Audit mots de passe en entreprise : checklist conformité 2025

Audit mots de passe en entreprise : pourquoi c’est urgent en 2025

Réaliser un audit mots de passe entreprise reste l’un des exercices les plus sous-estimés de la cybersécurité organisationnelle. Pourtant, selon le rapport Verizon DBIR 2024, plus de 80 % des violations de données impliquent des identifiants compromis. En tant que développeur freelance qui accompagne des PME dans leur mise en conformité, j’ai conçu cette checklist pratique basée sur les recommandations ANSSI, les exigences ISO 27001, et les retours terrain de dizaines d’audits réels.

Cet article s’adresse aux RSSI, DSI, administrateurs système et dirigeants qui veulent mettre leur politique de gestion des mots de passe en conformité — sans transformer l’exercice en projet pharaonique.

Cadre réglementaire : ce que disent les référentiels en 2025

Recommandations ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)

L’ANSSI a publié ses recommandations sur les mots de passe dans le guide PA-022 (disponible sur ssi.gouv.fr). Les points clés pour 2025 :

• Longueur minimale : 12 caractères pour les comptes standards, 15+ pour les comptes à privilèges
• Complexité : combinaison de 4 types de caractères (majuscules, minuscules, chiffres, spéciaux) OU phrase de passe de 20+ caractères
• Durée de vie : l’ANSSI a revu sa position — le renouvellement forcé systématique est déconseillé car il pousse aux mots de passe prévisibles (MDP1!, MDP2!…). Le renouvellement est recommandé uniquement en cas de suspicion de compromission
• Stockage : hachage avec algorithme robuste (bcrypt, argon2id, PBKDF2 avec sel long) — interdiction du MD5 et SHA-1 non salés
• MFA : recommandé pour tous les accès distants, obligatoire pour les accès administrateurs

ISO 27001:2022 — Contrôle A.5.17

La norme ISO 27001 version 2022 traite des mots de passe principalement dans le contrôle A.5.17 (Authentication Information) :

• Processus formel de gestion des identifiants d’authentification
• Attribution d’identifiants uniques par personne (pas de comptes partagés sans justification documentée)
• Politique de mots de passe documentée et communiquée
• Contrôles sur les mots de passe par défaut des équipements
• Stockage sécurisé des informations d’authentification

RGPD — Implications indirectes

Le RGPD n’impose pas de longueur minimale de mots de passe, mais l’article 32 exige des « mesures techniques et organisationnelles appropriées » pour protéger les données personnelles. Une politique de mots de passe défaillante peut donc constituer une violation du RGPD si elle conduit à une fuite de données personnelles — avec à la clé des sanctions CNIL pouvant atteindre 4 % du CA mondial.

Checklist d’audit — Phase 1 : État des lieux

Avant de corriger, on inventorie. Voici les questions à poser lors d’un audit initial :

Politique documentée

• [ ] Existe-t-il une politique de mots de passe formalisée et approuvée par la direction ?
• [ ] Cette politique est-elle communiquée à tous les employés ?
• [ ] La politique est-elle révisée au moins annuellement ?
• [ ] Les exceptions (comptes de service, comptes partagés) sont-elles documentées et justifiées ?

Comptes utilisateurs

• [ ] Les comptes sont-ils nominatifs (1 personne = 1 compte) ?
• [ ] Les comptes des anciens employés sont-ils désactivés dans les 24h suivant leur départ ?
• [ ] Existe-t-il un processus de revue des comptes actifs (minimum semestriel) ?
• [ ] Les comptes inactifs depuis plus de 90 jours sont-ils détectés et traités ?

Comptes à privilèges (administrateurs)

• [ ] Les accès administrateurs sont-ils séparés des comptes standards ?
• [ ] Le MFA est-il obligatoire pour tous les accès administrateurs ?
• [ ] Les actions des administrateurs sont-elles journalisées (logs d’audit) ?
• [ ] Le principe du moindre privilège est-il appliqué ?

Stockage et transmission

• [ ] Les mots de passe sont-ils stockés en clair quelque part (fichiers Excel, Post-it, email) ?
• [ ] Les applications internes hashent-elles les mots de passe avec un algorithme robuste ?
• [ ] Toutes les connexions sont-elles en HTTPS/TLS 1.2+ ?
• [ ] Les mots de passe par défaut des équipements (routeurs, switches, IoT) ont-ils été changés ?

Checklist d’audit — Phase 2 : Tests techniques

Tests de conformité des règles Active Directory / Azure AD

Pour les environnements Windows, vérifiez les paramètres de stratégie de groupe (GPO) :

• Longueur minimale du mot de passe : 12+ caractères
• Exigences de complexité : activées
• Historique des mots de passe : 10+ anciens mots de passe mémorisés
• Azure AD Password Protection activé (bloque les mots de passe du dictionnaire)
• Smart Lockout configuré (Azure AD) ou verrouillage de compte après X tentatives (AD local)

Test de résistance aux attaques par dictionnaire

Avec l’accord écrit de la direction et dans un cadre légal strict :

• Extraction des hashs depuis un domaine de test (outil : secretsdump.py de Impacket)
• Test de crack avec hashcat et dictionnaire rockyou + règles
• Objectif : identifier les comptes avec des mots de passe faibles avant que les attaquants ne le fassent

Vérification des fuites de données Have I Been Pwned

• API HIBP Business pour vérifier les emails professionnels
• Certains gestionnaires d’entreprise intègrent cette vérification nativement

Checklist d’audit — Phase 3 : Outillage et gestionnaire d’entreprise

Un gestionnaire de mots de passe d’entreprise est la solution la plus efficace pour résoudre la majorité des non-conformités identifiées. Comparatif des trois principales solutions :

Keeper Business / Enterprise

Keeper est le gestionnaire le mieux positionné pour les environnements enterprise avec des exigences de conformité élevées :

• Certifications : SOC 2 Type II, ISO 27001, FedRAMP, StateRAMP, ITAR
• Console d’administration centralisée avec politiques de mots de passe granulaires
• Rapport de conformité automatisé
• Intégration SSO (SAML 2.0, SCIM pour provisionnement automatique)
• Keeper Secrets Manager pour les secrets DevOps (API keys, tokens)
• Prix : à partir de 4 $/utilisateur/mois (Business), 6 $ (Enterprise)

1Password Teams / Business

1Password offre une expérience utilisateur supérieure avec un bon niveau de fonctionnalités enterprise :

• Vaults partagés avec permissions granulaires
• Rapport d’activité et audit trail
• Intégration SSO (Okta, Azure AD, etc.)
• Récupération de compte par l’admin sans compromis sur la sécurité ZK
• 1Password Secrets Automation pour les pipelines CI/CD
• Prix : 7,99 $/utilisateur/mois (Teams), 14,99 $ (Business)

Bitwarden Business

Bitwarden dans sa version business combine open source, conformité et prix compétitif :

• Code open source — audit possible à tout moment
• Certifications SOC 2 Type II, ISO 27001
• Option auto-hébergement (avantage majeur pour souveraineté des données)
• Politiques d’entreprise configurables (longueur min, 2FA obligatoire, etc.)
• Intégration SSO disponible (plan Enterprise)
• Prix : 3 $/utilisateur/mois (Teams), 5 $ (Enterprise)

Pour les entreprises qui ont des exigences de souveraineté des données hébergées en France, Bitwarden auto-hébergé sur un VPS OVH ou Scaleway est souvent la solution la plus adaptée. Notre guide sur le gestionnaire de mots de passe en entreprise approfondit ce choix.

Plan de remédiation type

Suite à l’audit, voici les priorités d’actions classées par urgence :

Immédiat (J+1 à J+7)

• Désactiver tous les comptes d’anciens employés non encore désactivés
• Changer tous les mots de passe par défaut des équipements réseau
• Activer le MFA sur tous les accès administrateurs et accès VPN

Court terme (J+30)

• Déployer un gestionnaire de mots de passe d’entreprise pour les équipes
• Former les employés à la politique de mots de passe (session 30 min)
• Migrer les mots de passe stockés en clair (Excel, emails) vers le gestionnaire

Moyen terme (J+90)

• Déployer Azure AD Password Protection ou équivalent
• Mettre en place la revue semestrielle des comptes actifs
• Documenter et approuver la politique de mots de passe formalisée
• Intégrer le gestionnaire au SSO existant si applicable

Documentation et traçabilité

Pour la conformité ISO 27001, conservez :

• Le rapport d’audit initial (avec date, périmètre, méthode, résultats)
• La politique de mots de passe signée et datée
• Les preuves de formation des employés
• Les logs d’accès administrateurs (minimum 1 an de rétention)
• Le plan de remédiation et son suivi

Pour aller plus loin sur la conformité SSO en entreprise, consultez notre guide sur le Single Sign-On pour les PME.

Conclusion

Un audit de mots de passe en entreprise n’est pas un projet luxueux réservé aux grands groupes — c’est une démarche accessible à toute organisation de plus de 5 employés. Les non-conformités les plus dangereuses (comptes non désactivés, mots de passe par défaut, stockage en clair) sont généralement simples à corriger une fois identifiées.

L’investissement dans un gestionnaire de mots de passe d’entreprise (Keeper, 1Password Teams ou Bitwarden Business) est le levier le plus efficace pour passer d’un état de conformité partielle à une posture de sécurité solide — et pour le justifier auprès d’un auditeur ISO 27001 ou lors d’une due diligence.

Erreurs courantes lors d’un audit mots de passe

Après des dizaines de missions, voici les pièges les plus fréquents :

Oublier les comptes de service

Les comptes de service (scripts automatisés, connecteurs applicatifs) sont souvent les parents pauvres des audits. Ils ont fréquemment des mots de passe anciens jamais renouvelés. Un gestionnaire de secrets (Keeper Secrets Manager, HashiCorp Vault, 1Password Secrets Automation) doit gérer ces identifiants techniques — hors du coffre standard.

Négliger les équipements réseau

Routeurs, switches, pare-feux, NAS, imprimantes réseau — tous ont des interfaces d’administration protégées. Ces équipements conservent souvent leurs credentials par défaut pendant des années. Un inventaire exhaustif avec vérification de chaque équipement est indispensable lors de l’audit initial.

Traiter l’audit comme ponctuel

Un audit de mots de passe n’est pas une action one-shot. Les nouveaux arrivants, les départs, les nouveaux services cloud — tous ces événements impactent le périmètre. Intégrez une revue trimestrielle dans votre calendrier de sécurité. Pour la conformité RGPD spécifique aux entreprises françaises, notre article sur Keeper et la conformité RGPD apporte des éléments complémentaires.