Politique de mots de passe — Modèles & bonnes pratiques

Des règles simples et efficaces, adaptées aux particuliers et aux petites organisations. 100% local, aucune donnée envoyée, version PDF imprimable.

🔒 Passphrases 🧠 Bonnes pratiques 🗂️ Modèles prêts à copier 🍪 Zéro cookies

1) Objectifs & périmètre

  • Protéger l’accès aux comptes et données (personnels ou professionnels).
  • Définir des règles simples et applicables par tous.
  • S’applique aux comptes utilisateurs, administrateurs, comptes de service et aux appareils.

2) Règles recommandées (essentielles)

Pour tout le monde

  • Longueur : au moins 14 caractères (idéal : 16+). Une passphrase est recommandée (ex. photo-Soleil-panda-1984).
  • Un mot de passe unique par service (aucune réutilisation).
  • Gestionnaire de mots de passe (coffre-fort) pour générer et mémoriser.
  • 2FA/MFA activée partout (clé de sécurité/passkeys ou TOTP).
  • Pas de partage de mot de passe. Si nécessaire, partage via le gestionnaire.

Pour PME / Association

  • Politique minimale : longueur 14+, complexité souple (éviter les règles illisibles), blocage après 10 échecs, 2FA obligatoire sur comptes sensibles.
  • Comptes admin : interdits pour la bureautique ; utiliser un compte nominatif + élévation justifiée (moindre privilège).
  • Comptes de service : mots de passe très longs (24+), stockés dans un coffre, rotation planifiée.
  • Sorties d’effectif : révoquer accès, changer/rotater secrets partagés, inventaire des accès.

3) À éviter absolument

  • La réutilisation d’un mot de passe sur plusieurs sites.
  • Les changements forcés périodiques sans suspicion d’incident (fatigue et fragilisation).
  • Le stockage en clair (notes, mails, tableurs). Préférez un gestionnaire chiffré.
  • Les indices visibles (post-it, fond d’écran…).

4) Modèle “Résumez la politique” (copier-coller)

Bloc à copier dans une charte / intranet
POLITIQUE MDP — SYNTHÈSE 1) Longueur : ≥ 14 caractères (préférer des passphrases de 16+). 2) Gestion : un mot de passe unique par service ; gestionnaire recommandé/obligatoire. 3) 2FA : obligatoire sur messagerie, comptes administratifs, paiements, cloud. 4) Partage : interdit ; si nécessaire, partage via le gestionnaire (accès délégué). 5) Comptes admin : pas d’usage quotidien ; élévation ponctuelle et justifiée. 6) Comptes de service : secrets 24+ caractères, stockés dans un coffre, rotation planifiée. 7) Réinitialisation : vérifier l’identité, imposer un nouveau secret robuste. 8) Incidents : en cas de soupçon (phishing, fuite), changer immédiatement les secrets concernés, invalider sessions, vérifier accès.

5) Modèle “PME / Association” (copier-coller)

Bloc à intégrer tel quel (adaptable)
POLITIQUE MDP — PME/ASSO - Périmètre : tous les comptes (internes/externe), admins, services, appareils. - Exigences : longueur ≥ 14, passphrases encouragées ; aucune réutilisation ; gestionnaire obligatoire. - MFA : obligatoire (clé/passkey/TOTP) pour messagerie, comptabilité, SI critiques, VPN, admins. - Blocage : ≥ 10 tentatives ; protection anti-bruteforce ; alertes sur connexions anormales. - Admin : comptes nominatif + admin séparé ; moindre privilège ; journalisation. - Services : secrets ≥ 24, rotation annuelle (ou après changement d’équipe/incident), coffre secrets. - Réinitialisation : procédure d’identification ; liens de reset limités dans le temps ; invalidation de sessions. - Sorties : retrait des droits sous 24h ; rotation des secrets partagés ; archivage sécurisé. - Sensibilisation : formation annuelle et rappel “phishing” avec cas pratiques.

6) Procédure si suspicion de compromission

  1. Changer immédiatement le mot de passe du compte ciblé (et ceux réutilisés le cas échéant).
  2. Activer/renforcer la 2FA (clé/passkey/TOTP) et invalider les sessions actives.
  3. Scanner le poste (EDR/antivirus) et vérifier la messagerie (filtres, redirections).
  4. Notifier l’IT/DPO si données personnelles ; documenter l’événement.

7) FAQ rapide

  • Dois-je changer régulièrement ? Non, sauf incident ou fuite confirmée.
  • Complexité vs longueur ? La longueur prime. La complexité peut aider, mais évitez les règles qui poussent aux “patterns” faibles.
  • Gestionnaire conseillé ? Oui, pour générer et stocker des secrets uniques et longs.
  • Passkeys ? Oui, adoptez-les quand c’est proposé (équivalent clés de sécurité).
Retour à l’accueil