Avec l’explosion du nombre de services en ligne et les exigences croissantes en matière de cybersécurité, les entreprises font aujourd’hui face à un défi complexe : garantir la robustesse des mots de passe, tout en conservant leur facilité d’usage. En effet, les mots de passe faibles ou mal gérés constituent l’une des principales vulnérabilités exploitées par les cybercriminels pour pénétrer les systèmes d’information. Alors, comment créer des secrets simples à mémoriser mais suffisamment robustes pour résister aux cyberattaques ? Entre bonnes pratiques et outils facilitateurs, découvrez comment créer des mots de passe faciles à retenir, mais inviolables.
Gestion des mots de passe : un enjeux stratégique en entreprise
Avec la prolifération en entreprise des services SaaS et des accès aux infrastructures internes, chaque collaborateur est aujourd’hui responsable d’un nombre croissant d’identifiants et de mots de passe. Cette inflation des comptes engendre une complexité opérationnelle importante : les collaborateurs peinent à mémoriser des mots de passe complexes et distincts pour chaque application utilisée.
Face à cette difficulté, les mauvaises pratiques se multiplient : réutilisation des secrets, création de passwords faibles et facilement devinables, partage des mots de passe incontrôlé, enregistrement des mots de passe dans le navigateur… Or, ces comportements accroissent fortement les risques de compromission.
Pour contrer efficacement ces risques, les entreprises doivent adopter une politique centralisée de gestion des mots de passe : une telle politique permet en effet d’automatiser la création de mots de passe robustes, simplifier l'accès sécurisé aux applications, garantir une traçabilité complète des accès et réduire significativement les risques liés aux mauvaises pratiques des collaborateurs.
Les risques liés à une mauvaise gestion des mots de passe en entreprise
Utilisation de mots de passe faibles
L’utilisation de mots de passe simples, comme « 123456 », « azerty », ou même un simple mot présent dans le dictionnaire, expose directement les comptes à des cyberattaques automatisées de type brute-force. Celles-ci consistent à essayer systématiquement toutes les combinaisons possibles pour trouver rapidement le bon mot de passe et compromettre une cession.
Par exemple, selon certaines études, un mot de passe constitué uniquement de 8 lettres minuscules peut être cassé en quelques secondes par des outils automatisés1. C’est pourquoi une combinaison d’au moins 12 caractères, composée de chiffres et de caractères spéciaux peut augmenter drastiquement la durée nécessaire à son déchiffrement.
En l’absence de mécanismes complémentaires, comme l’authentification multifacteurs (MFA) ou l’utilisation d’un coffre-fort de mots de passe entreprise, ces identifiants faibles deviennent des portes ouvertes vers le réseau interne.
Réutilisation des mots de passe : une porte ouverte sur le SI
Une autre erreur fréquente consiste à réutiliser le même mot de passe sur différents services ou applications. Cette pratique est exploitée par les cybercriminels via le credential stuffing, technique où les attaquants testent automatiquement des millions d’identifiants obtenus sur des bases de données compromises, afin d’accéder à d’autres services utilisés par la victime.
Or, Les conséquences de ce type d’attaques peuvent être très lourdes : espionnage industriel, vol massif de données sensibles, interruption d’activité prolongée….
Vous l’aurez compris, une seule fuite d’information sur un site externe, même mineur, peut entraîner une compromission directe des accès sensibles au sein de l’entreprise. L’attaque subie par Dropbox en 20122 avait par exemple provoquée des dégâts en cascade sur des milliers d’entreprises. En effet, l’un des collaborateurs de Dropbox utilisait le même mot de passe pour son compte LinkedIn, et pour son compte administrateur Dropbox. Une fois le premier compte compromis, les cybercriminels ont donc pu entrer dans le système et voler des couples identifiants / mots de passe d’utilisateurs, qui circulent encore sur le net plus de 10 ans plus tard.
Partage d'identifiants et comptes partagés : un danger sous-estimé
Bien que fréquent pour réduire les coûts ou simplifier la gestion opérationnelle, le partage d’identifiants comporte des risques significatifs. Lorsque plusieurs collaborateurs utilisent un même compte générique, l’entreprise perd immédiatement en visibilité et en contrôle sur les actions réalisées.
En cas d'incident ou de compromission, l'utilisation de comptes partagés complique l'identification précise de la personne à l'origine des actions réalisées. Concrètement, lorsqu'un même compte est utilisé par plusieurs collaborateurs, il devient impossible d'attribuer clairement une action spécifique à un individu précis, que cette action soit accidentelle ou malveillante.
Par ailleurs, les identifiants partagés présentent une autre problématique lors du départ d’un salarié : celui-ci pourrait conserver l’accès à ces comptes après avoir quitté l'entreprise, exposant ainsi l'organisation à un risque accru de compromission.
Pour réduire ces risques, il est conseillé de privilégier autant que possible les comptes nominatifs, permettant une traçabilité précise. Lorsqu’il est nécessaire de partager certains accès (par exemple, comptes de services ou administratifs), un gestionnaire de mots de passe professionnel comme LockPass permettra d’assurer à la fois la sécurité, la traçabilité et une gestion fine des droits d’accès.
Comment créer un mots de passe facile à retenir mais inviolable ?
1. Créer un mot de passe long et complexe
La longueur et la complexité sont deux facteurs majeurs de la robustesse d’un mot de passe. Comme le souligne la CNIL3, il est aujourd’hui recommandé d’utiliser des mots de passe basés sur l’entropie. Pour augmenter l’entropie d’un mot de passe, il s’agit d’assurer une longueur minimale de 12 à 16 caractères, combinant lettres majuscules, minuscules, chiffres et caractères spéciaux. Cette diversité augmente significativement la difficulté pour les cybercriminels de deviner les identifiants par des attaques automatiques.
Éviter les combinaisons prévisibles ou logiques est également primordial. Les suites simples et facilement devinables, ou les mots directement tirés du dictionnaire facilitent grandement les attaques automatisées par dictionnaire.
Par ailleurs, la robustesse d’un mot de passe doit être proportionnée au niveau de sensibilité du compte auquel il est associé. Tous les comptes n’ont pas la même criticité : un compte administrateur donnant accès à des serveurs internes, aux systèmes de gestion financière ou aux données personnelles des collaborateurs requiert un mot de passe particulièrement complexe, long et unique. Par exemple, un compte disposant de privilèges étendus pourrait nécessiter une phrase de passe d’au moins 16 caractères, comportant impérativement des majuscules, minuscules, chiffres et symboles spéciaux aléatoires.
À l’inverse, un compte utilisateur ayant un accès limité et ne contenant pas de données sensibles pourra disposer d’un mot de passe légèrement moins complexe, tout en conservant un niveau minimal de sécurité.
2. Priorité aux mots de passe uniques et anonymes
Créer des mots de passe uniques est indispensable pour limiter l’impact d'une potentielle compromission. Ainsi, il est important de ne jamais réutiliser les mêmes mots de passe sur différents services.
De plus, les secrets ne doivent contenir aucune information personnelle identifiable (nom, date de naissance, entreprise, etc.), pour éviter les attaques basées sur l'ingénierie sociale, comme le phishing.
La meilleure pratique consiste à générer automatiquement des mots de passe aléatoires et robustes à l’aide d’un générateur de mots de passe dédié, disponible notamment dans des solutions professionnelles comme LockPass. De cette manière, chaque compte bénéficie d’un mot de passe unique et robuste, réduisant considérablement les risques de compromission.
3. Retenir un mot de passe complexe : mode d'emploi
Utiliser une passephrase, ou phrase de passe
Pour choisir un mot de passe facile à retenir mais inviolable, l’usage d’une phrase de passe (ou passphrase) est recommandé. Preuve en est, la CNIL a même conçu un outil dédié pour inciter les utilisateurs à suivre cette technique4 !
Concrètement, il s’agit de composer une phrase facile à mémoriser mais suffisamment complexe pour résister aux attaques automatisées. Par exemple : « J’aimeLesCafés@Paris2025! ». Cette phrase combine longueur, complexité et mémorisation facile grâce à sa construction logique.
Point important, l'ajout de caractères spéciaux est fortement recommandé pour renforcer la sécurité d’une passphrase face aux attaques automatisées.
Intéressé·e par le sujet ?
Découvrez les 5 règles à adopter pour le sécurité des mots de passe selon l’ANSSI
Adopter un gestionnaire de mots de passe entreprise
Pour conjuguer simplicité et sécurité optimale, l’utilisation d’un gestionnaire de mots de passe en entreprise est recommandée. Ce type d'outil permet aux utilisateurs de générer et stocker automatiquement des mots de passe complexes et uniques, sans avoir besoin de les retenir.
Le coffre-fort de mots de passe LockPass, par exemple, propose un stockage sécurisé des identifiants grâce à un chiffrement AES-256. Il permet également de générer automatiquement des mots de passe robustes en seulement deux clics grâce à son générateur de mots de passe intégré, garantissant ainsi une sécurité maximale tout en simplifiant le quotidien des utilisateurs, qui n’ont plus besoin de retenir des secrets complexes. Les collaborateurs accèdent simplement aux outils dont ils ont besoin via un coffre-fort centralisé et sécurisé, réduisant fortement les risques associés à une mauvaise gestion des identifiants.
LockPass facilite également la gestion des accès partagés en conservant une traçabilité parfaite des usages réalisés par chaque collaborateur.
_____
Sources :
1 https://www.clubic.com/antivirus-securite-informatique/actualite-414903-une-nouvelle-etude-remet-en-cause-les-mots-de-passe-de-moins-de-8-caracteres.html
2 https://www.lesechos.fr/2016/08/dropbox-plus-de-68-millions-didentifiants-voles-circulent-sur-internet-217271
3 https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite
4 https://www.cnil.fr/fr/generer-un-mot-de-passe-solide
_____
