{"id":1497,"date":"2024-06-03T17:00:00","date_gmt":"2024-06-03T15:00:00","guid":{"rendered":"https:\/\/www.proginov.com\/blog\/?p=1497"},"modified":"2026-02-19T10:23:38","modified_gmt":"2026-02-19T09:23:38","slug":"quelle-politique-de-changement-de-mot-de-passe-adopter","status":"publish","type":"post","link":"https:\/\/www.proginov.com\/blog\/quelle-politique-de-changement-de-mot-de-passe-adopter\/","title":{"rendered":"Quelle politique de changement de mot de passe adopter ?"},"content":{"rendered":"\n

Par St\u00e9phane Delhommeau<\/strong>, Responsable des services d\u2019h\u00e9bergement de Proginov<\/em><\/p>\n\n\n\n

\"Caract\u00e8res<\/figure>\n\n\n\n

La CNIL fait le constat suivant : \u00ab En France, environ 60 % des notifications re\u00e7ues par la CNIL depuis le d\u00e9but de l\u2019ann\u00e9e 2021 sont li\u00e9es \u00e0 du piratage et un grand nombre aurait pu \u00eatre \u00e9vit\u00e9 par le respect de bonnes pratiques en mati\u00e8re de mots de passe \u00bb. Mais quelle politique adopter ? En effet, les utilisateurs sont tiraill\u00e9s entre les conseils de bonnes pratiques, pas forc\u00e9ment faciles \u00e0 mettre en \u0153uvre au quotidien, et des mots de passe faciles \u00e0 retenir, mais pas assez s\u00e9curis\u00e9s. Faisons le point.<\/strong><\/p>\n\n\n\n

Dans les bonnes pratiques \u00e9dict\u00e9es, on a souvent : le changement r\u00e9gulier de mots de passe, la double authentification et l\u2019utilisation de gestionnaires de mots de passe. \u00c0 l\u2019usage, changer les mots de passe de mani\u00e8re fr\u00e9quente et les individualiser par site est tr\u00e8s lourd, au vu des centaines de mots de passe utilis\u00e9s au quotidien, et souvent peu efficace puisque l\u2019utilisateur change en g\u00e9n\u00e9ral peu de caract\u00e8res par rapport au pr\u00e9c\u00e9dent.<\/p>\n\n\n\n

D\u2019autre part, la double authentification, bien que plus s\u00e9curis\u00e9e, ne peut \u00eatre g\u00e9n\u00e9ralis\u00e9e \u00e0 tous les usages, notamment celui des sites internet grand public. Enfin, l\u2019utilisation des gestionnaires est une bonne pratique, mais parfois complexe en dehors de l\u2019entreprise. Plus que la fr\u00e9quence de changement de mot, la CNIL axe d\u00e9sormais sur la complexit\u00e9 de sa construction. En effet, un mot ayant un sens dans une langue, la suite de caract\u00e8res pr\u00e9visible qu\u2019il utilise le rend facile \u00e0 deviner.<\/p>\n\n\n\n

L\u2019id\u00e9e est donc de doter le mot de passe d\u2019une entropie (que l\u2019on pourrait traduire ici par coefficient de devinabilit\u00e9) la plus forte possible. Elle fixe un niveau minimal g\u00e9n\u00e9rique de 80 bits d’entropie pour un mot de passe sans mesure compl\u00e9mentaire (double authentification, blocage du compte apr\u00e8s plusieurs essais, etc.). Normalement, tout bon gestionnaire de mot de passe calculera cette entropie pour vous aider \u00e0 le complexifier.
Voici donc dans le d\u00e9tail, les points importants \u00e0 suivre :<\/p>\n\n\n\n

Miser sur la complexit\u00e9<\/h2>\n\n\n\n

Il est recommand\u00e9 d\u2019utiliser des mots complexes, combinant majuscules, minuscules, chiffres et caract\u00e8res sp\u00e9ciaux, les rendant ainsi plus difficiles \u00e0 deviner.<\/p>\n\n\n\n

Choisir des mots longs<\/h2>\n\n\n\n

ils sont g\u00e9n\u00e9ralement plus s\u00e9curis\u00e9s. L\u2019id\u00e9al est de viser au moins 12 caract\u00e8res<\/strong>.<\/p>\n\n\n\n

Changer fr\u00e9quemment, ou pas !<\/h2>\n\n\n\n

Historiquement, la CNIL pr\u00e9conisait une p\u00e9riode de changement de mot de passe r\u00e9guli\u00e8re, par exemple tous les trois mois. Cependant, cette approche est remise en question, car des \u00e9tudes sugg\u00e8rent que des changements de mot de passe trop fr\u00e9quents peuvent entra\u00eener des probl\u00e8mes de s\u00e9curit\u00e9.<\/p>\n\n\n\n

En effet, les utilisateurs sont plus susceptibles de choisir des mots de passe plus simples et de les noter. Elle mise donc d\u00e9sormais sur la complexit\u00e9 plus que sur la fr\u00e9quence de changement.<\/p>\n\n\n\n

Cependant, si votre mot de passe a \u00e9t\u00e9 corrompu : vol de donn\u00e9es, utilisation sur un Wi-Fi public par exemple, il est alors recommand\u00e9 de le changer imm\u00e9diatement.<\/p>\n\n\n\n

Sensibiliser les utilisateurs<\/h2>\n\n\n\n

La CNIL souligne l’importance de sensibiliser les utilisateurs \u00e0 la s\u00e9curit\u00e9 des mots de passe, notamment en les encourageant \u00e0 ne pas r\u00e9utiliser les m\u00eames mots de passe sur plusieurs services, ni entre la sph\u00e8re priv\u00e9e et celle du travail. La sensibilisation des utilisateurs passe aussi par la r\u00e9p\u00e9tition des recommandations, comme vient de le faire cybermalveillance.gouv.fr<\/a> avec sa nouvelle campagne Voil\u00e0<\/a>.<\/p>\n\n\n\n

S\u00e9curiser les moyens de r\u00e9cup\u00e9ration<\/h2>\n\n\n\n

Les m\u00e9thodes de r\u00e9cup\u00e9ration de mot de passe doivent \u00eatre s\u00e9curis\u00e9es pour \u00e9viter tout acc\u00e8s non autoris\u00e9. Par exemple, la CNIL recommande l’utilisation de l’authentification \u00e0 deux facteurs et l\u2019utilisation de gestionnaire de mots de passe.<\/p>\n\n\n\n

Il est important de noter que ces recommandations peuvent \u00e9voluer avec le temps en r\u00e9ponse aux nouvelles menaces et technologies de s\u00e9curit\u00e9. Il est conseill\u00e9 de consulter r\u00e9guli\u00e8rement les lignes directrices de la CNIL ou d’autres organismes de r\u00e9glementation pour obtenir les informations les plus r\u00e9centes.<\/p>\n","protected":false},"excerpt":{"rendered":"

Par St\u00e9phane Delhommeau, Responsable des services d\u2019h\u00e9bergement de Proginov La CNIL fait le constat suivant : \u00ab En France, environ 60 % des notifications re\u00e7ues par la CNIL depuis le d\u00e9but de l\u2019ann\u00e9e 2021 sont li\u00e9es \u00e0 du piratage et un grand nombre aurait pu \u00eatre \u00e9vit\u00e9 par le respect de bonnes pratiques en mati\u00e8re de… Lire la suite…<\/a><\/p>\n","protected":false},"author":6,"featured_media":1498,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[177,44],"tags":[91,159],"class_list":["post-1497","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","category-hebergement","tag-cloud","tag-cybersecurite"],"_links":{"self":[{"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/posts\/1497","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/comments?post=1497"}],"version-history":[{"count":5,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/posts\/1497\/revisions"}],"predecessor-version":[{"id":1554,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/posts\/1497\/revisions\/1554"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/media\/1498"}],"wp:attachment":[{"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/media?parent=1497"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/categories?post=1497"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/tags?post=1497"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}