Il y a des mots de passe qui sentent le vécu.
Bienvenue123
Entreprise2025!
Azerty@2024
Le prénom du chien.
Le prénom du chien avec une majuscule.
Le prénom du chien avec une majuscule et un point d’exclamation, parce que “là, c’est sécurisé”.
Le problème, c’est que les attaquants connaissent aussi les chiens.
Dans beaucoup de PME, le mot de passe reste encore la première, et parfois la seule, vraie barrière entre l’entreprise et un incident. C’est pratique, simple, rapide… mais c’est aussi beaucoup trop fragile.
Le mot de passe est souvent trop seul
Un mot de passe peut être volé.
Il peut être deviné.
Il peut être réutilisé.
Il peut être noté dans un fichier.
Il peut dormir depuis trois ans sur un ancien compte oublié.
Et surtout, il peut donner accès à beaucoup plus que prévu.
Une boîte mail compromise, par exemple, ce n’est pas juste “quelqu’un lit les messages”. C’est potentiellement :
- des factures ;
- des contacts clients ;
- des conversations internes ;
- des liens de réinitialisation ;
- des informations RH ;
- des échanges fournisseurs ;
- des habitudes de paiement.
Bref, avec un seul accès, quelqu’un peut très vite comprendre comment fonctionne l’entreprise.
Le vrai problème : la réutilisation
Le mot de passe faible est un problème.
Mais le mot de passe réutilisé est souvent pire.
Parce qu’un mot de passe utilisé sur un ancien site, un outil oublié ou un service personnel peut finir dans une fuite de données. Ensuite, il suffit de le tester ailleurs.
Pas besoin d’être un génie du piratage.
Il suffit d’être patient, automatisé, et de tomber sur une entreprise qui réutilise les mêmes accès.
C’est comme utiliser la même clé pour la maison, le bureau, la voiture et le coffre.
Pratique, oui.
Rassurant, beaucoup moins.
“Mais nous avons des mots de passe complexes”
C’est mieux.
Mais ce n’est pas suffisant.
Un mot de passe complexe peut quand même être compromis.
Surtout s’il est :
- réutilisé ;
- stocké au mauvais endroit ;
- partagé entre plusieurs personnes ;
- jamais changé après un départ ;
- utilisé sans MFA.
Le MFA, c’est l’authentification multifacteur. En clair : même si quelqu’un connaît le mot de passe, il lui manque encore une deuxième preuve pour entrer.
Et non, ce n’est pas “trop compliqué”.
Ce qui est compliqué, c’est de gérer une boîte mail piratée un lundi matin.
Les comptes à surveiller en priorité
Tous les comptes sont importants, mais certains méritent plus d’attention.
En priorité :
- direction ;
- comptabilité ;
- RH ;
- administrateurs ;
- comptes prestataires ;
- comptes partagés ;
- comptes Microsoft 365 ou Google Workspace.
Pourquoi ?
Parce que ce sont les comptes qui donnent accès à de la donnée, de l’argent, des décisions ou des privilèges.
Autrement dit : les comptes que les attaquants aiment beaucoup trop.
Les bons réflexes simples
Pas besoin de transformer l’entreprise en bunker.
Commencez par :
- activer le MFA sur les comptes critiques ;
- supprimer les comptes inutiles ;
- interdire les mots de passe partagés ;
- utiliser un gestionnaire de mots de passe ;
- vérifier les connexions inhabituelles ;
- revoir les accès après chaque départ ;
- éviter les mots de passe “créatifs mais prévisibles”.
Un bon mot de passe, c’est bien.
Un bon mot de passe avec MFA, surveillance et règles claires, c’est mieux.
Conclusion
Le mot de passe n’est pas mort.
Mais il ne doit plus être seul à défendre toute l’entreprise.
Dans une PME, un compte compromis peut suffire à déclencher une fraude, une fuite de données ou une vraie crise de confiance.
Alors oui, gardez des mots de passe solides.
Mais surtout, arrêtez de leur demander de faire le travail d’une vraie stratégie de sécurité.
Parce qu’au fond, si votre cybersécurité repose sur Bienvenue123!, le problème n’est pas le point d’exclamation. C’est tout le reste.
