Pourquoi les mots de passe comptent
Un mot de passe faible est le moyen le plus simple d’accéder à des données personnelles. Pas de piratage compliqué, pas de technique avancée - juste se connecter avec un mot de passe deviné ou volé. Les recherches montrent que les mots de passe faibles ou réutilisés sont impliqués dans plus de 80% des attaques réussies sur les systèmes d’entreprise.
Le RGPD exige dans son Article 32 que vous preniez des “mesures techniques et organisationnelles appropriées” pour protéger les données personnelles. Une bonne politique de mots de passe en est l’une des pierres angulaires.
Les cinq règles de base
1. Utilisez un gestionnaire de mots de passe
C’est l’étape la plus importante que vous puissiez prendre. Un gestionnaire de mots de passe génère des mots de passe forts et uniques pour chaque système et les mémorise pour vous.
Bonnes options pour les PME :
- Bitwarden - open source, gratuit pour usage individuel, plan professionnel abordable
- 1Password - convivial, excellent plan professionnel avec fonctionnalités d’équipe
Pas de fichiers Excel, pas de notes partagées, pas de mots de passe dans les e-mails.
2. Activez la 2FA partout
L’authentification à deux facteurs (2FA) ajoute une deuxième couche de vérification à côté de votre mot de passe. Même si un mot de passe est volé, un attaquant ne peut pas se connecter sans ce deuxième facteur.
Activez la 2FA sur :
- Messagerie (Google Workspace, Microsoft 365)
- Systèmes CRM
- Logiciels de comptabilité
- Stockage cloud (Google Drive, Dropbox, OneDrive)
- Comptes de réseaux sociaux de l’entreprise
Rendez-la obligatoire, pas optionnelle.
3. Minimum 12 caractères
L’époque des mots de passe de 8 caractères est révolue. Les directives actuelles recommandent au moins 12 caractères. Une phrase de passe fonctionne très bien : quatre ou cinq mots aléatoires ensemble.
4. Ne jamais réutiliser
Chaque système reçoit un mot de passe unique. Si vous utilisez le même mot de passe pour votre messagerie, votre CRM et votre comptabilité, un seul système piraté donne accès à tout.
5. Changer après un incident, pas selon un calendrier
L’ancien conseil de changer les mots de passe tous les 90 jours est dépassé. Les recherches montrent que le changement régulier obligatoire conduit à des mots de passe plus faibles.
Changez les mots de passe uniquement quand :
- Il y a eu une violation de données
- Vous soupçonnez qu’un mot de passe a été compromis
- Un employé quitte l’entreprise (pour les comptes partagés)
Erreurs courantes
Le post-it sur l’écran. Un mot de passe fort soigneusement écrit sur un papier jaune à côté de l’écran. Tous les efforts pour rien.
Le compte partagé. “On utilise tous le même login pour le CRM.” Résultat : impossible de tracer qui a fait quoi.
“Bienvenue123” comme mot de passe par défaut. Les nouveaux employés reçoivent un mot de passe standard qu’ils doivent changer “plus tard”. Spoiler : ça n’arrive pas.
Mots de passe dans WhatsApp ou e-mail. Ces messages restent sur des téléphones non chiffrés.
Mot de passe seul, pas de 2FA. Un mot de passe seul ne suffit pas.
Comment l’implémenter
- Choisissez un gestionnaire de mots de passe et déploiez-le pour toute l’équipe
- Activez la 2FA sur tous les systèmes contenant des données personnelles
- Fixez des exigences minimales : 12 caractères, unique par système
- Communiquez la politique clairement à vos employés
- Vérifiez la conformité - activez la 2FA obligatoire là où c’est possible
GDPRWise vous aide à cartographier et documenter vos mesures de sécurité. De la politique de mots de passe à la gestion des accès.