Comment créer une politique de mots de passe (vraiment) efficace pour vos employés
On le sait : la plupart des cyberattaques commencent par… un mot de passe faible.
Un mot de passe comme “123456”, “password” ou “qwerty123” peut suffire à compromettre tout un réseau d’entreprise.
Pourtant, beaucoup de PME n’ont aucune politique officielle de gestion des mots de passe.
Résultat : chacun fait à sa façon, souvent sans trop réfléchir.
Voici un guide simple pour bâtir une politique de mots de passe claire, efficace et adaptée à votre entreprise.
Pourquoi avoir une politique de mots de passe ?
Parce que vos employés sont la première ligne de défense.
Une seule erreur humaine peut ouvrir la porte à un pirate.
Une bonne politique :
réduit le risque d’accès non autorisé ;
établit des règles communes faciles à suivre ;
et démontre votre conformité à la Loi 25 en matière de sécurité des données.
1. Définir des règles claires et simples à appliquer
Une politique trop complexe ne sera pas respectée.
Voici les bonnes pratiques recommandées :
Longueur minimale
Au moins 12 caractères.
C’est la longueur qui compte le plus : elle augmente la difficulté d’un piratage par force brute.
Diversité des caractères
Inclure au moins : une majuscule, une minuscule, un chiffre, un symbole
Mais inutile d’imposer des combinaisons impossibles à retenir : “Bananes_à_Laval2025” est beaucoup plus sécuritaire (et mémorable) que “Xj8$1kZ!”.
Interdiction des mots de passe réutilisés
Aucun mot de passe identique sur plusieurs comptes.
Un piratage d’un seul service peut sinon compromettre tous les autres.
Expiration raisonnable
Éviter de forcer un changement trop fréquent (ex. : tous les 30 jours).
Cela pousse souvent les employés à noter leurs mots de passe sur un papier.
Préférez un changement annuel ou lors d’un incident de sécurité.
2. Favoriser les gestionnaires de mots de passe
Plutôt que d’imposer la mémoire, facilitez la vie à vos employés.
Un gestionnaire comme NordPass ou 1Password :
génère des mots de passe uniques et complexes ;
les enregistre de façon sécurisée ;
et simplifie la connexion au quotidien.
Inclure un gestionnaire dans votre politique réduit les oublis et les contournements.
3. Activer l’authentification multifactorielle (MFA)
Un mot de passe fort, c’est bien.
Une double vérification, c’est encore mieux.
Exemples de MFA :
- Code reçu par SMS ou application (Microsoft Authenticator, Google Authenticator)
- Clé de sécurité physique
- Reconnaissance biométrique
Règle d’or : toujours activer la MFA sur les comptes à risque (messagerie, CRM, outils financiers).
4. Former et sensibiliser votre équipe
Même la meilleure politique ne sert à rien si les employés ne la comprennent pas.
Offrez une formation courte pour expliquer :
pourquoi la politique existe ;
comment créer un mot de passe fort ;
comment reconnaître un message de phishing.
Un rappel visuel (affiche, vidéo, quiz) peut faire toute la différence.
Les capsules Vigelia sur les bons réflexes de cybersécurité sont idéales pour ça.
5. Documenter et appliquer la politique
Écrivez la politique dans un document accessible à tous.
Faites-la signer lors de l’embauche.
Ajoutez un rappel automatique (par exemple : “votre mot de passe expire dans 30 jours”).
Et surtout : appliquez-la vous-même.
Un dirigeant qui utilise “Admin2023!” perd toute crédibilité.
Exemple de règle de politique simple
Chaque employé doit utiliser un mot de passe d’au moins 12 caractères, combinant lettres, chiffres et symboles.
Les mots de passe doivent être uniques à chaque plateforme et stockés dans un gestionnaire approuvé.
L’authentification multifactorielle doit être activée sur tous les outils critiques.
La cybersécurité commence souvent par un bon mot de passe. Mais pour qu’il soit efficace, il faut que tout le monde suive les mêmes règles.
Nos capsules de formation sur les bons réflexes numériques aident vos employés à devenir la meilleure défense contre les cybermenaces.
