Pourquoi les mots de passe comptent
Un mot de passe faible est le moyen le plus simple d’acceder a des donnees personnelles. Pas de piratage complique, pas de technique avancee - juste se connecter avec un mot de passe devine ou vole. Les recherches montrent que les mots de passe faibles ou reutilises sont impliques dans plus de 80% des attaques reussies sur les systemes d’entreprise.
Le RGPD exige dans son Article 32 que vous preniez des “mesures techniques et organisationnelles appropriees” pour proteger les donnees personnelles. Une bonne politique de mots de passe en est l’une des pierres angulaires.
Les cinq regles de base
1. Utilisez un gestionnaire de mots de passe
C’est l’etape la plus importante que vous puissiez prendre. Un gestionnaire de mots de passe genere des mots de passe forts et uniques pour chaque systeme et les memorise pour vous.
Bonnes options pour les PME :
- Bitwarden - open source, gratuit pour usage individuel, plan professionnel abordable
- 1Password - convivial, excellent plan professionnel avec fonctionnalites d’equipe
Pas de fichiers Excel, pas de notes partagees, pas de mots de passe dans les e-mails.
2. Activez la 2FA partout
L’authentification a deux facteurs (2FA) ajoute une deuxieme couche de verification a cote de votre mot de passe. Meme si un mot de passe est vole, un attaquant ne peut pas se connecter sans ce deuxieme facteur.
Activez la 2FA sur :
- Messagerie (Google Workspace, Microsoft 365)
- Systemes CRM
- Logiciels de comptabilite
- Stockage cloud (Google Drive, Dropbox, OneDrive)
- Comptes de reseaux sociaux de l’entreprise
Rendez-la obligatoire, pas optionnelle.
3. Minimum 12 caracteres
L’epoque des mots de passe de 8 caracteres est revolue. Les directives actuelles recommandent au moins 12 caracteres. Une phrase de passe fonctionne tres bien : quatre ou cinq mots aleatoires ensemble.
4. Ne jamais reutiliser
Chaque systeme recoit un mot de passe unique. Si vous utilisez le meme mot de passe pour votre messagerie, votre CRM et votre comptabilite, un seul systeme pirate donne acces a tout.
5. Changer apres un incident, pas selon un calendrier
L’ancien conseil de changer les mots de passe tous les 90 jours est depasse. Les recherches montrent que le changement regulier obligatoire conduit a des mots de passe plus faibles.
Changez les mots de passe uniquement quand :
- Il y a eu une violation de donnees
- Vous soupconnez qu’un mot de passe a ete compromis
- Un employe quitte l’entreprise (pour les comptes partages)
Erreurs courantes
Le post-it sur l’ecran. Un mot de passe fort soigneusement ecrit sur un papier jaune a cote de l’ecran. Tous les efforts pour rien.
Le compte partage. “On utilise tous le meme login pour le CRM.” Resultat : impossible de tracer qui a fait quoi.
“Bienvenue123” comme mot de passe par defaut. Les nouveaux employes recoivent un mot de passe standard qu’ils doivent changer “plus tard”. Spoiler : ca n’arrive pas.
Mots de passe dans WhatsApp ou e-mail. Ces messages restent sur des telephones non chiffres.
Mot de passe seul, pas de 2FA. Un mot de passe seul ne suffit pas.
Comment l’implementer
- Choisissez un gestionnaire de mots de passe et deploiez-le pour toute l’equipe
- Activez la 2FA sur tous les systemes contenant des donnees personnelles
- Fixez des exigences minimales : 12 caracteres, unique par systeme
- Communiquez la politique clairement a vos employes
- Verifiez la conformite - activez la 2FA obligatoire la ou c’est possible
GDPRWise vous aide a cartographier et documenter vos mesures de securite. De la politique de mots de passe a la gestion des acces.