Selon le baromètre 2025 de Cybermalveillance.gouv.fr, seules 51 % des TPE-PME françaises disposent d’une politique de mots de passe formalisée. Pour les autres, les pratiques divergent : mots de passe notés sur des post-it, identifiants partagés par email, même mot de passe réutilisé sur tous les comptes. Autant de failles que les attaquants exploitent quotidiennement.

Ce guide vous accompagne en 5 étapes pour créer et déployer une politique de mots de passe conforme aux recommandations de la CNIL et de l’ANSSI, adaptée aux PME de l’Aube et du Grand Est, y compris celles qui n’ont pas d’équipe IT dédiée. Avec un gestionnaire de mots de passe professionnel comme Keeper, vous sécurisez vos accès sans complexifier le quotidien de vos équipes.

Pourquoi formaliser une politique de mots de passe en PME

Les chiffres sont sans ambiguïté. En 2024, 67 % des entreprises françaises ont été victimes d’au moins une cyberattaque. 81 % des violations de données sont liées à des mots de passe faibles, réutilisés ou volés. Et 60 % des PME touchées par une attaque majeure cessent leur activité dans les 18 mois qui suivent. Snif.

Le RGPD impose aussi des mesures de sécurité appropriées pour protéger les données personnelles (articles 5-1-f et 32). La CNIL considère l’absence de politique de mots de passe comme un manquement à cette obligation. Nous avions détaillé ce point dans notre article sur les obligations RGPD en matière de mots de passe.

Formaliser une politique réduit ces risques, fixe un cadre clair pour tous les collaborateurs et simplifie la mise en conformité réglementaire.

Étape 1 : Auditer les pratiques actuelles de votre entreprise

Avant de rédiger des règles, il faut comprendre l’existant. L’audit initial sert à repérer les écarts entre les pratiques réelles et le niveau de sécurité attendu.

Commencez par inventorier les comptes et accès de l’entreprise. Distinguez les comptes à privilèges (administrateurs système, accès comptabilité, RH, outils de gestion) des comptes utilisateurs standards. L’ANSSI recommande cette classification comme première étape de toute démarche de sécurisation.

Évaluez ensuite les pratiques de stockage et de partage. Les mots de passe sont-ils enregistrés dans un fichier Excel partagé ? Transmis par email ou par téléphone ? Réutilisés sur plusieurs services ? Les scénarios réels de vol de mots de passe montrent que ces pratiques sont les premières portes d’entrée pour les attaquants.

Pas besoin d’outils complexes pour cet audit. Un simple tableur structuré par service, avec le type de compte, le niveau de sensibilité et le mode de gestion actuel suffit pour poser un premier diagnostic.

Étape 2 : Définir les règles conformes aux recommandations CNIL et ANSSI

La recommandation CNIL de 2022, délibération n° 2022-100, introduit une approche par « entropie ». Le seuil minimal est fixé à 80 bits d’entropie.

💡 En clair, la CNIL ne fixe plus un nombre précis de caractères. Elle exige que le mot de passe soit suffisamment difficile à deviner pour résister aux attaques automatisées. C’est la robustesse globale qui compte, pas le nombre de caractères spéciaux.

3 configurations atteignent ce seuil :

  • 12 caractères minimum avec majuscules, minuscules, chiffres et caractères spéciaux
  • 14 caractères avec majuscules, minuscules et chiffres, sans caractère spécial obligatoire
  • Une phrase de passe d’au moins 7 mots

Le NIST américain confirme cette orientation dans sa mise à jour SP 800-63B de 2024 : la longueur prime désormais sur la complexité.

⚠️ Changement majeur depuis 2022 : la CNIL abandonne le renouvellement périodique des mots de passe pour les comptes utilisateurs classiques. Les changements réguliers poussaient les collaborateurs à créer des variantes prévisibles. Seuls les comptes à privilèges restent soumis à cette obligation.

Complétez ces règles avec l’interdiction de réutiliser un mot de passe entre services, le blocage du compte après 3 tentatives échouées, la vérification contre les bases de mots de passe compromis et l’activation de l’authentification multifacteur (MFA) sur tous les accès sensibles. Notre article sur les 5 mythes qui mettent vos mots de passe en danger apporte des éclairages complémentaires sur les idées reçues.

Étape 3 : Choisir et déployer un gestionnaire de mots de passe professionnel

Une politique de mots de passe sans outil de gestion reste théorique. Avec 73 % des collaborateurs qui réutilisent leurs mots de passe et des dizaines de comptes professionnels par personne, le gestionnaire de mots de passe est la pièce centrale du dispositif.

Le baromètre Cybermalveillance 2025 montre que 46 % des TPE-PME ont adopté un gestionnaire, en progression de 8 % en un an. L’adoption accélère parce que l’outil résout plusieurs problèmes d’un coup : génération de mots de passe robustes et uniques, stockage chiffré, partage sécurisé entre collaborateurs.

Pour les PME troyennes et du département de l’Aube, NEOXO déploie Keeper Security, une solution à architecture zero-knowledge : le fournisseur n’accède jamais aux mots de passe stockés. Notre guide pour choisir un gestionnaire de mots de passe détaille les critères de sélection adaptés aux PME et les raisons pour lesquelles nous avons fait le choix de Keeper.

Le déploiement doit être progressif. Commencez par un groupe pilote, souvent l’équipe de direction et les profils IT, puis étendez par service. Ce séquencement évite un afflux de demandes au support et laisse le temps d’ajuster la configuration avant la généralisation.

Étape 4 : Communiquer et former les équipes

Déployer un outil sans prévenir les équipes est le scénario à éviter. L’expérience montre que les entreprises qui imposent un changement de politique sans communication préalable subissent un pic de tickets support et une résistance passive des collaborateurs.

La communication passe par un email préalable, envoyé une à deux semaines avant le déploiement. Expliquez pourquoi vous changez de politique, quelles sont les nouvelles règles, quand elles entrent en vigueur et quel outil est mis à disposition. Pas besoin d’un roman : un message clair et direct suffit.

Les sessions de formation doivent rester courtes, 30 minutes max. Concentrez-les sur la pratique : créer un compte dans le gestionnaire, générer un mot de passe, partager un accès avec un collègue. La direction a besoin de comprendre l’enjeu stratégique et réglementaire, les équipes terrain veulent des instructions concrètes. Adaptez le message au profil.

Étape 5 : Suivre, auditer et ajuster dans la durée

Une politique de mots de passe n’est pas un document figé. Elle nécessite un suivi régulier pour rester efficace et conforme.

Le tableau de bord de sécurité du gestionnaire fournit les indicateurs clés : taux d’adoption, score de robustesse moyen, nombre de mots de passe compromis ou réutilisés. Un audit trimestriel suffit pour repérer les dérives avant qu’elles ne deviennent des habitudes et des vulnérabilités.

L’ANSSI recommande la journalisation des accès pour les comptes à privilèges : qui s’est connecté, quand, depuis quel appareil. Cette traçabilité renforce la sécurité et prépare l’entreprise aux exigences de la directive NIS2, qui étend les obligations de cybersécurité à un périmètre plus large de PME. Notre glossaire de la cybersécurité décrypte ces notions pour les dirigeants non techniques.

La politique doit aussi être révisée au moins une fois par an, ou à chaque changement réglementaire significatif. Un service d’infogérance à Troyes comme NEOXO prend en charge cette veille et ces ajustements pour les entreprises qui n’ont pas de ressources IT en interne.

Structurer la sécurité des accès, une étape à la fois

Chaque étape de ce guide est accessible aux PME, y compris celles sans équipe informatique dédiée. La difficulté n’est pas technique, c’est de s’y mettre. Et la sécurité des accès est le point de départ de toute stratégie de sauvegarde et sécurité des données.

Pour les entreprises de l’Aube qui veulent passer à l’action, NEOXO propose une démonstration gratuite de Keeper Security, configurée selon les besoins de votre organisation. Contactez notre équipe pour planifier votre démo.