateurs réutilisent les mêmes identifiants ou les notent sur des Post-it. La solution structurelle à ce problème, c’est le gestionnaire de mots de passe d’entreprise.

Un gestionnaire de mots de passe dédié aux environnements professionnels offre :

• Un coffre-fort centralisé et chiffré pour stocker tous les identifiants, accessible par les collaborateurs autorisés selon leur profil.
• La génération automatique de mots de passe forts : plus besoin de compter sur l’inventivité (ou la paresse) des utilisateurs.
• L’audit des accès : qui a accès à quoi, quand, depuis quel poste.
• La révocation immédiate en cas de départ d’un collaborateur ou de compromission.
• L’intégration avec les annuaires (Active Directory, Azure AD / Entra ID) pour une gestion unifiée des identités.
• La gestion des comptes partagés : en cas de départ d’un collaborateur, les mots de passe restent accessibles et maîtrisés par l’organisation, sans rupture de service ni transmission informelle d’identifiants.

Dans cette catégorie, Vaultwarden mérite une attention particulière pour les organisations souhaitant maîtriser intégralement leur infrastructure. Il s’agit d’une implémentation open source et légère du serveur Bitwarden, déployable on-premise sur vos propres serveurs. Les données restent ainsi dans votre périmètre, un argument de poids pour les organisations soumises à des contraintes de conformité (RGPD, HDS, SecNumCloud) ou réticentes à confier leurs identifiants à un cloud tiers. Vaultwarden est compatible avec les clients Bitwarden (desktop, mobile, extensions navigateur) et supporte les fonctionnalités essentielles : coffre-forts partagés, gestion des organisations, MFA, audit des mots de passe faibles ou compromis.

Vous souhaitez mettre en place un gestionnaire de mots de passe souverain au sein de votre organisation ? Nos équipes vous accompagnent de l’installation à la prise en main, en passant par l’intégration à votre annuaire.

Authentification multi-facteurs (MFA) : la couche indispensable au-delà du mot de passe

Un mot de passe, même fort, peut être compromis. Lorsque les solutions utilisées le permettent, l’activation de l’authentification multi-facteurs (MFA ou 2FA) constitue une barrière supplémentaire décisive. Son déploiement doit être systématiquement envisagé sur l’ensemble des accès critiques, même si toutes les applications ne proposent pas cette fonctionnalité nativement.

Le principe : combiner quelque chose que l’on sait (le mot de passe), avec quelque chose que l’on possède (un téléphone, une clé physique) ou que l’on est (biométrie).

Les différentes formes de MFA :

• OTP par SMS : pratique mais déconseillé pour les comptes critiques (SIM swapping, interception possible).
• Application d’authentification (TOTP, Google Authenticator, Microsoft Authenticator, Authy) : bien plus sûre, recommandée pour la grande majorité des cas.
• Clés de sécurité physiques (YubiKey, clés FIDO2/WebAuthn) : le niveau le plus élevé, recommandé pour les administrateurs et comptes sensibles. Certaines clés supportent également le protocole PIV (Personal Identity Verification), qui permet une authentification par certificat numérique, particulièrement adapté aux environnements exigeant un niveau d’assurance élevé, comme les accès aux infrastructures critiques ou les environnements réglementés.
• Notifications push avec validation contextuelle (localisation, appareil connu).

La perte ou la défaillance d’un facteur d’authentification (téléphone perdu, clé physique endommagée) doit être anticipée avant le déploiement. Prévoir systématiquement un mécanisme de secours : codes de récupération à usage unique générés lors de l’enrôlement et conservés en lieu sûr, second facteur de backup (application TOTP en supplément d’une clé physique), ou procédure de réinitialisation sécurisée via le service informatique avec vérification d’identité stricte. Un dispositif MFA sans plan de continuité est une source de blocage opérationnel autant qu’un risque de contournement.

L’enjeu est d’imposer le MFA sur tous les accès critiques : VPN, consoles cloud (AWS, Azure, GCP), outils de monitoring, accès distants aux serveurs. La résistance des utilisateurs est souvent citée comme frein, mais une communication adaptée et un déploiement progressif permettent généralement d’y remédier.

Sensibilisation et gouvernance, le facteur clé

La meilleure politique de sécurité des mots de passe ne vaut que si elle est comprise, acceptée et appliquée. La sensibilisation n’est pas un événement ponctuel, mais un processus continu qui doit s’intégrer dans la culture de l’organisation.

Quelques leviers efficaces identifiés dans les organisations les plus matures :

• Des simulations de phishing régulières, avec un volet spécifique sur le vol de credentials, permettent de maintenir le niveau d’alerte sans culpabiliser les utilisateurs.
• Des indicateurs de maturité partagés (taux d’adoption de la MFA, score de robustesse des mots de passe, délai moyen de rotation des comptes à privilèges) donnent de la visibilité à la direction et créent une dynamique d’amélioration continue.
• L’intégration de la gestion des identités dans les processus RH (onboarding, offboarding, changement de poste) garantit que les accès sont toujours alignés sur les besoins réels et que les comptes orphelins sont détectés et désactivés sans délai.
• La politique de gestion des mots de passe doit être documentée, versionnée et alignée avec les référentiels en vigueur (ISO 27001, NIST, ANSSI), pour répondre aux exigences d’audit et de conformité.

Besoin de sensibiliser vos équipes ? Nos experts en cybersécurité vous accompagnent dans la mise en place d’un programme de sensibilisation adapté à votre organisation.

Que deviennent vos id volés ?

Comprendre ce qui se passe après une compromission d’identifiants aide à mieux saisir l’urgence du sujet. Les mots de passe volés ne restent pas inutilisés : ils s’inscrivent dans une économie souterraine structurée et très active.

Le credential stuffing : l’exploitation automatisée à grande échelle

Une fois volés (via une fuite de données, un phishing ou un malware), les identifiants sont immédiatement exploités dans des attaques dites de credential stuffing. Le principe : des outils automatisés testent en masse des paires email / mot de passe sur des centaines de services différents (messageries, outils collaboratifs, portails RH, accès VPN…), en exploitant la réutilisation des mots de passe. Le taux de succès est faible (de l’ordre de 0,1 à 2 %), mais appliqué à des millions d’identifiants, le rendement reste significatif pour les attaquants.

Ces attaques sont difficiles à détecter car elles génèrent des connexions apparemment légitimes, depuis des adresses IP variées, souvent distribuées via des réseaux de proxies ou des infrastructures cloud compromises.

Les plateformes de revente d’identifiants

Les identifiants qui ne sont pas exploités directement sont revendus sur des marchés spécialisés, accessibles sur le dark web ou via des canaux privés (forums, messageries chiffrées). Les prix varient selon la valeur perçue : un accès à un portail RH ou à une console d’administration cloud se monnaye bien plus qu’un compte e-commerce. Certains accès à des systèmes critiques d’entreprises sont proposés pour plusieurs milliers d’euros.

Ces marchés fonctionnent avec des systèmes de notation des vendeurs, des garanties de « fraîcheur » des données et des services après-vente. C’est une industrie à part entière, qui alimente aussi bien les attaques par ransomware que l’espionnage industriel ou la fraude financière.

Ce que cela signifie concrètement : un mot de passe compromis sur un service personnel d’un collaborateur peut, en quelques heures, ouvrir une brèche dans le système d’information de son employeur. La frontière entre usage personnel et professionnel des identifiants est un risque organisationnel, pas seulement individuel.

Asten Cyber accompagne les directions informatiques dans l’audit, la conception et le déploiement de politiques de sécurité des accès adaptées à leur contexte.