Politique de mots de passe en entreprise : exigences CNIL, ANSSI et bonnes pratiques 2026
La politique de mots de passe est l'une des mesures de sécurité les plus basiques mais aussi l'une des plus mal appliquées en entreprise. En 2026, des dizaines d'entreprises se font encore sanctionner par la CNIL pour des mots de passe insuffisamment robustes ou stockés en clair. Ce guide vous donne les recommandations officielles CNIL et ANSSI et les bonnes pratiques à mettre en place immédiatement.
Pourquoi la politique de mots de passe est une obligation légale
L'article 32 du RGPD impose des "mesures techniques appropriées" pour garantir la sécurité des données personnelles. La CNIL considère qu'une politique de mots de passe insuffisante constitue un manquement à l'article 32. Elle a prononcé des dizaines de sanctions liées aux mots de passe : stockage en clair, mots de passe trop courts, absence d'expiration pour les comptes à privilèges, absence de MFA sur les accès aux données personnelles.
NIS2 (article 21) impose également des mesures d'authentification renforcées pour les entités essentielles et importantes. Pour les comptes donnant accès à des systèmes critiques, le MFA est désormais une exigence implicite de la directive.
Les recommandations CNIL et ANSSI 2021 (toujours en vigueur)
En 2021, la CNIL a mis à jour ses recommandations sur les mots de passe. L'ANSSI a publié un guide complémentaire. Ces recommandations remplacent les règles antérieures (expiration tous les 90 jours, complexité maximale) par une approche plus pragmatique :
Longueur : le critère le plus important
La CNIL recommande des minimums de longueur selon le contexte d'authentification :
- Sans autre mesure de sécurité : 12 caractères minimum avec 4 types de caractères (minuscules, majuscules, chiffres, caractères spéciaux), ou 14 caractères minimum avec 3 types
- Avec restriction des tentatives (3-10 essais, puis blocage) : 8 caractères minimum avec 3 types
- Avec MFA : Le mot de passe peut être plus court si le second facteur est suffisamment robuste
- Comptes à privilèges (admin, root, DBA) : 20 caractères minimum recommandés par l'ANSSI, ou utilisation d'une phrase de passe
Ce que la CNIL ne recommande PLUS
L'ancienne recommandation d'expiration systématique tous les 90 jours est abandonnée pour les utilisateurs standards. La CNIL suit désormais les recommandations du NIST américain et de l'ANSSI : le renouvellement forcé régulier conduit les utilisateurs à créer des mots de passe plus faibles (Mot2passe1, Mot2passe2…). La CNIL recommande désormais :
- Renouvellement uniquement en cas de suspicion de compromission
- Vérification contre les listes de mots de passe compromis (bases HaveIBeenPwned) lors de la création
- Expiration maintenue pour les comptes à privilèges (12 mois maximum) et les comptes inactifs
MFA : de recommandation à obligation
Le MFA (Multi-Factor Authentication) ou authentification à deux facteurs (2FA) était une recommandation. Il devient une quasi-obligation dans plusieurs contextes :
- Accès aux données personnelles : La CNIL considère le MFA comme "indispensable" pour les accès aux données personnelles en masse (bases de données, backoffice avec données clients)
- Accès administrateur : MFA obligatoire sur tous les comptes admin (Windows, Linux, Cloud AWS/Azure/GCP, routeurs, pare-feux)
- Accès distants (VPN, RDP, SSH) : Le MFA est la mesure numéro 1 recommandée par l'ANSSI pour sécuriser les accès distants
- Accès aux outils en ligne critiques : Messagerie professionnelle, outils collaboratifs (M365, Google Workspace), CRM, logiciels de paie
Les méthodes MFA acceptables selon l'ANSSI : TOTP (Google Authenticator, Authy), clé FIDO2/WebAuthn (YubiKey, clé de sécurité Google), application d'authentification push. Les méthodes à éviter pour les accès très sensibles : SMS (SIM swapping possible), email de confirmation.
Stockage des mots de passe : obligation de hachage
La CNIL sanctionne systématiquement le stockage des mots de passe en clair ou avec des algorithmes insuffisants. Les règles :
- Interdit : Stockage en clair, chiffrement réversible (AES, RSA), MD5, SHA-1 sans salt
- Acceptable avec paramètres corrects : bcrypt (facteur ≥ 10), scrypt, Argon2
- Recommandé : Argon2id (recommandé par l'OWASP 2023), bcrypt avec facteur de travail ≥ 12, PBKDF2 avec HMAC-SHA-256 et ≥ 600 000 itérations
- Impératif : Utilisation d'un salt unique par mot de passe (contre les rainbow tables)
Gestionnaire de mots de passe : la solution pour les équipes
L'être humain est incapable de retenir des dizaines de mots de passe de 12+ caractères uniques. La solution : un gestionnaire de mots de passe d'entreprise. Les options :
- Bitwarden for Business : Open source, hébergeable en auto-hébergement, à partir de 3 $/utilisateur/mois. Recommandé pour les PME soucieuses de souveraineté des données
- 1Password Business : Solution mature, très bonne ergonomie, 7,99 $/utilisateur/mois. Intégration SSO, politiques d'entreprise
- Dashlane for Business : Interface soignée, fonctionnalités de monitoring dark web, 8 $/utilisateur/mois
- HashiCorp Vault : Pour les secrets applicatifs et les comptes à privilèges en environnement DevOps. Open source, complexité d'administration plus élevée
Comment documenter et auditer votre politique
Pour être opposable à la CNIL, votre politique de mots de passe doit être :
- Documentée : Politique écrite, signée par la direction, intégrée dans la PSSI ou le règlement intérieur numérique
- Communiquée : Formation de tous les utilisateurs à la politique, avec attestation de prise de connaissance
- Techniquement appliquée : Configuration GPO Windows ou paramètres d'annuaire imposant les règles (longueur, historique), pas seulement une note de service
- Auditée : Vérification régulière que les comptes respectent la politique (audit des comptes AD, scan Mimikatz sur un environnement de test)
Audit de votre politique d'authentification
CyberConform audite votre politique de mots de passe et d'authentification au regard des recommandations CNIL, ANSSI et NIS2 : vérification de la configuration AD/IdP, stockage des mots de passe applicatifs, déploiement MFA et conformité RGPD. À partir de 1 500 € HT.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit