Une politique de mot de passe doit rendre les comptes plus difficiles à compromettre sans rendre les comportements sécurisés inutilement complexes. Les meilleures politiques sont claires, pragmatiques et adaptées aux habitudes réelles des utilisateurs. Elles encouragent l’utilisation de mots de passe longs et uniques, soutiennent l’usage de gestionnaires de mots de passe, exigent l’authentification multifacteur lorsque c’est pertinent, et éliminent les règles obsolètes qui poussent les utilisateurs vers des comportements prévisibles.
Cet article explique les bonnes et mauvaises pratiques d'une politique de mot de passe moderne, ce qu'il faut éviter, les recommandations à suivre, et vous offre un modèle prêt à copier-coller et adapter à votre organisation.
Qu’est-ce qu’une politique de mot de passe ?
Une politique de mot de passe est un ensemble de règles définissant comment les mots de passe sont créés, stockés, utilisés, partagés, modifiés et protégés. Elle s'applique aux employés, prestataires, administrateurs, comptes de service et parfois aux clients, selon les systèmes concernés.
Une bonne politique de mot de passe doit répondre à des questions pratiques :
- Quelle longueur doit avoir un mot de passe ?
- Les phrases de passe sont-elles autorisées ?
- Les utilisateurs peuvent-ils coller des mots de passe issus d’un gestionnaire de mots de passe ?
- Dans quels cas un mot de passe doit-il être modifié ?
- L’authentification multifacteur est-elle exigée ?
- Comment gérer les identifiants partagés ?
- Que se passe-t-il en cas de suspicion de compromission d’un mot de passe ?
L’objectif n’est pas de créer le règlement le plus compliqué possible, mais de réduire les risques réels.
Les bonnes pratiques d'une politique de mot de passe moderne
Exiger une longueur suffisante
La longueur est l’une des meilleures défenses contre les attaques par devinette ou force brute. Une exigence unique et minimale pour toute l’organisation est généralement plus simple à comprendre pour les utilisateurs et à appliquer pour l’IT, plutôt que d’avoir différentes règles selon les profils (utilisateurs standards, administrateurs, etc.). Une valeur pratique est d’exiger au moins 16 caractères pour tous les comptes utilisateurs humains. Plus long est préférable si les utilisateurs ont recours à des gestionnaires de mots de passe ou des phrases de passe générées aléatoirement.
Autoriser les mots de passe longs et les phrases de passe
Les utilisateurs doivent pouvoir choisir des mots de passe bien plus longs que le minimum. Évitez les limites basses (16 ou 20 caractères). Un maximum d’au moins 64 caractères est un bon point de départ, et de nombreux systèmes supportent plus.
Les phrases de passe sont acceptées si elles sont longues et non basées sur des citations connues, paroles de chansons, noms d’entreprise, ou expressions prévisibles. Par exemple, une phrase composée de plusieurs mots aléatoires est souvent plus sécurisée qu'un mot de passe court utilisant des substitutions forcées.
Exiger l’unicité
Chaque compte doit avoir un mot de passe unique. La réutilisation est l’une des principales causes de propagation d’une brèche d’un service à l’autre. Les gestionnaires de mots de passe rendent cette exigence raisonnablement simple, car l’utilisateur n’a pas à tout mémoriser.
Soutenir l’utilisation des gestionnaires de mots de passe
Votre politique doit explicitement autoriser et encourager l’utilisation de gestionnaires de mots de passe approuvés. Les utilisateurs doivent pouvoir coller leurs mots de passe, utiliser le remplissage automatique, et générer des mots de passe aléatoires. Bloquer le collage semble sécurisant mais décourage souvent l’usage de gestionnaires.
Vérifier les mots de passe par rapport aux fuites connues
Les mots de passe doivent être rejetés s’ils figurent dans des listes de brèches publiques, des listes de mots de passe courants, ou des listes de blocages propres à l’organisation. Cela est plus efficace que d’imposer une lettre majuscule, un chiffre, et un symbole.
Imposer la MFA partout où c’est possible techniquement
L’authentification multifacteur doit être activée partout où c’est possible, en particulier pour les administrateurs, l’accès distant, les services cloud, emails, gestionnaires de mots de passe, systèmes financiers et autres ressources critiques. La MFA ne remplace pas un mot de passe fort, mais elle réduit grandement l’impact d’un vol d’identifiants.
Privilégiez la MFA résistante au phishing, comme les passkeys, les clés de sécurité matérielles, ou les authentifieurs de plateforme. Les applications d’authentification sont préférables aux SMS. L’authentification par SMS doit être évitée si un autre moyen MFA est disponible car les numéros peuvent être interceptés, détournés (SIM swap), portés, ou exploités via les procédures de récupération de compte.
Ce n’est pas théorique. En 2018, Reddit a annoncé que des attaquants ont intercepté l’authentification à deux facteurs par SMS et accédé à ses systèmes internes : https://www.reddit.com/r/announcements/comments/93qnm5/wehadasecurityincidenthereswhatyouneed_to/. En 2021, Coinbase a rapporté que des attaquants ont volé de la cryptomonnaie à au moins 6 000 clients après avoir exploité des identifiants et une faille dans la procédure de récupération par SMS : https://www.reuters.com/technology/coinbase-says-hackers-stole-cryptocurrency-least-6000-customers-2021-10-01/.
Changer les mots de passe après compromission
Les mots de passe doivent être changés en cas d’évidence ou de suspicion raisonnable de compromission. Exemples : hameçonnage, malware sur l'appareil utilisateur, fuite d’identifiants dans une brèche, activité de connexion suspecte ou divulgation accidentelle.
Protéger correctement les identifiants partagés
Les mots de passe partagés doivent être évités si des comptes individuels sont possibles. Si cela est inévitable, ils doivent être stockés dans un gestionnaire de mots de passe approuvé, l’accès limité aux seuls utilisateurs autorisés, et le partage doit être journalisé si possible.
Sécuriser les processus de réinitialisation
La réinitialisation de mot de passe est souvent le point faible de la sécurité des comptes. Les procédures doivent vérifier l’identité, expirer rapidement les liens de réinitialisation, utiliser des jetons à usage unique, et notifier l’utilisateur en cas de changement de mot de passe.
Les erreurs à éviter dans une politique de mot de passe moderne
Ne pas imposer de changements fréquents sans raison
Imposer le changement de mot de passe tous les 30, 60 ou 90 jours entraîne souvent des mots de passe plus faibles. Les utilisateurs tendent à faire des modifications minimes et prévisibles (ajout d’un chiffre, changement de saison, etc.). Les directives NIST ont abandonné cette exigence périodique systématique et recommandent le changement seulement en cas de compromission. Voir section 3.1.1.2 : https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver. Exigez des changements après suspicion de compromission, changement de rôle, récupération de compte, ou si un mot de passe n’est plus conforme à la politique.
Ne pas compter uniquement sur la complexité
Les règles du type « doit inclure une majuscule, une minuscule, un chiffre et un symbole » ne garantissent pas la robustesse. Password1! coche toutes ces cases mais reste un choix faible. Privilégiez la longueur, l’unicité, l’aléatoire et le filtrage par rapport aux mots compromis.
Ne pas bloquer la fonction copier-coller
Bloquer la fonction de collage rend les gestionnaires de mots de passe difficilement utilisables et encourage les utilisateurs à choisir des mots de passe plus courts et faciles à taper. Autorisez le collage et le remplissage automatique sauf raison de sécurité spécifique et documentée.
Ne pas autoriser d’indices de mot de passe
Les indices révèlent souvent trop d’informations. Si l’utilisateur peut s’en souvenir grâce à l’indice, un attaquant le peut aussi. Optez pour des procédures de réinitialisation sécurisées.
Ne jamais stocker les mots de passe en clair
Les systèmes ne doivent jamais stocker les mots de passe en clair ou via un chiffrement réversible. Ils doivent être hachés avec un algorithme moderne, lent, salé — type Argon2id, bcrypt, scrypt ou PBKDF2, selon les capacités du système et le cadre réglementaire.
Des algorithmes de hachage généralistes rapides (MD5, SHA-1, SHA-256, SHA-512) ne conviennent pas seuls pour stocker des mots de passe. Leur rapidité facilite les attaques par force brute après une fuite. Pour plus de détails, voir notre article sur l’évolution du hachage des mots de passe.
Ne jamais partager un mot de passe par chat ou email
Les mots de passe ne doivent pas transiter par e-mail, chat, tickets, documents, captures d’écran, etc. Utilisez les fonctions de partage sécurisé d’un gestionnaire avec contrôle d’accès.
Ne pas utiliser d’infos personnelles ou de schémas prévisibles
Les mots de passe ne doivent pas contenir de noms, dates de naissance, noms d’entreprise, séquences clavier, répétitions de caractère ni de substitutions évidentes (ex. @ pour a, 0 pour o). Les attaquants testent ces motifs en priorité.
Bonnes pratiques pour les organisations
Définir des exigences minimales claires
Optez pour des exigences compréhensibles :
- Une seule longueur minimale, par exemple 16 caractères pour tous les comptes utilisateurs humains
- Autorisez au moins 64 caractères
- Autorisez les espaces et les symboles courants
- Autorisez les phrases de passe et l’usage de gestionnaires
- Rejetez les mots de passe compromis ou courants
Traiter différemment les comptes à privilèges
Comptes administrateurs, comptes de service, accès en production méritent des contrôles plus stricts. Exigez des mots de passe plus forts, MFA, accès limité, surveillance, et rotation immédiate lors des changements d’accès.
Utiliser une gestion des droits basée sur les rôles et le principe du moindre privilège
Des mots de passe forts ne compensent pas des droits d’accès trop larges. Les utilisateurs ne devraient voir que ce qui est nécessaire à leur mission.
Surveiller les activités suspectes
Détectez les schémas de connexions inhabituels, déplacements impossibles, tentatives échouées répétées, connexions depuis de nouveaux pays, ou hors des horaires habituels. La politique de mot de passe doit s’appuyer sur une surveillance et une capacité de réaction adaptées.
Former les utilisateurs aux menaces réalistes
La sensibilisation doit cibler la réutilisation des mots de passe, le phishing, les fausses pages de connexion, la fatigue MFA, le partage sécurisé, et comment signaler une suspicion de compromission. Évitez de blâmer l’utilisateur. Facilitez le comportement sécurisé.
Garder la politique assez concise pour être suivie
Une politique de mot de passe doit être compréhensible. Si elle est trop longue, floue, ou stricte, les utilisateurs chercheront à la contourner. La meilleure politique est celle qui peut être appliquée et respectée.
Modèle de politique de mot de passe prêt à copier-coller
Utilisez ce modèle comme point de départ. Adaptez les éléments entre crochets selon votre organisation, vos systèmes, votre niveau de risque et vos obligations légales.
Politique de mot de passe
Version : [1.0]
Propriétaire : [Département Sécurité / IT]
Date d’entrée en vigueur : [AAAA-MM-JJ]
Cycle de révision : [Tous les 12 mois]
1. Objectif
Cette politique définit les exigences de création, d’utilisation, de stockage, de partage et de modification des mots de passe pour [Nom de l'organisation]. L’objectif est de réduire le risque d’accès non autorisé, de vol d’identifiants, d’usurpation de compte et de perte de données.
2. Champ d’application
Cette politique s’applique à l’ensemble des employés, prestataires, intérimaires, fournisseurs de services et tout utilisateur accédant aux systèmes, applications, réseaux, services cloud ou données de [Nom de l'organisation].
Elle concerne les comptes utilisateurs standards, comptes à privilèges, comptes de service, comptes partagés et toute utilisation d’un mot de passe comme moyen d’authentification.
3. Exigences de création des mots de passe
Tous les mots de passe doivent respecter les exigences suivantes :
- Les comptes utilisateurs humains doivent utiliser des mots de passe d’au moins 16 caractères.
- Les mots de passe doivent être uniques et ne pas être réutilisés sur des comptes professionnels ou personnels.
- Les mots de passe ne doivent pas contenir de noms, identifiants, noms d’entreprise, dates de naissance, schémas clavier, caractères répétés ou autre information facile à deviner.
- Les mots de passe ne doivent pas être issus d’expressions courantes, citations, paroles de chansons ou substitutions prévisibles.
- Les mots de passe ne doivent pas figurer dans des listes de mots de passe compromis ou courants.
- Les mots de passe peuvent inclure des espaces, symboles, chiffres, majuscules et minuscules.
- Les phrases de passe sont autorisées si elles sont longues, uniques, et non basées sur des expressions publiques ou prévisibles.
4. Gestionnaires de mots de passe
[L’organisation] exige ou recommande fortement l’utilisation d’un gestionnaire de mots de passe approuvé pour créer, stocker et partager les mots de passe.
Les utilisateurs peuvent utiliser le générateur de mots de passe, l’auto-remplissage et le copier-coller du gestionnaire de mots de passe approuvé. Il est interdit de stocker des mots de passe dans les navigateurs, tableurs, documents, notes, emails, chats, captures d’écran ou outils non approuvés.
5. Authentification multifacteur
La MFA doit être activée partout où c’est techniquement possible, notamment :
- Comptes email
- Accès distants
- Comptes de gestionnaire de mots de passe
- Services cloud
- Comptes administratifs
- Systèmes financiers, RH, et à haut risque
- Tout système classifié [confidentiel / critique]
Lorsque possible, les utilisateurs doivent utiliser une MFA résistante au phishing (passkeys, clés de sécurité matérielles, authentifieurs de plateforme). Les applications d’authentification sont préférées aux SMS. La MFA par SMS est interdite si une autre méthode MFA est disponible et ne peut être utilisée qu’en l’absence totale d'alternative.
6. Changement des mots de passe
Le mot de passe doit être changé immédiatement dans les cas suivants :
- Un mot de passe est connu ou soupçonné d’être compromis.
- Un utilisateur l’a saisi sur un site suspecté de phishing.
- Un mot de passe a été partagé avec une personne non autorisée.
- La présence de malware ou d’un accès non autorisé est détectée sur l’appareil de l’utilisateur.
- Le mot de passe figure dans une fuite de données connue.
- Changement de rôle ou statut d’un utilisateur à privilèges.
- La DSI ou la sécurité le demande explicitement.
L’expiration régulière n’est pas requise sauf en cas d'obligation réglementaire, contractuelle ou technique. Les modifications mineures et prévisibles du mot de passe précédent sont interdites.
7. Partage de mots de passe
Le partage de mot de passe via email, chat, ticket, document, capture d’écran, appel ou à l’oral est interdit.
Les identifiants partagés ne sont admis que si des comptes individuels ne sont pas techniquement possibles ou sur approbation expresse de [Sécurité / IT]. Ils doivent alors être gérés et partagés via le gestionnaire approuvé, avec accès limité aux seuls utilisateurs autorisés.
8. Comptes à privilèges
Les comptes à privilèges doivent utiliser des mots de passe uniques, distincts des comptes utilisateurs standards. Ils doivent utiliser la MFA partout où cela est techniquement possible et être revus régulièrement.
Les mots de passe de ces comptes doivent être changés lors du départ d’un administrateur, changement de rôle, retrait d’accès ou suspicion de compromission.
9. Comptes de service et secrets d’application
Les mots de passe de comptes de service, clés API, jetons et secrets d’applications doivent être stockés dans un gestionnaire de secrets ou un gestionnaire de mots de passe approuvé.
Ces identifiants ne doivent pas être inclus dans le code source, des fichiers de configuration, images, documentations ou scripts, sauf protection explicite par un processus de gestion des secrets approuvé.
10. Réinitialisation de mot de passe et récupération de compte
La procédure doit vérifier l’identité avant de restaurer l’accès. Les liens de réinitialisation et mots de passe temporaires doivent être à usage unique, expirer rapidement, et transmis via des canaux approuvés.
L’utilisateur doit être notifié en cas de changement ou de réinitialisation de son mot de passe. Les mots de passe temporaires doivent être changés dès la première connexion.
11. Contrôles techniques
Les systèmes stockant ou traitant des mots de passe doivent :
- Ne jamais stocker les mots de passe en clair.
- Utiliser un algorithme de hachage moderne, salé et approuvé : PBKDF2, scrypt, bcrypt ou Argon2.
- Ne pas utiliser seuls MD5, SHA-1, SHA-256, SHA-512 ou tout algorithme rapide comme solution de hachage de mot de passe.
- Protéger les points d’authentification par des mécanismes de limitation de tentative ou équivalents.
- Rejeter les mots de passe faibles, courants ou compromis.
- Autoriser le collage depuis un gestionnaire de mots de passe.
- Permettre une longueur raisonnable, incluant au moins 64 caractères si possible techniquement.
- Journaliser les événements de sécurité liés à l’authentification.
12. Signalement d’une compromission suspectée
Les utilisateurs doivent signaler immédiatement à [contact Sécurité / IT] toute suspicion de compromission, phishing, demande de saisie inhabituelle, demande MFA inattendue ou divulgation accidentelle.
13. Exceptions
Les exceptions à cette politique doivent être documentées, évaluées en termes de risque, limitées dans le temps et approuvées par [Direction Sécurité / IT]. Des mesures compensatoires doivent être mises en place si possible.
14. Application
Le non-respect de cette politique peut entraîner la suppression d’accès, une formation sécurité obligatoire, des mesures disciplinaires, ou toute mesure cohérente avec les politiques de [Nom de l'organisation] et la loi applicable.
15. Révision
Cette politique doit être réexaminée au moins une fois par an ou après tout changement majeur lié aux systèmes, aux menaces, aux exigences légales ou aux opérations de l’entreprise.
Conclusion
Une politique de mot de passe solide ne doit pas rendre la vie dure aux utilisateurs. Elle vise à éliminer les mauvaises habitudes, encourager l'usage des gestionnaires de mots de passe, imposer la MFA et réagir vite lors d’exposition d’identifiants. Restez pragmatique, apte à faire appliquer les règles, et concentrez-vous sur les attaques réelles comme le phishing, le credential stuffing, la réutilisation et la compromission des comptes.
