Mots de passe en entreprise : ce qu’il faut arrêter de faire (et quoi faire à la place)

Le vrai problème

En PME, les mots de passe ne sont pas “mal gérés” parce que les équipes sont négligentes.

Ils sont mal gérés parce qu’il manque :

• Une règle simple
• Un outil unique
• Une responsabilité claire

Chiffre clé : 81 % des violations de données liées au piratage exploitent des mots de passe volés ou faibles (source : Verizon DBIR). Le coût moyen d'un incident pour une PME en France est estimé entre 15 000 € et 50 000 € (ANSSI).

Ce qu’il faut arrêter

1) Partager des mots de passe par email / message

Une fois envoyé, c’est incontrôlable.

2) Stocker dans un tableur

Un tableur n’est pas un coffre-fort. Il finit par se copier, se synchroniser, se perdre.

3) Réutiliser le même mot de passe partout

Une fuite sur un service secondaire suffit.

4) Laisser des prestataires avec des accès permanents

Le sujet n’est pas la confiance, c’est la gouvernance.

Quoi faire à la place (sans usine à gaz)

Étape 1 — Un coffre-fort partagé

Choisis une solution de gestion de mots de passe adaptée PME (un seul outil, pas 3).

Étape 2 — Des comptes individuels

Chacun a son compte. Les accès sont attribués par rôle.

Étape 3 — Une règle de sortie

À chaque départ :

• retrait des accès
• rotation des secrets critiques
• vérification des comptes admin

Le minimum viable de bonnes pratiques

• secrets critiques séparés (banque, email admin, CRM)
• 2FA activé partout où possible
• 2 administrateurs maximum par outil (owner + backup)

Le point clé

Le but n’est pas d’être “parfait”.

Le but est d’éviter le scénario classique :

• un secret qui circule
• un accès non retiré
• un incident coûteux

Un diagnostic structuré permet de prioriser et de mettre la bonne règle au bon endroit.