La combinaison classique d’un nom d’utilisateur et d’un mot de passe atteint de plus en plus ses limites. Ce qui était autrefois considéré comme une protection suffisante est aujourd’hui souvent le point d’entrée le plus simple pour les assaillants. La sécurité d’accès moderne ne repose donc pas uniquement sur un mot de passe plus fort. En effet, elle allie authentification, droits d’accès, vérification des appareils et gouvernance claire.
Cours vidéo: reprenez le contrôle
Avez-vous vraiment la maîtrise de vos données? Découvrez, dans ce cours vidéo gratuit animé par nos experts, comment gagner en transparence et réduire les dépendances. En quelques modules courts, apprenez les bases essentielles, les risques et les solutions en matière de sécurité des données pour les PME.
Un mot de passe est rapide à saisir. C’est précisément ce qui le rend pratique – et dangereux. Dans de nombreuses entreprises, un login donne accès à plusieurs applications. Le compte e-mail est particulièrement délicat: quiconque y accède peut réinitialiser des mots de passe ou détourner des messages. Le compte compromis ne constitue donc pas le préjudice en soi: il est le point de départ.
Le travail des cybercriminels simplifié
Cela fait bien longtemps que les cybercriminels n’ont plus à deviner les mots de passe. De nombreuses données d’accès sont déjà en circulation: fuites de données, campagnes de phishing ou anciennes bases de données. Ces listes contenant des données d’accès compromises sont négociées et utilisées de manière automatisée par les cybercriminels. Si une combinaison fonctionne, l’assaillant est connecté. Cela fonctionne car les mêmes mots de passe sont trop souvent utilisés plusieurs fois.
À cela s’ajoute le pragmatisme des gens: lorsque l’on oblige des collaborateurs et collaboratrices à changer souvent leur mot de passe, ils ont tendance à utiliser des schémas similaires: «Été2025» devient «Été2026».
Les 10 mots de passe les plus utilisés en 2025
- dominaria
- admin
- purzi123
- Divinorum88
- 123456
- chocolat36
- 1a2s3d4f5g6h
- password
- 123456789
- pascal87
Source: Les mots de passe les plus fréquemment trouvés dans les vols de données, NordPass
Passkeys: des clés plutôt que des mots de passe
L’authentification multifactorielle renforce la protection. Malgré tout, celle-ci n’est pas non plus infaillible. Les codes SMS sont considérés comme faibles et les confirmations push peuvent être acceptées par erreur. Avec les sites de phishing actuels, les assaillants interrogent souvent le deuxième facteur.
L’étape la plus conséquente consiste à utiliser des Passkeys. Ce faisant, vous remplacez le mot de passe classique par une paire de clés. La clé publique appartient au fournisseur, la clé privée reste sur l’appareil. Le déverrouillage se fait sur le smartphone, par exemple à l’aide d’une empreinte digitale ou d’un code PIN. L’élément décisif est le suivant: aucun mot de passe n’est transmis. La connexion s’effectue à l’aide de la clé privée enregistrée sur l’appareil. Rien qui puisse être saisi sur une page falsifiée et réutilisé plus tard.
Ainsi, une liste contenant des données d’accès volées aura nettement moins de valeur. Les cybercriminels auraient également besoin d’accéder à l’appareil correspondant et d’être débloqués localement. Ce n’est pas impossible, mais c’est nettement plus difficile qu’une tentative de connexion à distance.
Améliorer la protection grâce aux droits d’accès
Toutefois, la sécurité d’accès ne s’arrête pas à la connexion. La deuxième question est la suivante: que peut faire une personne après s’être connectée? Avant, la distinction était souvent très nette. Manque de sécurité à l’extérieur, digne de confiance à l’intérieur. Les personnes qui faisaient partie du réseau interne d’entreprise avaient parfois le champ libre. Du point de vue des assaillants, c’était pratique: un compte piraté suffisait à paralyser tout le réseau d’entreprise.
Aujourd’hui, des garde-fous plus stricts sont nécessaires. C’est là qu’intervient le principe «Least Privilege»: les collaborateurs et collaboratrices ne reçoivent que les autorisations dont ils ont besoin pour leur travail. Pas plus. Les RH ont besoin d’accéder aux données RH, pas à tous les systèmes informatiques. Les collaborateurs externes au projet ont besoin de droits temporaires, pas d’accès ouvert sans date d’expiration.
Cela semble banal, mais c’est un travail permanent. Les rôles se développent, les compétences changent, les droits restent inchangés. Il en résulte des risques tacites. Le contrôle d’accès est donc une question de gouvernance et non un projet informatique ponctuel.
Un ensemble de mesures pour une sécurité informatique moderne
Le principe Zero Trust poursuit cette idée. L’hypothèse est inconfortable, mais réaliste: un compte peut être compromis à tout moment. Par conséquent, aucun accès n’est automatiquement considéré comme digne de confiance. Sont vérifiés l’identité, l’appareil, le lieu, la date et le contexte. L’accès n’est accordé que lorsque ces facteurs sont compatibles.
Le constat principal reste clair: les mots de passe n’ont pas disparu, mais ils ne supportent plus le fardeau seuls. Une sécurité d’accès moderne combine une authentification forte, des Passkeys, des modèles de rôles mis à jour, des vérifications des autorisations et un contrôle basé sur le contexte. La technique n’en est qu’une partie. Sans processus ni gouvernance, même le meilleur concept reste lacunaire.
Cours vidéo: reprenez le contrôle
Avez-vous vraiment la maîtrise de vos données? Découvrez, dans ce cours vidéo gratuit animé par nos experts, comment gagner en transparence et réduire les dépendances. En quelques modules courts, apprenez les bases essentielles, les risques et les solutions en matière de sécurité des données pour les PME.