La biométrie peut-elle remplacer les mots de passe ?

Partiellement. L'authentification multifacteur (biométrie + mot de passe ou code) offre la meilleure sécurité. Seule la biométrie reste vulnérable aux usurpations.

Politique de mots de passe en entreprise : ce qu'il faut vraiment faire

Q: Combien de temps doit être un mot de passe sécurisé ?

L'ANSSI recommande au minimum 12 caractères. Pour les accès sensibles (administrateur, email), privilégiez 16 caractères ou une passphrase.

Q: Faut-il changer les mots de passe tous les 30 jours ?

Non. L'ANSSI a abandonné cette recommandation en 2015. Les changements fréquents incitent les collaborateurs à utiliser des mots de passe faibles. Changez uniquement en cas de suspicion de fuite.

Q: Comment stocker les mots de passe en toute sécurité ?

Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) qui chiffre les données. Jamais d'Excel ou de Post-it ! Centralisez dans votre Active Directory ou équivalent.

Une fuite de données tous les 11 secondes. Un mot de passe qui reste le même 2 ans. Un collaborateur qui note ses identifiants sur un Post-it collé à l'écran. Si vous voyez ces scènes en entreprise, votre politique de mots de passe n'existe pas — ou elle est ignorée.

Or, 80 % des cyberattaques commencent par un mot de passe faible ou compromis. Pour une TPE ou PME en Drôme ou en Ardèche, cela peut signifier l'arrêt de l'activité. C'est pourquoi j'ai écrit ce guide : pas de théorie pédante, mais 8 règles concrètes, testées sur le terrain avec mes clients de Valence, Romans, Montélimar et au-delà.

8 règles essentielles pour une politique de mots de passe efficace

1. Longueur minimum : 12 caractères, 16 pour les accès sensibles

L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) recommande 12 caractères minimum pour les accès standard. Pour les administrateurs, les mailbox partagées ou les accès base de données, montez à 16 caractères ou privilégiez une passphrase (phrase mémorisable : "MonClient2024-DrômeIT!").

💡 Conseil : Une passphrase de 4 mots ordinaires (ex. "soleil-montagne-valence-2026") est souvent plus sécurisée et mémorisable qu'un mot de passe cryptique.

2. Complexité : majuscules, minuscules, chiffres ET symboles

Le mot de passe doit contenir au minimum 4 des 5 critères suivants :

Lettres majuscules (A–Z)
Lettres minuscules (a–z)
Chiffres (0–9)
Symboles spéciaux (!@#$%&*)
Espaces

Un mot de passe "Valence2026!" respecte ces critères. "valence" ne suffit pas, même avec 12 caractères.

3. Authentification multifacteur (MFA) : obligatoire pour les postes sensibles

Un seul mot de passe, même excellent, peut être volé ou deviné. Combinez-le à un second facteur : code envoyé par SMS, application authenticatrice (Google Authenticator, Authy) ou clé de sécurité (YubiKey). Activez MFA dès maintenant sur :

Email professionnel
Accès administrateur (serveur, routeur, sauvegarde)
Services cloud (Microsoft 365, Google Workspace)
Outils comptables ou RH sensibles

4. Stockage centralisé : jamais d'Excel ni de Post-it

Les mots de passe doivent être stockés dans un gestionnaire chiffré, idéalement votre annuaire Active Directory (pour les entreprises utilisant Windows Server). Les alternatives sécurisées incluent Bitwarden, 1Password ou KeePass, que je présente plus loin.

5. Changement uniquement sur suspicion de fuite

L'ANSSI a abandonné en 2015 la recommandation de changer les mots de passe tous les 30 ou 90 jours. Pourquoi ? Cela incite les collaborateurs à utiliser des mots de passe faibles ("mdp123", "123456", "azerty"). Changez votre mot de passe immédiatement si :

Vous avez entendu parler d'une fuite du service utilisé
Quelqu'un d'autre a eu accès à votre compte
Vous avez vu une alerte de Cybermalveillance.gouv.fr ou d'HAVEIBEENPWNED

6. Interdire la réutilisation sur plusieurs services

Si un attaquant obtient votre mot de passe pour un service mineur (réseau social, forum), il testera immédiatement vos accès critiques (email, banque, travail). Imposez un mot de passe différent pour chaque service important. Un gestionnaire de mots de passe rend cela possible sans fatigue mentale.

7. Formation mensuelle : les utilisateurs sont votre première ligne de défense

Insérez dans votre onboarding RH une formation de 20 minutes sur les mots de passe. Puis, envoyez un email récapitulatif chaque mois avec un lien vers votre politique écrite. Trop d'attaques en Drôme et Ardèche exploitent simplement l'ignorance.

8. Audit annuel : testez vos recommandations

Une fois par an, effectuez un test interne (penetration testing) ou demandez à un prestataire comme moi de vérifier :

Avez-vous des mots de passe par défaut restants (routeur, NAS, serveur) ?
Les comptes de service utilisent-ils des mots de passe codés en dur dans les scripts ?
Existe-t-il des accès partagés (ex. "compte_admin" pour plusieurs personnes) ?
Vos gestionnaires de mots de passe sont-ils réellement utilisés ?

Les 5 pièges à éviter absolument

❌ Piège 1 : Imposer une complexité excessive

Exiger des changements tous les 15 jours + 20 caractères + 3 symboles = des collaborateurs qui écrivent leurs mots de passe. C'est pire qu'un mot de passe faible. Restez raisonnable : 12 caractères, complexité modérée, stabilité.

❌ Piège 2 : Utiliser des services Cloud non chiffrés

Google Drive, OneDrive sans chiffrement client, ou pire, un fichier texte partagé, c'est une invitation pour les hackers. Vos mots de passe ne doivent jamais être stockés en clair, même temporairement.

❌ Piège 3 : Ne pas documenter votre politique par écrit

Si c'est dans votre tête, ça n'existe pas. Rédigez une politique en 1-2 pages, signez-la avec votre direction, et faites signer par chaque collaborateur. En cas de litige ou audit, c'est votre protection.

❌ Piège 4 : Laisser des accès d'anciens collaborateurs actifs

Un salarié part en Ardèche travailler ailleurs, mais son compte email reste actif. Ses identifiants sont toujours valides pour votre VPN, votre serveur, votre CRM. Désactivez TOUS les accès dès le jour du départ.

❌ Piège 5 : Oublier les accès partagés (boîtes génériques)

Vous avez un compte "contact@votreentreprise.com" partagé entre 5 personnes ? Imposez un mot de passe fort, rotation annuelle, et qui accède à quoi (logs d'accès). Mieux encore : utilisez un gestionnaire de mots de passe avec audit de groupe.

5 outils éprouvés pour mettre en œuvre votre politique

1. Bitwarden (gratuit à partir de 12 €/utilisateur/an)

Meilleur pour : PME en recherche de rapport qualité-prix et transparence.
Forces : Code ouvert, chiffrement client, interface simple, stockage cloud ou auto-hébergé.
Faiblesse : Interface un poil moins fluide que 1Password.
Prix : Gratuit en individuel, 12 €/user/an en équipe.

2. 1Password (de 4 €/mois pour familles à 60 €/utilisateur/an en B2B)

Meilleur pour : Entreprises exigeantes qui veulent du support premium et UX immédiate.
Forces : UX exceptionnelle, intégration Chrome/Edge/Safari fluide, analytics fine, audit logs complets.
Faiblesse : Plus cher, propriétaire (fermé).
Prix : À partir de 4 €/mois familial, ~60 €/user/an en entreprise.

3. KeePass (gratuit, open-source)

Meilleur pour : Structures paranoia-friendly ou très petites équipes (sans serveur).
Forces : Complètement gratuit, chiffrement local, pas de dépendance cloud, portable (USB).
Faiblesse : Installation+synchro plus complexe, interface datée, pas de support officiel.
Prix : 0 € (donation optionnelle).

4. Microsoft Authenticator + Azure AD (si vous utilisez Microsoft 365)

Meilleur pour : Entreprises déjà sous écosystème Microsoft.
Forces : Intégration native, MFA par approbation, conditional access, gestion centralisée des mots de passe.
Faiblesse : Limité à l'écosystème Microsoft, moins transparent que Bitwarden ou 1Password.
Prix : Inclus dans Microsoft 365 Business Premium (+15 €/user/mois).

5. Dashlane (de 59,99 €/an individuel à 240 €/utilisateur/an B2B)

Meilleur pour : Grandes équipes voulant du monitoring (dark web scanning, breach detection).
Forces : Alertes intelligentes sur fuites, intégration SSO (Single Sign-On), rapports de conformité.
Faiblesse : Interface moins intuitif que 1Password, prix élevé.
Prix : À partir de 59,99 €/an individuel, ~240 €/utilisateur/an en entreprise.

💡 Mon recommandation pour les PME Drôme/Ardèche :
Petite équipe (<10 personnes) ? Bitwarden. Vous voulez du confort maximal ? 1Password. Vous êtes sous Microsoft 365 ? Activez d'abord Azure AD + MFA, puis ajoutez Bitwarden pour les services externes.

Mon expérience terrain : ce que je vois chez mes clients

Depuis 5 ans que je suis freelance IT à Valence, j'ai épaulé une quarantaine de PME et artisans en Drôme et Ardèche sur la sécurité informatique. Voici ce que j'observe concrètement :

Cas 1 — L'artisan sans politique
Un plombier de Montélimar avec 5 salariés demande de l'aide après avoir reçu un email de Cybermalveillance.gouv.fr : son email professionnel a été compromis. En trois questions, j'apprends que le même mot de passe (sa date de naissance) servait pour la caisse, le logiciel métier ET l'email. Un ancien apprenti parti ailleurs avait gardé l'accès. Solution : Bitwarden + MFA sur email + desactivation des anciens accès. Trois semaines plus tard, zéro incident.

Cas 2 — L'équipe avec Excel "sécurisé"
Une petite mairie de l'Ardèche pensait bien faire avec un fichier Excel password-protected stocké sur le serveur. Résultat : le fichier s'ouvre facilement avec un outil gratuit en 2 secondes. Les mots de passe des quatre élus et trois agents étaient lisibles. Passage à KeePass avec sauvegarde chiffrée sur clé USB+backup externe. Audit complet retrouvé 12 anciens comptes admin actifs.

Cas 3 — L'entreprise trop stricte
Un fabricant à Romans-sur-Isère imposait changement tous les 30 jours + 18 caractères. Réaction prévisible : collaborateurs notaient leurs mots de passe sur un Post-it. Audit interne en 2024 l'a montré noir sur blanc. Révision de la politique (12 caractères, changement annuel), formation simple, adoption immédiate de 1Password. Six mois plus tard : zéro incident, zéro Note-it.

Ce que j'en tire : La sécurité marche quand elle est simple, documentée et appliquée. Pas besoin d'être paranoïaque. Pas besoin d'être trop laxiste. Et cruciale : une responsable de l'IT (interne ou prestataire) qui vérifie annuellement que tout fonctionne.

Questions fréquentes

Combien de temps doit être un mot de passe sécurisé ?

L'ANSSI recommande au minimum 12 caractères pour les accès standard. Pour les accès sensibles (administrateur, email partagée, base de données), privilégiez 16 caractères ou une passphrase (suite de mots ordinaires séparés par des tirets).

La longueur prime sur la complexité cryptique. Un mot de passe "malabar-valence-2026-soleil" (34 caractères) est plus sécurisé qu'un "K9$mLp@2x" (9 caractères), même s'il semble "moins complexe".

Faut-il changer les mots de passe tous les 30 jours ?

Non. L'ANSSI a officiellement abandonné cette recommandation en 2015. Les changements fréquents incitent les utilisateurs à :

Réutiliser des variantes faibles ("mdp1", "mdp2", "mdp3")
Noter les mots de passe pour les mémoriser
Ignorer les alertes de sécurité par fatigue

À la place : changez uniquement en cas de suspicion réelle (fuite documentée, accès non autorisé détecté, alerte de Cybermalveillance.gouv.fr). Un mot de passe stable et fort est plus sûr qu'un faible changé souvent.

Comment stocker les mots de passe en toute sécurité ?

Jamais : Excel, Word, Notes, ou pire Post-it et carnets.
À privilégier : Gestionnaire de mots de passe chiffré (Bitwarden, 1Password, KeePass) ou Active Directory/Azure AD pour les accès internes.

Un bon gestionnaire :

Chiffre les données en local (avant envoi au serveur)
Vous permet de partager des accès à un groupe sans révéler le mot de passe
Offre des logs de qui a accédé à quoi et quand
Génère automatiquement des mots de passe forts

Pour les TPE sans infrastructure IT : Bitwarden gratuit en équipe (12 €/utilisateur/an).

La biométrie (empreinte, reconnaissance faciale) peut-elle remplacer les mots de passe ?

Partiellement seulement. La biométrie seule peut être usurpée (faux doigt en silicone, photo haute résolution du visage, deepfake). La meilleure sécurité est l'authentification multifacteur (MFA) : mot de passe + biométrie, ou mot de passe + code OTP (One-Time Password).

Exemple sécurisé : déverrouiller votre téléphone par empreinte, puis entrer votre mot de passe pour accéder à l'email professionnel, puis confirmer par code reçu en SMS.

La seule biométrie n'est pas suffisante pour un accès critique. Combinez toujours deux ou trois facteurs.

Où trouver plus d'infos fiables sur la politique de mots de passe ?

Sources officielles françaises (à jour 2026) :

Cyber.gouv.fr (ANSSI) — recommandations mises à jour annuellement
Cybermalveillance.gouv.fr — alertes, ressources gratuites, signalement d'incidents
CNIL.fr — conformité RGPD et données personnelles
HaveIBeenPwned.com — vérifiez si votre email est compromis

Vous ne savez pas par où commencer ?

Je propose un audit de sécurité gratuit (30 min) pour évaluer votre politique de mots de passe, identifier les accès oubliés, et recommander les outils adaptés à votre contexte.

Basé à Valence (Drôme), j'accompagne les TPE/PME de toute la région Drôme-Ardèche. Pas de jargon, pas de surcoûts inutiles.

Demander une consultation gratuite

À propos de l'auteur

Hugo Laurent est technicien informatique indépendant à Valence (Drôme), spécialisé en infogérance sécurisée et dépannage pour TPE/PME. Depuis 2019, il aide les petites structures de Drôme et Ardèche à sécuriser leurs données, former leurs équipes et comprendre la cybersécurité sans prise de tête.

Vous pouvez le contacter pour une intervention, un audit, ou une formation sur place : contact@hugoinformatique.fr ou 06 XX XX XX XX.