Les cyberattaques ciblant l’authentification ne cessent de se multiplier, exploitant des pratiques de gestion des mots de passe encore trop vulnérables. Face à cette menace, l’ANSSI publie régulièrement des recommandations destinées à consolider la sécurité des accès. Découvrez les 5 règles prioritaires de l’ANSSI à mettre en place pour renforcer la sécurité des mots de passe en 2025.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) joue un rôle central dans la définition des bonnes pratiques en matière de cybersécurité. Organisme de référence pour les entreprises et les administrations, elle publie régulièrement des recommandations visant à contrer les menaces informatiques les plus courantes. Parmi ces préconisations, la gestion des mots de passe occupe une place stratégique, car les accès compromis figurent parmi les principales causes d’intrusions malveillantes, notamment dans le contexte professionnel.
Les attaques à l’encontre des systèmes d’authentification n’ont cessé d’augmenter ces dernières années. En 2024 notamment, le nombre de cyberattaques visant les mots de passe a explosé, passant de 4 000 à 7 000 tentatives par seconde en moyenne.1
Le phishing reste l’une des méthodes les plus courantes pour compromettre des identifiants, figurant en deuxième position des préoccupations cyber des DSI et RSSI en 2025, juste derrière la compromission des accès. En usurpant l’identité d’un service de confiance, les attaquants parviennent à récupérer les mots de passe des utilisateurs imprudents. Ces identifiants sont ensuite exploités pour mener des attaques par force brute ou de credential stuffing, une technique consistant à tester automatiquement des combinaisons d’identifiants sur divers services en ligne.
Plus inquiétant encore, les bases de données contenant des millions d’identifiants volés circulent librement sur le dark web. Une fois récupérées, ces informations sont utilisées pour contourner les systèmes d’authentification insuffisamment sécurisés. Sans mesures de sécurité des mots de passe adaptées, les entreprises s’exposent donc à des violations de données massives et à des risques financiers considérables.
La gestion des mots de passe en entreprise repose encore trop souvent sur des pratiques risquées ou obsolètes. Par exemple, le changement fréquent de mot de passe était auparavant encouragé par l’ANSSI, mais cette approche a conduit les utilisateurs à adopter des mots de passe plus courts et plus simples, souvent prévisibles et donc vulnérables aux cyberattaques.2
La réutilisation des mots de passe est un autre problème majeur. Trop souvent, les collaborateurs utilisent les mêmes identifiants pour plusieurs comptes, ce qui augmente considérablement les risques en cas de fuite de données. Un mot de passe compromis sur un service peut ainsi être utilisé pour accéder à d’autres ressources sensibles de l’entreprise, entraînant potentiellement des violations de données en cascade.
Face à ces constats, il devient impératif d’adopter une approche plus rigoureuse, fondée sur des recommandations éprouvées. L’ANSSI propose aujourd’hui une stratégie combinée intégrant à la fois des mots de passe robustes, une gestion sécurisée des secrets et des méthodes complémentaires, comme l’authentification multifacteurs.
Pour renforcer la sécurité des mots de passe en 2025, l'ANSSI préconise une approche globale combinant plusieurs mesures3 :
La longueur d’un mot de passe est un facteur déterminant pour sa résistance aux attaques. L’ANSSI recommande désormais d’utiliser des mots de passe, d’au moins 12 à 16 caractères (voire plus pour les accès les plus critiques), en mettant l’accent sur l’entropie avant tout. L’entropie d’un mot de passe mesure sa complexité, ce qui constitue un critère pour évaluer son niveau de résistance aux cyberattaques. Pour maximiser facilement l’entropie, l’utilisation d’un générateur de mots de passe permet de créer des secrets aléatoires et très sécurisés, respectant les recommandations de l’ANSSI.
L’utilisation de phrases de passe est également préconisée. Contrairement aux combinaisons aléatoires difficiles à mémoriser, une phrase de passe permet d’allier complexité et facilité de mémorisation. Par exemple, un secret comme "L€ChatBleuD@nseS0uLaPluie45!*" sera bien plus résistant qu’un mot de passe court, tout en étant plutôt facile à retenir. Cependant, ces phrases doivent impérativement être renforcées par des caractères spéciaux et une structure aléatoire.
De plus, la robustesse d’un mot de passe doit également être adaptée à son contexte d’utilisation : les accès critiques exigent des protections renforcées, comme l’authentification multifacteurs ou l’usage d’une clef de sécurité matérielle. En revanche, pour des comptes à faible impact, une phrase de passe robuste peut suffire.
L’authentification multifacteurs constitue une barrière supplémentaire face aux tentatives d’intrusion. Elle repose sur la combinaison de plusieurs facteurs d’authentification : connaissance (mot de passe), possession (clef de sécurité, smartphone…) et intrinsèque (empreinte digitale, scan de l’iris, reconnaissance faciale…).
Pour le second facteur d’authentification, l’ANSSI recommande d’éviter les SMS OTP, jugés trop vulnérables aux attaques comme le SIM swapping, et de privilégier les applications d’authentification basées sur le TOTP ou les clefs de sécurité physiques4.
La sécurité des mots de passe en entreprise ne s'arrête pas à leur création ; leur stockage et leur partage nécessitent également une attention toute particulière. Le chiffrement des bases de données de mots de passe est préconisé pour protéger ces informations sensibles en cas de violation de données. En effet, le chiffrement transforme les mots de passe en une suite de caractères illisibles pour toute personne ne disposant pas d’un droit d’accès, les rendant inexploitables même en cas de vol. Ce chiffrement doit être robuste, utilisant des algorithmes éprouvés et des clefs de chiffrement sécurisées, avec des procédures détaillées de gestion de ces clefs pour éviter leur compromission.
Pour plus de sécurité, l’utilisation de coffres-forts numériques pour le stockage et le partage des mots de passe en entreprise est recommandée. Ces outils permettent de centraliser la gestion des identifiants tout en garantissant un contrôle strict des accès. En plus de stocker les mots de passe dans une base chiffrée, ils offrent des fonctionnalités avancées comme la génération automatique de mots de passe robustes, la synchronisation multi-appareils, et des journaux d’audit assurant une traçabilité complète des actions effectuées.
Par ailleurs, le partage des secrets, même chiffré, doit impérativement se faire via des canaux sécurisés. Ici aussi, l’usage des coffres-forts numériques est recommandé car ils permettent de limiter le nombre de personnes ayant accès aux mots de passe et d’attribuer des droits d’accès granulaires en fonction des besoins.
Comme le souligne l’ANSSI, la protection des accès en entreprise passe par la mise en place d'une politique de gestion des mots de passe robuste et adaptée. Cette politique doit établir des règles internes claires, touchant plusieurs aspects. Elle doit tout d'abord interdire l'enregistrement automatique et la gestion des mots de passe dans les navigateurs, une pratique certes commode mais risquée, car elle expose l’intégralité des mots de passe en cas de compromission de l’appareil.
Elle doit également intégrer une sensibilisation régulière des collaborateurs à l'ingénierie sociale et aux attaques par phishing, ces techniques étant fréquemment utilisées pour subtiliser des identifiants. Des formations et des simulations d'attaques sont ici indispensables.
Par ailleurs, il est recommandé de définir des politiques de mots de passe différentes selon les équipes et le niveau de sensibilité des données manipulées. Les collaborateurs accédant à des informations confidentielles ou critiques doivent être soumis à des exigences plus strictes, comme une longueur minimale plus importante, ou une complexité accrue. Du côté des outils dédiés, un gestionnaire de mots de passe comme LockPass simplifie l'application de politiques d'accès différenciées en garantissant que chaque utilisateur respecte les règles définies pour son équipe.
Lorsqu’on parle de gestion des mots de passe en entreprise, les mauvaise pratiques ont la vie dure !
Il est néanmoins primordial d'éliminer ces mauvaises habitudes, car elles constituent une vulnérabilité importante pour la sécurité de l'entreprise. Par exemple, il est proscrit de stocker ses mots de passe en clair, que ce soit dans un fichier texte, un document Excel, ou tout autre support non sécurisé. De même et comme évoqué plus haut, il est impératif de bloquer la possibilité pour les collaborateurs d'enregistrer leurs mots de passe dans leurs navigateurs.
Aussi, l'utilisation de mots de passe trop simples est à bannir. Les secrets prévisibles, tels que le nom de l'entreprise, l'année de naissance, ou des combinaisons courantes, sont extrêmement faciles à deviner, que ce soit par des humains ou par des logiciels automatisés. Ces mots de passe faibles offrent alors une porte d'entrée toute trouvée aux hackers, qui peuvent ensuite compromettre la sécurité de l'ensemble du système d'information.
Pour une gestion des accès et des identités optimale, le choix d'un gestionnaire de mots de passe certifié par l'ANSSI permet d’élever la sécurité à un niveau supérieur. Ce type d'outil garantit non seulement la sécurité, mais aussi la conformité aux normes les plus strictes. Il assure notamment un chiffrement de bout en bout des données, qu'elles soient en transit ou stockées, ainsi qu’une authentification multifacteurs systématique pour l’accès au coffre-fort.
LockPass, par exemple, est une solution conçue spécifiquement pour les entreprises, qui répond aux exigences de sécurité de l’ANSSI (Certifié CSPN). L’outil offre un chiffrement de bout en bout des données, une authentification multifacteurs, une gestion granulaire des accès, et une traçabilité complète des actions réalisées. LockPass permet également de définir et d’appliquer des politiques de mots de passe personnalisées, adaptées à chaque équipe, de manière centralisée et sécurisée. Atout non négligeable : son interface intuitive et sa simplicité d’utilisation facilitent son adoption en entreprise, pour allier sécurité et parcours utilisateur fluide.
La formation et la sensibilisation des collaborateurs aux bonnes pratiques cyber sont des éléments indispensables pour garantir l'efficacité d'une politique de sécurité des mots de passe.
Cette sensibilisation doit être régulière, sous la forme de campagnes internes et de formations ciblées en lien avec les menaces actuelles. Il est important d'aborder les enjeux de la sécurité des mots de passe, les dangers du phishing et de l'ingénierie sociale, et bien sûr, les règles à suivre pour créer, utiliser et stocker les mots de passe.
Pour tester la vigilance des équipes, les simulations de phishing sont des tests très efficaces. Ces fausses attaques permettent de voir qui cliquerait sur un lien malveillant ou fournirait ses identifiants, et ainsi d'identifier les besoins en formation complémentaire.
Enfin, une politique de mot de passe clairement formalisée et compréhensible, même pour les non-techniques, est indispensable. Elle doit expliquer les règles de création, de partage et de stockage des mots de passe, être diffusée largement et rester facilement accessible. Du côté des solutions dédiées, un outil user-friendly comme LockPass peut grandement faciliter la mise en place et l'application de cette politique auprès de tous les collaborateurs, même les moins techniques.
La surveillance et l'audit régulier des authentifications et des mots de passe sont nécessaires pour s'assurer de l'efficacité des mesures de sécurité et détecter d'éventuelles vulnérabilités.
Pour ce faire, il est recommandé d'utiliser des outils capables de détecter les comportements anormaux, comme les tentatives d’accès répétées ou depuis des emplacements inhabituels. Des solutions comme les systèmes de détection d’intrusion (IDS) et les systèmes de prévention d’intrusion (IPS) permettent d’identifier et de bloquer les tentatives suspectes en temps réel, notamment les attaques par force brute visant des comptes utilisateurs.
En complément, les outils d’analyse du comportement des utilisateurs (UEBA) facilitent la détection des accès inhabituels ou frauduleux. Enfin, un système de gestion des événements de sécurité (SIEM) centralise ces alertes et automatise leur traitement par les équipes techniques.
L’audit des accès doit être réalisé régulièrement pour vérifier que seules les personnes autorisées disposent de droits sur les ressources critiques. L’identification et la suppression des comptes fantômes, ainsi que la révision périodique des privilèges des utilisateurs sont des mesures à mettre en place suite à cet audit, pour limiter les risques d’abus ou d’usurpation d’identité.
Sources :
2 https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite