Bonnes pratiques au quotidien
Module 4 / 5
4.2 Mots de passe, MFA et hygiène numérique
81 % des violations de données impliquent un mot de passe faible, réutilisé ou volé (Verizon DBIR 2023). C'est la première mesure de sécurité — et la plus mal appliquée. Recommandations CNIL/ANSSI à jour, et bons réflexes pour le quotidien.
Les recommandations CNIL pour un bon mot de passe
Depuis sa délibération du 21 juillet 2022, la CNIL recommande des règles modernisées : la longueur prime sur la complexité.
Sans MFA
- Minimum 12 caractères
- 3 types parmi : majuscules, minuscules, chiffres, caractères spéciaux
- Avec mécanisme de blocage (3 à 10 tentatives)
Avec MFA
- Minimum 8 caractères (la MFA compense)
- Avec mécanisme de blocage
- Privilégier la qualité du second facteur
Ce que la CNIL ne recommande PLUS
- Le changement périodique forcé (tous les 3 mois) — il pousse à choisir des mots de passe faibles. Recommandé seulement en cas de soupçon de compromission
- Les questions secrètes (« nom de jeune fille de votre mère ») — facilement devinables ou trouvables sur les réseaux sociaux
Comment créer et retenir un mot de passe long
Méthode de la phrase de passe
Choisir une phrase mémorisable et la transformer.
Exemple : « Mon premier vélo était bleu en 1992 ! »
→ MpVeb1992! ou mieux MonPremierVeloBleu1992!
Gestionnaire de mots de passe
La meilleure pratique : un coffre-fort numérique (KeePass, Bitwarden, 1Password) qui génère et stocke des mots de passe uniques pour chaque service.
Vous ne retenez plus qu'un seul mot de passe maître — long et solide.
À ne JAMAIS faire
- Utiliser le même mot de passe sur plusieurs comptes
- Noter les mots de passe sur un post-it sous le clavier ou collé à l'écran
- Stocker les mots de passe en clair dans un fichier Excel ou Word
- Les transmettre par e-mail, SMS ou messagerie instantanée non sécurisée
- Les communiquer à un collègue, un manager, un service IT « pour vérification »
L'authentification multifacteur (MFA) : indispensable
La MFA combine deux ou plusieurs preuves d'identité différentes : ce que vous savez (mot de passe), ce que vous avez (téléphone, clé physique), ce que vous êtes (empreinte). Elle bloque plus de 99 % des attaques de type credential stuffing (Microsoft, 2023).
Application TOTP
Google Authenticator, Microsoft Authenticator, FreeOTP. Code à 6 chiffres renouvelé toutes les 30 secondes.
Clé physique FIDO2
YubiKey, Titan : niveau de sécurité maximal, recommandé pour les comptes sensibles (admin, dirigeants, RH).
SMS (à éviter)
Faiblement sécurisé (SIM swapping, interception SS7). Mieux que rien, mais à remplacer dès que possible.
Hygiène numérique au quotidien
Mises à jour
Appliquer les mises à jour de sécurité (OS, navigateur, applications). Une faille non corrigée est la porte ouverte aux attaques. Ne pas reporter indéfiniment les redémarrages demandés par la DSI.
Clés USB inconnues
Une clé USB trouvée sur le parking ne se branche jamais sur le poste. Méthode classique d'attaque ciblée. Si nécessaire, faire vérifier par la DSI.
Wi-Fi public
Éviter de se connecter à un Wi-Fi public (gare, hôtel, café) sans VPN d'entreprise. Ne jamais saisir de mot de passe ou consulter des données sensibles sans connexion chiffrée.
Cloud personnel
Ne jamais déposer de données professionnelles dans un Dropbox / Google Drive personnel. Sortie du SI maîtrisé = perte de contrôle juridique et risque RGPD.
Synthèse du chapitre
- →CNIL 2022 : 12 caractères minimum sans MFA, 8 avec MFA
- →Un mot de passe unique par service — gestionnaire recommandé
- →La MFA bloque plus de 99 % des attaques de credential stuffing
- →Mises à jour, méfiance USB, Wi-Fi public, pas de cloud perso pour le pro