Politiques de mots de passe pour équipes cloud : le maillon faible est humain
Dans une équipe de dix personnes qui partagent un cloud, la sécurité n’est pas déterminée par la personne la plus prudente mais par la personne la moins prudente. Celle qui utilise « Entreprise2024! » comme mot de passe (et qui l’a changé en « Entreprise2025! » en janvier, par conformité). Celle qui désactive le 2FA parce que « c’est long » et qui utilise le même mot de passe pour son compte cloud et son compte Netflix. C’est cette personne qui, statistiquement, coûtera à l’entreprise un incident de sécurité. Et c’est pour cette personne que les politiques de mots de passe existent. La section sécurité et chiffrement cloud pose le cadre technique ; ici, on parle du facteur humain. Et comme le montre le rapport Verizon DBIR chaque année, les identifiants compromis restent le vecteur d’attaque numéro un.
La réponse directe : une bonne politique de mots de passe en équipe ne se limite pas à « choisissez un mot de passe complexe ». Elle impose des règles techniques (longueur minimale, 2FA obligatoire, expiration des sessions) et les rend supportables grâce à des outils (gestionnaire de mots de passe, SSO). Sinon, les gens contournent le système, et un système contourné est pire qu’un système absent – il donne une illusion de sécurité.
Ce que la recherche dit (et ce que votre DSI ignore)
Pendant des années, la doctrine officielle était : mots de passe complexes (majuscules, minuscules, chiffres, caractères spéciaux), changés tous les 90 jours. Le résultat ? Des mots de passe comme « P@ssw0rd! » changés en « P@ssw0rd!2 » puis « P@ssw0rd!3 ». La complexité imposée produit de la prévisibilité, pas de la sécurité. Le NIST a officiellement changé de position en 2017 avec la publication SP 800-63B : fini les rotations forcées (sauf en cas de compromission avérée), fini les exigences de complexité arbitraires. Ce qui compte, c’est la longueur. Un mot de passe de 16 caractères en mots simples (« chevaux batterie agrafe correcte », le fameux xkcd 936) est mathématiquement plus résistant au brute-force qu’un mot de passe de 8 caractères complexes.
En pratique, voici ce qu’une politique de mots de passe d’entreprise devrait imposer en 2026 :
Longueur minimale de 12 caractères, idéalement 16. Pas d’exigence de complexité spécifique – la longueur suffit. Un mot de passe de 16 caractères aléatoires résiste à une attaque par brute-force pendant des siècles avec la puissance de calcul actuelle.
2FA obligatoire pour tous les comptes, sans exception. Pas « recommandé », pas « optionnel pour les administrateurs seulement ». Obligatoire. Pour tout le monde. C’est le minimum vital de la sécurité cloud, et la politique de mots de passe la plus solide du monde ne protège pas contre un mot de passe fuité si le 2FA est désactivé.
Vérification contre les listes de mots de passe compromis. Quand un utilisateur crée ou change son mot de passe, le système devrait vérifier (via un hash k-anonymity, sans transmettre le mot de passe en clair) qu’il n’apparaît pas dans les bases de données de fuites connues. Have I Been Pwned offre cette API gratuitement.
Expiration des sessions inactives. Un collaborateur qui ouvre kDrive le matin et laisse sa session ouverte toute la journée (y compris pendant sa pause déjeuner avec l’ordinateur non verrouillé au bureau) est une faille. Les sessions devraient expirer après 15-30 minutes d’inactivité pour les environnements sensibles.
Pas de rotation forcée sauf en cas d’incident. La rotation trimestrielle produit des mots de passe faibles et prévisibles. Changez les mots de passe quand il y a une raison (fuite détectée, départ d’un collaborateur, compromission suspectée), pas selon un calendrier arbitraire.
Les journaux d’accès révèlent les failles humaines
Les politiques de mots de passe posent les règles. Les journaux d’accès et l’audit de sécurité révèlent qui les enfreint. Dix tentatives de connexion échouées depuis une IP inconnue ? Probablement du credential stuffing sur le compte d’un collaborateur dont le mot de passe a fuité. Une connexion réussie à 3h du matin depuis un pays où votre entreprise n’a pas de bureau ? Probablement un compte compromis. Sans journaux, vous ne le saurez jamais.
Le gestionnaire de mots de passe est la politique
Imposer des mots de passe uniques de 16 caractères pour chaque service sans fournir un outil pour les gérer, c’est comme imposer le port du casque sans fournir de casques. Bitwarden (open source, plans entreprise à partir de 6 dollars par utilisateur par an), 1Password Business, ou Dashlane Teams – ce sont les outils qui rendent les bonnes pratiques techniquement possibles. Le gestionnaire génère des mots de passe aléatoires, les stocke de manière chiffrée, et les remplit automatiquement. L’utilisateur ne retient qu’un seul mot de passe maître (long, unique, jamais réutilisé) et le 2FA fait le reste.
Côté fournisseurs cloud : kDrive via l’administration Infomaniak permet d’imposer le 2FA à tous les membres d’une organisation et de gérer les droits d’accès par groupe. Google Workspace et Microsoft 365 offrent des politiques de mots de passe plus granulaires (longueur minimale, expiration, blocage après tentatives échouées). Dropbox Business permet d’imposer le 2FA et la connexion SSO. La maturité varie, mais le minimum – 2FA obligatoire et gestion des droits – est disponible chez tous les fournisseurs sérieux.
Le message à retenir : la meilleure politique de mots de passe est celle que les gens suivent réellement. Imposez peu de règles, mais imposez-les techniquement (pas par email, pas par charte, pas par formation annuelle oubliée le lendemain). 2FA obligatoire, gestionnaire de mots de passe fourni par l’entreprise, vérification des fuites, expiration des sessions. Et formez vos équipes non pas à « choisir un bon mot de passe » mais à comprendre pourquoi un seul compte compromis peut exposer toutes les données de l’entreprise.