Une bonne politique de mots de passe en 2026 a un autre visage qu'il y a dix ans. La longueur compte plus que la complexité, un gestionnaire de mots de passe n'est plus un luxe mais une nécessité, et le MFA est une couche importante mais plus un bouclier complet. L'avenir est sans mot de passe avec les passkeys et les clés matérielles. Que doivent réellement faire les collaborateurs, et comment mettre cela en place sans paralyser l'organisation par des règles que personne ne comprend ?
Pourquoi les mots de passe comptent encore, et où ça déraille
Les mots de passe sont depuis des années le maillon le plus faible de la plupart des incidents de sécurité. Les identifiants volés ou devinés restent le point d'entrée le plus utilisé dans les fuites de données : un attaquant achète une liste d'identifiants issue d'une fuite antérieure, les essaie sur des centaines de services, et entre en quelques secondes chez les collaborateurs qui réutilisent le même mot de passe.
En pratique, l'abus de mots de passe entre par trois voies. La réutilisation entre services (le mot de passe professionnel est le même que celui à titre privé), des mots de passe faibles ou prévisibles (Bienvenue2026 !, nom de l'entreprise + année), et l'incitation au partage via phishing ou un faux appel du « helpdesk ».
Aucune de ces trois failles ne se résout par des règles plus complexes. Au contraire : une politique trop stricte (quatre majuscules, deux chiffres, trois symboles, changement tous les 30 jours) entraîne démontrablement des comportements plus faibles. Les gens collent le mot de passe sous le clavier, remplacent P@ssword1 ! par P@ssword2 ! et continuent à réutiliser. Une bonne politique oriente le comportement souhaité, pas le sentiment de contrôle.
Ce qu'est réellement un mot de passe fort : longueur plutôt que complexité
Le NIST et l'ANSSI/NCSC écrivent depuis plusieurs années la même chose : la longueur compte plus que la complexité. Un mot de passe de quatre ou cinq mots aléatoires (« sel-piano-brillant-rivière-92 ») est plus facile à retenir pour un humain et bien plus difficile à casser pour un attaquant qu'une courte chaîne avec majuscules et symboles.
Règle pratique : minimum douze caractères, pas de mélange forcé de caractères spéciaux, pas de changement obligatoire à intervalle fixe. En revanche, vérifier les mots de passe contre les fuites connues publiquement (via Have I Been Pwned ou une fonction intégrée à votre plateforme d'identité) et imposer un changement immédiat en cas de correspondance.
Arrêtez aussi de forcer le changement périodique. La recherche démontre depuis des années que la rotation obligatoire affaiblit les mots de passe, car les gens recourent à des motifs. Ne changez que sur événement : suspicion de compromission, fuite signalée, départ d'un collègue ayant un accès partagé.
Pourquoi un gestionnaire de mots de passe n'est pas un luxe
Un collaborateur moyen a en 2026 facilement plus d'une centaine de comptes. L'idée que quelqu'un retient un mot de passe unique long pour chaque compte est dépassée. Un gestionnaire fait exactement cela : il génère par service un mot de passe long et unique, le stocke chiffré et le remplit automatiquement sur le bon site.
Pour l'organisation, trois bénéfices sont autrement inatteignables : les collaborateurs ne réutilisent plus (parce qu'ils ne mémorisent plus rien), le phishing devient visible (le gestionnaire ne remplit pas sur un domaine inconnu), et le passage aux passkeys est plus fluide car le gestionnaire les prend en charge.
Proposez un gestionnaire au niveau de l'organisation. Pas besoin de solution coûteuse ; les bonnes options entreprises commencent à quelques euros par collaborateur par mois. Rendez-le optionnel à titre privé (souvent inclus dans la même licence), pour que les collaborateurs travaillent aussi plus sûrement à la maison.
MFA : nécessaire mais pas suffisant, et le passage aux passkeys
L'authentification multifacteur reste une couche importante mais est de plus en plus contournée. Trois techniques sont devenues routinières en 2026 : MFA fatigue (l'attaquant bombarde de notifications push jusqu'à ce que quelqu'un approuve), adversary-in-the-middle (l'attaquant s'intercale et vole le cookie de session) et SIM swap (l'attaquant fait transférer votre numéro et reçoit vos codes SMS).
Par ordre de robustesse : une clé matérielle (FIDO2) est la plus forte, suivie d'une application authenticator sur un appareil où vous vous connectez, ensuite les notifications push, et enfin tout en bas le SMS. Le SMS pour le MFA est en 2026 un dernier recours, pas un choix par défaut.
La vraie solution est sans mot de passe. Les passkeys sont des clés cryptographiques qui restent sur votre appareil et ne peuvent pas être volées via une page de phishing. Les grands services (Microsoft, Google, Apple, banques, administration) les prennent tous en charge. Pour votre programme de sensibilisation, message simple : expliquer que les passkeys ne sont pas une étape supplémentaire mais un remplacement fort du mot de passe plus MFA, et aider à la première activation.
Que faire si votre mot de passe apparaît dans une fuite
Les fuites de données font partie du quotidien en 2026. Tôt ou tard, un mot de passe se retrouve dans une liste connue, pas toujours via votre propre organisation, mais via un service privé où il était identique. Et alors ?
- Changez immédiatement le mot de passe sur le service concerné. Et sur chaque autre service où vous avez utilisé le même mot de passe, ce que l'on cherchait précisément à éviter.
- Activez le MFA s'il n'était pas en place. Disponible sur presque tous les services modernes.
- Vérifiez l'historique de connexion sur le service concerné. Déconnectez immédiatement les sessions inconnues et avertissez le service.
- Signalez-le à l'équipe sécurité s'il s'agit d'un service professionnel. Une compromission peut être un tremplin pour un accès plus large.
- Envisagez de passer à un passkey là où le service le permet. Remplacer une fois le mot de passe par un passkey élimine ce risque pour ce service.
Comment ancrer cela dans un programme de sensibilisation
La gestion des mots de passe n'a pas sa place dans une formation annuelle d'une heure. Elle fonctionne mieux comme thème court et récurrent connecté à ce que les collaborateurs vivent déjà.
Commencez par un module de six à huit minutes montrant ce qu'est un mot de passe fort (trois à cinq mots aléatoires), pourquoi la réutilisation est dangereuse et comment fonctionne le gestionnaire de l'organisation. Combinez avec une campagne interne : courte vidéo d'instructions, permanence du helpdesk, éventuellement une permanence dédiée à l'usage privé.
Poursuivez le thème dans les mois suivants par des rappels plus courts : campagne d'affiches sur les passkeys, article après une grosse fuite publique avec consigne (« vérifiez si votre mot de passe y figurait »), note dans l'analyse de risque annuelle indiquant quels services s'appuient encore sur des mots de passe classiques. Rendez le thème personnel : montrez comment les collaborateurs sécurisent aussi leur vie privée.
Enfin, alignez la politique sur la réalité. Une politique qui impose encore une rotation tous les 30 jours est non seulement dépassée mais démontrablement contre-productive. Pilotez selon les principes modernes (longueur, unicité, MFA, passkey si possible) et expliquez en communication pourquoi vous supprimez les règles obsolètes.
Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.
Voir la page formationArticles connexes
- Reconnaître les attaques de fatigue MFA
- Sécurité des e-mails et ingénierie sociale
- Comment construire une culture de sécurité
- Qu'est-ce que le phishing ?
Sources
- NIST SP 800-63B: Digital Identity Guidelines
- NCSC NL : mots de passe (aperçu)
- FIDO Alliance: passkeys explained
FAQ
Quelle longueur pour un mot de passe ?
Au moins douze caractères. La longueur compte plus que la complexité. Trois à cinq mots aléatoires sont plus faciles à retenir et beaucoup plus durs à casser qu'une courte combinaison avec majuscules et symboles.
Faut-il changer les mots de passe régulièrement ?
Non, pas automatiquement. La rotation obligatoire affaiblit démontrablement les mots de passe, car les gens recourent à des motifs. Ne changez que sur événement : suspicion de compromission, fuite signalée, départ d'un collègue avec accès partagé.
Un gestionnaire de mots de passe est-il sûr ?
Oui. Un bon gestionnaire chiffre vos mots de passe localement avec un mot de passe maître qui n'est stocké nulle part. Le risque d'un mot de passe maître est négligeable face à celui de la réutilisation sur des dizaines de services.
Que sont les passkeys ?
Les passkeys sont des clés cryptographiques qui restent sur votre appareil et ne peuvent pas être volées via une page de phishing. Elles remplacent mot de passe plus MFA en une seule étape, sont plus rapides et résistantes au phishing et à l'adversary-in-the-middle.
Que faire si mon mot de passe apparaît dans une fuite ?
Changez-le immédiatement sur le service concerné et sur tout autre service où vous l'utilisiez. Activez le MFA et vérifiez l'historique de connexion. Pour un service professionnel, informez aussi l'équipe sécurité.
Quelle méthode MFA est la plus sûre ?
Une clé matérielle (FIDO2) est la plus forte, suivie d'une application authenticator, puis d'une notification push. Le SMS pour le MFA est un dernier recours : vulnérable au SIM swap, c'est l'option la plus faible.
Les organisations doivent-elles imposer une complexité de mot de passe ?
De préférence pas à l'ancienne (mélange de symboles, majuscules, chiffres). Exigez une longueur minimale de douze caractères et une vérification contre les fuites connues. Les règles strictes de complexité conduisent démontrablement à un comportement plus faible.
Source externe : NCSC - Awareness resources