En 2025, les logiciels voleurs d’identifiants (les infostealers) ont compromis 1,8 milliard de mots de passe à travers le monde. Selon le rapport Verizon DBIR 2025, 88 % des attaques ciblant les applications web exploitent des identifiants volés. Les PME ne sont pas des victimes collatérales : elles représentent 77 % des cyberattaques traitées par l’ANSSI.

Pour les dirigeants de PME de Troyes et de l’Aube, ces chiffres décrivent un risque opérationnel immédiat. Comment les mots de passe sont-ils volés ? Combien ça coûte concrètement ? Et surtout, comment s’en protéger ? C’est ce que ce guide détaille.

Comment les mots de passe d’une PME sont volés : trois scénarios concrets

Les techniques d’attaque n’exigent plus de compétences avancées. Elles exploitent des failles humaines et des outils accessibles. Trois scénarios couvrent l’essentiel des cas rencontrés en entreprise. Pour décrypter le vocabulaire technique utilisé ci-dessous, consultez notre glossaire de la cybersécurité.

L’hameçonnage ciblé : un e-mail suffit

Le phishing reste le vecteur d’attaque dominant. Selon le baromètre 2025 de Cybermalveillance.gouv.fr, 43 % des TPE-PME françaises ont subi une tentative d’hameçonnage cette année, contre 24 % en 2024. Un quasi-doublement en douze mois.

Le principe est simple. Un e-mail imite une communication légitime : banque, fournisseur, administration fiscale, voire un collègue. Il contient un lien vers une fausse page de connexion. Le collaborateur saisit ses identifiants, qui sont immédiatement captés par l’attaquant. Dans le cas du spear-phishing, le message est personnalisé à partir d’informations publiques (LinkedIn, site web de l’entreprise), ce qui le rend difficile à détecter.

Les infostealers, des logiciels malveillants qui volent en silence

Moins connu des dirigeants, l’infostealer est pourtant la catégorie de malware à la croissance la plus rapide en 2025. Ce logiciel s’installe discrètement sur un poste (souvent via un téléchargement anodin ou une pièce jointe piégée) et exfiltre les mots de passe enregistrés dans les navigateurs, les cookies de session et les données de remplissage automatique.

Les chiffres donnent la mesure du phénomène : 4,3 millions de machines ont été infectées par des infostealers en 2024, et 54 % des victimes de ransomware avaient leurs identifiants dans des logs d’infostealers. C’est un mythe tenace de croire que seuls les grands groupes sont visés : les attaques sont opportunistes et massives.

Le credential stuffing, ou comment vos anciens mots de passe se retournent contre vous

Lorsqu’un site ou un service subit une fuite de données, les identifiants compromis sont revendus sur le dark web. Les attaquants testent ensuite ces couples e-mail/mot de passe sur des dizaines d’autres plateformes, de manière automatisée. C’est le credential stuffing.

Cette technique a touché des entreprises françaises connues en 2025 (enseignes de distribution, services publics) simplement parce que des utilisateurs réutilisaient le même mot de passe partout. Pour une PME, un seul collaborateur qui réutilise son mot de passe professionnel sur un site personnel compromis peut ouvrir l’accès à l’ensemble du système d’information.

Ce que coûte réellement un vol de mots de passe à une PME

L’impact financier direct

Les estimations varient selon les sources et la gravité de l’incident. Le cabinet Astérès évalue le coût moyen d’une cyberattaque réussie à 59 000 € pour une organisation française, incluant les frais de réponse (25 600 €), l’interruption d’activité (7 300 €) et les rançons éventuelles.

💡 Pour les incidents les plus sévères, la Cour des comptes et l’ANSSI documentent un coût moyen de 466 000 € pour une PME, soit jusqu’à 10 % du chiffre d’affaires annuel. Pour les entreprises de l’Aube, ces montants représentent un choc de trésorerie rarement absorbable.

Les dommages invisibles

Au-delà du coût financier direct, un vol d’identifiants déclenche une cascade de conséquences. Le RGPD impose une notification à la CNIL sous 72 heures si des données personnelles sont compromises. Le coût moyen par donnée personnelle volée est estimé entre 150 et 200 € en France. L’interruption d’activité dure en moyenne trois à sept semaines.

Mais le vrai dommage est souvent réputationnel. Selon le baromètre CESIN 2025, l’impact sur le business est avéré dans 65 % des cas. Les clients, les fournisseurs et les partenaires réévaluent la confiance qu’ils accordent à une entreprise ayant subi une fuite.

Le risque existentiel

⚠️ 60 % des PME victimes d’une cyberattaque ferment leurs portes dans les 18 mois qui suivent l’incident. Le risque de faillite augmente de 50 % dans les six premiers mois.

Pour une PME troyenne sans plan de continuité d’activité, un vol d’identifiants menant à un ransomware peut être un point de non-retour.

5 mesures de protection contre le vol de mots de passe en entreprise

La menace est réelle, mais les contre-mesures existent et sont accessibles à toute PME.

Déployer un gestionnaire de mots de passe professionnel

C’est la première mesure à mettre en place. Un gestionnaire professionnel stocke les identifiants dans un coffre chiffré AES-256, indépendant des navigateurs (là où les infostealers ciblent précisément les mots de passe enregistrés par Chrome ou Firefox). L’architecture Zero-Knowledge garantit que même l’éditeur ne peut pas accéder aux données.

Le gestionnaire génère des mots de passe forts et uniques pour chaque compte, ce qui élimine le risque de credential stuffing. Il centralise le partage sécurisé des accès entre collaborateurs et fournit une traçabilité complète. Pour choisir la solution adaptée à votre PME, sept critères doivent guider votre décision. NEOXO recommande et déploie Keeper Security pour les PME du Grand Est.

Activer l’authentification multifacteur sur tous les accès critiques

Même si un mot de passe est volé, l’authentification multifacteur (MFA) bloque l’accès. Privilégiez les méthodes TOTP (applications comme Google Authenticator) ou les clés physiques de sécurité. Le SMS, trop vulnérable aux interceptions, est à éviter sur les comptes sensibles. L’ANSSI recommande explicitement le MFA comme couche de protection prioritaire.

Former les équipes à détecter le phishing

Le phishing est impliqué dans 73 % des cyberattaques contre les entreprises. La technologie seule ne suffit pas : la vigilance des collaborateurs reste le premier rempart. Des sessions de sensibilisation courtes et régulières, avec des exercices de simulation, réduisent significativement le taux de clic sur les e-mails frauduleux.

Surveiller les fuites d’identifiants sur le dark web

Les gestionnaires professionnels intègrent des fonctions de surveillance du dark web. En cas de fuite détectée, une alerte déclenche la réinitialisation immédiate des identifiants compromis avant qu’ils ne soient exploités. Cette surveillance continue transforme un risque passif en sécurité pilotée.

Structurer une politique de mots de passe conforme aux recommandations ANSSI

L’ANSSI fixe des règles claires : mots de passe d’au moins 12 caractères avec diversité de types, ou phrases de passe de 7 mots minimum. L’entropie recommandée est de 80 bits. Le renouvellement systématique est abandonné pour les comptes standards (seuls les comptes à privilèges restent soumis à rotation). Un gestionnaire de mots de passe professionnel applique ces règles automatiquement, sans friction pour les équipes.

Protéger les mots de passe de votre PME, par où commencer

Le vol de mots de passe n’est plus un risque théorique. Les conséquences sont chiffrées, documentées et potentiellement fatales pour une PME. Un gestionnaire professionnel, le MFA et la sensibilisation des équipes suffisent à neutraliser la majorité des vecteurs d’attaque.

NEOXO accompagne les PME de Troyes et de l’Aube dans le déploiement de Keeper Security : audit de l’existant, configuration, formation des collaborateurs et support de proximité. Contactez-nous pour planifier une démonstration personnalisée.