Securite des mots de passe en entreprise : le guide complet pour proteger vos comptes

Les mots de passe sont encore la porte d'entree

Chaque annee, les rapports de securite racontent la meme histoire. Le Data Breach Investigations Report de Verizon constate systematiquement que les identifiants compromis sont impliques dans plus de 80% des violations d'applications web. Pas des exploits zero-day sophistiques. Des mots de passe. Faibles, reutilises, partages, jamais changes.

Pour les petites et moyennes entreprises en Suisse et en Europe, c'est a la fois la mauvaise et la bonne nouvelle. Mauvaise parce que le risque est reel et immediat. Bonne parce que la securite des mots de passe est l'un des problemes les plus resolubles en cybersecurite. Vous n'avez pas besoin d'outils couteux ni d'une equipe de securite dediee. Vous avez besoin d'une politique claire, des bons outils et de l'adhesion des employes.

Pourquoi les mots de passe echouent : les trois causes profondes

Cause 1 : La reutilisation des mots de passe

C'est le probleme numero un des mots de passe en entreprise. Vos employes utilisent le meme mot de passe pour leur email professionnel, LinkedIn, leur boutique en ligne favorite et le CRM de l'entreprise. Quand l'un de ces services est pirate (et les violations arrivent constamment), l'attaquant a la cle de tout le reste.

Les chiffres sont saisissants. Have I Been Pwned, le service de notification de violations, recense plus de 13 milliards de comptes compromis. Les chances qu'au moins un de vos employes ait un mot de passe dans une base de donnees fuilee sont essentiellement de 100%. Si ce mot de passe est aussi utilise pour vos systemes d'entreprise, vous avez un probleme.

C'est ainsi que fonctionne le credential stuffing. Les attaquants prennent des paires identifiant-mot de passe provenant de bases de donnees violees et les testent sur d'autres services. Ils automatisent ce processus, testant des millions de combinaisons par heure.

Cause 2 : Mots de passe faibles

Malgre des annees de campagnes de sensibilisation, les mots de passe les plus courants restent deprimants de previsibilite. "123456", "password", "admin", "qwerty" dominent les classements annee apres annee. Meme quand les entreprises exigent des mots de passe "complexes", les employes suivent le schema minimal : une majuscule au debut, un chiffre a la fin, peut-etre un point d'exclamation. "Entreprise2021!" est techniquement complexe mais trivialement devinable.

Un GPU moderne peut tester des milliards de hash de mots de passe par seconde. Un mot de passe de 8 caracteres en minuscules uniquement peut etre craque en moins d'une seconde. La longueur compte bien plus que la complexite.

Cause 3 : Pas d'authentification multi-facteurs

Meme un mot de passe fort et unique est un point de defaillance unique. S'il est hameconner, enregistre par un keylogger ou divulgue, l'attaquant a un acces complet. L'authentification multi-facteurs (MFA) ajoute une deuxieme etape de verification qui rend un mot de passe vole bien moins utile.

Pourtant, les taux d'adoption de la MFA dans les petites entreprises restent bas. Microsoft rapporte que la MFA bloque plus de 99,9% des attaques de compromission de comptes.

Attaques ciblant vos mots de passe

Credential Stuffing

Les attaquants utilisent des paires identifiant-mot de passe divulguees lors de violations d'autres sites. Ils achetent ou telecharent des bases de donnees de violations et executent des outils automatises qui testent chaque paire contre votre page de connexion.

Ce qui rend le credential stuffing dangereux pour les PME, c'est qu'il fonctionne silencieusement. Pas d'alarmes, pas de crashes serveur, pas de signes visibles d'attaque. Un attaquant se connecte avec des identifiants valides et apparait comme un utilisateur legitime.

Attaques brute force

Une attaque brute force teste chaque combinaison de mot de passe possible. Contre les hash de mots de passe hors ligne, la vitesse est terrifiante :

Type de hash	Vitesse (hash/seconde)	Temps pour craquer un mot de passe de 8 caracteres
MD5	~60 milliards	Secondes
SHA-1	~20 milliards	Minutes
SHA-256	~8 milliards	Minutes a heures
bcrypt (cost 12)	~30 000	Annees a siecles

C'est pourquoi l'algorithme de hachage utilise par votre application pour stocker les mots de passe est d'une importance capitale. Les applications modernes devraient utiliser bcrypt, scrypt ou Argon2.

Phishing

L'attaque de mots de passe la plus efficace n'implique aucun craquage. L'attaquant demande simplement le mot de passe, deguise en source de confiance. Nous en avons parle en detail dans notre article sur le phishing et la compromission des emails d'entreprise.

Keyloggers et info-stealers

Les malwares qui enregistrent les frappes au clavier ou extraient les mots de passe sauvegardes des navigateurs sont de plus en plus courants. Les info-stealers modernes comme RedLine ou Raccoon peuvent capturer chaque mot de passe sauvegarde dans Chrome, Firefox et Edge en quelques secondes.

Construire une politique de mots de passe qui fonctionne

Longueur plutot que complexite

L'ancienne approche (minimum 8 caracteres, doit inclure majuscule, minuscule, chiffre, symbole) est depassee. Le NIST a mis a jour ses recommandations en 2017 (SP 800-63B) :

• Minimum 12 caracteres, de preference 16 ou plus
• Pas d'exigences de complexite (elles menent a des schemas previsibles)
• Encourager les phrases de passe : plusieurs mots aleatoires assembles
• Verifier les mots de passe contre les bases de violations connues a la creation
• Ne pas forcer le changement periodique sauf en cas de compromission averee

Ce dernier point surprend beaucoup de dirigeants. La rotation forcee des mots de passe etait la norme pendant des decennies. Mais la recherche a montre qu'elle conduit a des mots de passe plus faibles. Un mot de passe fort et unique qui ne change pas vaut mieux qu'un mot de passe faible qui change chaque trimestre.

MFA obligatoire pour tous les comptes

Chaque compte ayant acces a des donnees d'entreprise devrait exiger la MFA. Ordre de priorite pour le deploiement :

1. Comptes email (une compromission ici permet la reinitialisation des mots de passe de tout le reste)
2. Registraire de domaine et gestion DNS
3. Services bancaires et financiers
4. Stockage cloud (Google Drive, Dropbox, OneDrive)
5. Panneaux admin CMS
6. CRM et applications metier
7. Comptes reseaux sociaux

Pour les methodes MFA, preferez le TOTP base sur une application (Google Authenticator, Authy) ou les cles materiel (YubiKey) aux SMS. La MFA par SMS est mieux que rien, mais les attaques de SIM swapping peuvent intercepter les codes SMS.

Gestionnaires de mots de passe pour PME

Un gestionnaire de mots de passe n'est pas optionnel. Il est aussi fondamental que d'avoir des serrures sur les portes de votre bureau. Sans lui, vos employes reutiliseront des mots de passe, les stockeront dans des tableurs ou les ecriront sur des post-it.

Ce que fait un gestionnaire de mots de passe

• Genere des mots de passe forts, aleatoires et uniques pour chaque compte
• Les stocke dans un coffre-fort chiffre accessible uniquement avec un mot de passe maitre
• Remplit automatiquement les mots de passe dans les navigateurs et applications
• Permet le partage securise d'identifiants entre membres de l'equipe
• Vous alerte quand un mot de passe stocke est apparu dans une violation connue
• Fournit des journaux d'audit montrant qui a accede a quels identifiants et quand

Options recommandees pour les PME

1Password Business : Notre recommandation principale pour les PME. Interface soignee, excellentes extensions navigateur, fonctionnalites solides de gestion d'equipe. Vous pouvez creer des coffres-forts pour differents departements, imposer la MFA et consulter des rapports de securite.

Bitwarden : La meilleure option open source. Bitwarden propose un plan Teams et un plan Enterprise a des prix inferieurs a 1Password. L'interface est legerement moins polie, mais la securite est tout aussi solide. Etant open source, son code est publiquement auditable. Vous pouvez meme l'heberger vous-meme si vous voulez un controle total sur vos donnees, ce qui peut etre pertinent pour les entreprises suisses ayant des exigences de residence des donnees.

Deployer un gestionnaire de mots de passe

1. Choisissez l'outil et achetez des licences pour tous les employes.
2. Configurez le compte organisation avec un administrateur qui gere l'equipe.
3. Creez la structure des coffres-forts : coffres partages pour les identifiants d'equipe, coffres personnels pour les comptes individuels.
4. Organisez un atelier. Montrez aux employes comment installer l'extension, generer des mots de passe, sauvegarder des identifiants et utiliser le remplissage automatique. Rendez-le pratique, pas une presentation de diapositives.
5. Migrez les mots de passe existants. Fixez un delai : "Sous 30 jours, tous les mots de passe professionnels doivent etre dans le gestionnaire."
6. Imposez l'utilisation. Apres la periode de migration, desactivez la sauvegarde des mots de passe dans les navigateurs.

Formation des employes : l'element humain

Les outils seuls ne resolvent pas le probleme des mots de passe. Vos employes doivent comprendre pourquoi ces mesures existent et comment les utiliser correctement.

Quoi couvrir dans la formation

• Pourquoi les mots de passe comptent : Montrez des exemples reels de violations ayant commence par un seul mot de passe compromis.
• Comment fonctionne le credential stuffing : Demontrez haveibeenpwned.com. Laissez les employes verifier leurs propres adresses email.
• Comment utiliser le gestionnaire : Procedure pratique, pas de theorie.
• Comment reperer les tentatives de phishing
• Que faire en cas de mot de passe compromis : Etapes claires et simples. Pas de blame, pas de punition. Vous voulez que les employes signalent les incidents, pas qu'ils les cachent.

Considerations specifiques a la Suisse

Pour les entreprises operant en Suisse, la Loi federale sur la protection des donnees revisee (nLPD/revLPD) impose des obligations specifiques aux responsables du traitement. Si votre entreprise collecte des donnees personnelles, vous etes responsable de mesures techniques et organisationnelles adequates.

Des politiques de mots de passe faibles sont difficiles a defendre comme "mesures techniques adequates" si une violation survient. Pour les entreprises a Lugano et au Tessin qui gere des donnees clients, la securite des mots de passe n'est pas seulement une question IT. C'est une exigence de conformite.

Pour en savoir plus sur l'impact de la nLPD sur votre site, consultez notre article sur l'adaptation de votre site web a la nLPD.

Checklist de demarrage rapide

1. Activez la MFA sur tous les comptes email aujourd'hui.
2. Choisissez et deployez un gestionnaire de mots de passe cette semaine.
3. Verifiez les emails de tous les employes sur haveibeenpwned.com.
4. Redigez une politique de mots de passe simple. Une page.
5. Organisez une session de formation de 30 minutes.
6. Fixez un delai pour la migration des mots de passe. 30 jours.
7. Desactivez la sauvegarde de mots de passe dans les navigateurs sur les appareils de l'entreprise.
8. Planifiez une formation de rappel trimestrielle.

Si vous avez besoin d'aide pour mettre en place un programme de securite des mots de passe, contactez notre equipe a Lugano. Nous travaillons avec des PME a travers le Tessin et la Suisse pour construire des mesures de securite pratiques et proportionnees.

Le cout de l'erreur

Un compte email d'entreprise compromis peut mener a la fraude sur facture, au vol de donnees, au deploiement de ransomware et a des dommages reputationnels. Le cout moyen d'une violation de donnees pour une petite entreprise est estime a CHF 100 000 a 200 000. Un gestionnaire de mots de passe coute CHF 5-8 par utilisateur par mois. La MFA est gratuite sur la plupart des plateformes. Le calcul n'est pas complique. Pour un approfondissement, lisez notre article sur le cout d'un site web pirate pour les PME.