+352 621 420 621

25 juillet 2025
Politique de changement de mot de passe

Pendant des années, les entreprises ont imposé des changements réguliers de mots de passe à leurs utilisateurs, pensant améliorer la sécurité de leurs systèmes. Pourtant, de plus en plus d’experts en cybersécurité, ainsi que des institutions majeures comme la FTC (États-Unis), Microsoft ou l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France, déconseillent désormais cette pratique. L’idée reçue selon laquelle un mot de passe ancien est forcément un mot de passe vulnérable est aujourd’hui dépassée.

Microsoft, dans ses recommandations actualisées pour Microsoft 365, conseille même de désactiver les politiques d’expiration automatique des mots de passe, sauf en cas de soupçon de compromission. Ces changements forcés poussent souvent les utilisateurs à adopter des comportements prévisibles, comme ajouter un chiffre ou un caractère à un mot de passe déjà existant. Cela affaiblit la sécurité au lieu de la renforcer.

Les directives européennes, notamment à travers le cadre du RGPD et les exigences de la directive NIS 2, insistent quant à elles sur des mots de passe robustes et des politiques de sécurité adaptées au risque, mais n’exigent pas de changements réguliers. Le NCSC au Royaume-Uni, tout comme l’ANSSI en France, confirme que forcer les utilisateurs à changer de mot de passe sans raison identifiée nuit à la sécurité globale.

La tendance actuelle est claire : privilégier des mots de passe longs, uniques, et contrôlés contre des bases de données de mots compromis, associés à des mécanismes d’authentification forte (MFA). L’usage de gestionnaires de mots de passe et la sensibilisation des utilisateurs sont également encouragés. En cas de fuite ou de doute sur un mot de passe, il doit bien sûr être modifié immédiatement.

En conclusion, les recommandations modernes rejettent les changements de mot de passe imposés à intervalle fixe. Elles favorisent une gestion plus intelligente et adaptée des accès, fondée sur la détection des risques réels plutôt que sur des règles arbitraires. Cette évolution améliore à la fois la sécurité et l’expérience utilisateur.