« Votre mot de passe doit contenir au moins une majuscule, un chiffre et un caractère spécial. »
Ce message, vous l’avez lu des centaines de fois. Résultat : Soleil2024!, Paris75# ou Azerty1@. Des mots de passe qui semblent complexes, qui sont en réalité parmi les premiers testés par les outils d’attaque automatisés.
L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a fait évoluer ses recommandations. Il est temps d’en parler clairement.
Ce que l’ANSSI dit vraiment
La recommandation officielle publiée par l’ANSSI distingue plusieurs situations selon le contexte d’authentification. Trois critères guident le choix : la longueur, l’entropie (le caractère imprévisible), et la méthode de stockage côté serveur.
Pour les usages courants en entreprise, deux approches sont validées.
Le mot de passe classique : encore valable, mais exigeant
Un mot de passe reste acceptable à condition d’être suffisamment long et aléatoire. L’ANSSI recommande 12 caractères minimum pour un usage standard, et 14 à 16 caractères lorsque les données sont sensibles. Ces caractères doivent mêler majuscules, minuscules, chiffres et symboles, sans former un mot ou une expression reconnaissable.
En pratique : x7!Lmq2#WpRv est un bon mot de passe. Laurent2024! n’en est pas un, malgré les apparences.
Le problème est humain : personne ne retient x7!Lmq2#WpRv sans aide. C’est précisément là qu’intervient la passphrase.
La passphrase : la recommandation montante
Une passphrase est une suite de mots communs, choisis au hasard, assemblés en une phrase longue mais mémorisable.
Exemple : cheval-boulangerie-nuage-43-fenêtre
Ce type de secret présente plusieurs avantages décisifs.
La longueur prime sur la complexité. Un attaquant qui teste des combinaisons caractère par caractère face à une passphrase de 30 à 40 caractères se retrouve devant un espace de possibilités astronomique, même si chaque mot individuel est simple.
Elle est mémorisable. Vos collaborateurs n’ont pas besoin de la noter sur un Post-it. C’est un gain de sécurité réel, pas seulement théorique.
Elle résiste à l’ingénierie sociale. Une passphrase construite aléatoirement ne contient ni prénom, ni date, ni référence à l’entreprise. Rien qu’un attaquant puisse deviner en consultant LinkedIn.
L’ANSSI et la CNIL recommandent une entropie d’au moins 80 bits, ce qui correspond en pratique à une passphrase d’au moins 7 mots véritablement tirés au hasard au sein d’un dictionnaire de référence de type Diceware. Ce n’est pas un seuil absolu fixé en nombre de caractères, mais la traduction concrète de l’objectif d’entropie à atteindre.
Ce qui ne change pas : les règles fondamentales
Que vous optiez pour un mot de passe ou une passphrase, certains principes restent absolus.
Un secret par compte. Réutiliser le même mot de passe sur plusieurs services est la première cause de compromission en cascade. La fuite d’un prestataire externe peut suffire à ouvrir l’accès à votre messagerie professionnelle ou à votre espace de gestion.
Un gestionnaire de mots de passe. C’est la seule solution réaliste pour respecter la règle précédente à grande échelle. Des outils comme Bitwarden (open source), KeePass (hors ligne) ou des solutions d’entreprise permettent de stocker des secrets forts sans les mémoriser. L’ANSSI valide explicitement cette approche.
L’authentification à deux facteurs (2FA). Le mot de passe seul, même fort, ne suffit plus. L’ajout d’un second facteur (application d’authentification, clé physique) réduit drastiquement le risque de compromission même en cas de vol de credentials.
Ne pas changer pour changer. L’ANSSI a revu sa position sur le renouvellement périodique systématique. Forcer le changement tous les 90 jours pousse les utilisateurs à choisir des mots de passe prévisibles (Janvier2025! → Fevrier2025!).
Le changement ne doit intervenir qu’en cas de suspicion de compromission avérée ou potentielle.
Ce que ça change concrètement pour votre entreprise
La majorité des PME fonctionnent encore avec des pratiques héritées des années 2010 : mots de passe courts, renouvelés par obligation calendaire, partagés entre collègues pour « simplifier ».
Chaque compte partagé est un angle mort. Chaque mot de passe réutilisé est une porte entrouverte. Chaque Entreprise2024! est un risque documenté.
Mettre en place une politique de mots de passe alignée sur les recommandations de l’ANSSI ne nécessite pas de budget important.
Cela nécessite une décision, une formation courte et les bons outils.
Vous souhaitez mettre à jour la politique de sécurité de votre entreprise et former vos équipes aux bonnes pratiques ?
Contactez-nous pour un échange de 30 minutes, sans engagement. Nous faisons le point sur vos usages actuels et vous proposons des solutions concrètes, adaptées à votre structure.
