Mots de passe : le dernier rempart que vos collaborateurs sabotent sans le savoir
Vos collaborateurs ne sabotent pas vos mots de passe par négligence. C'est votre politique qui les y pousse.
Chez Computis, nous réalisons chaque semaine des audits de sécurité pour des PME vaudoises, des administrations communales et des institutions publiques romandes. Et chaque semaine, le même constat revient, têtu comme un mauvais mot de passe : la gestion des accès est le point de rupture que personne ne veut regarder en face. Pas parce que les gens sont négligents. Parce que le problème est structurellement mal posé depuis vingt ans.
En 2026, 81 % des violations de données liées au piratage impliquent un mot de passe faible, réutilisé ou volé. La technologie n'est pas en cause. Ce sont les comportements — et la façon dont on a appris aux gens à les gérer.
Le vrai problème : ce n’est pas la complexité, c’est la fatigue
Depuis vingt ans, la réponse au problème des mots de passe a été la même : rendez-les plus complexes, changez-les plus souvent, n’utilisez jamais le même deux fois. Le résultat ? Des collaborateurs qui écrivent leurs mots de passe sur un Post-it collé sous le clavier, qui ajoutent un suffixe 01, 02, 03 d’un compte à l’autre, ou qui choisissent un mot de passe “fort” une fois par an — et le réutilisent partout.
Ce n’est pas de la mauvaise volonté. C’est de la surcharge cognitive. Et les attaquants le savent parfaitement. Les techniques modernes ne cherchent plus à “craquer” par force brute — elles exploitent les bases de données issues de violations précédentes. On dénombre aujourd’hui plus de 15 milliards de combinaisons identifiants/mots de passe disponibles sur le darkweb. Si votre collaborateur utilise le même mot de passe sur LinkedIn que sur votre VPN, une fuite chez un tiers devient une intrusion chez vous.
Ce qu’on observe dans les PME et communes romandes
Dans une administration communale de taille moyenne, nous avons récemment identifié trois comptes administrateurs actifs appartenant à d’anciens collaborateurs — dont un parti depuis plus de deux ans. Les accès n’avaient jamais été révoqués. Aucun système d’alerte n’existait. Ce type de situation n’est pas une exception. C’est la norme dans les structures sans équipe IT dédiée.
Dans une PME de 35 collaborateurs, plus de 40 % des mots de passe recensés lors d’un test de compromission simulé étaient présents dans des bases de données publiques connues. La moitié des comptes concernés avaient accès à des données clients sensibles soumises à la nLPD.
Ce que ça veut dire pour votre organisation
En vertu de la nLPD (nouvelle Loi sur la Protection des Données, en vigueur depuis septembre 2023), une violation de données causée par un accès compromis peut déclencher une obligation de notification aux autorités dans des délais stricts — avec les conséquences réputationnelles et financières qui s’ensuivent. La taille de votre structure ne vous protège pas. Elle conditionne simplement la forme du prétexte utilisé par l’attaquant.
Les trois pratiques à corriger en priorité
Aucune politique de révocation des accès.Chaque départ de collaborateur doit déclencher une procédure immédiate et systématique. Pas “dès que l’IT a le temps”. Immédiate. C’est une règle d’hygiène numérique de base — et l’une des plus fréquemment ignorées dans les structures que nous accompagnons.
L’authentification à un seul facteur sur les accès critiques.En 2026, un mot de passe seul ne protège plus les accès à votre messagerie, votre VPN, votre outil de comptabilité ou votre ERP. Le MFA n’est plus une option premium — c’est le minimum attendu par vos assureurs, vos partenaires et bientôt vos autorités de contrôle.
Pas de gestionnaire de mots de passe déployé.Demandez à votre équipe comment elle gère ses mots de passe aujourd’hui. Si la réponse n’est pas “un gestionnaire centralisé”, vous opérez avec un risque non maîtrisé. Les solutions d’entreprise résolvent 80 % du problème comportemental à coût maîtrisé — souvent moins de 5 CHF par utilisateur et par mois.
L’approche Computis : construire une hygiène des accès durable
La sécurité des accès ne se règle pas avec une note de service et une formation d’une heure. Elle se construit avec une architecture claire, des outils adaptés à la réalité de votre structure, et un suivi dans le temps. Chez Computis, notre approche pour les PME et institutions publiques romandes fonctionne en trois temps.
D’abord, un audit préliminaire : cartographie complète des accès actifs, détection des comptes orphelins, test de compromission des identifiants, analyse des politiques en place. Ensuite, la mise en place des fondamentaux : déploiement MFA sur les accès critiques, intégration d’un gestionnaire de mots de passe adapté à votre environnement (Microsoft 365, Google Workspace, infrastructure on-premise), procédures d’onboarding et d’offboarding. Enfin, une sensibilisation ciblée : formation pratique par équipe, simulant les scénarios réels de votre secteur, en français, avec des indicateurs mesurables.
Ce que ça donne concrètement pour votre organisation :
Passez à l’action
Combien d’accès “fantômes” existent dans votre organisation en ce moment ?
Vous n’avez probablement pas la réponse — et c’est précisément le problème. Chez Computis, nous réalisons un audit préliminaire complet de vos politiques d’accès : cartographie des comptes actifs, détection des accès orphelins, test de compromission et évaluation MFA. Résultats documentés, recommandations priorisées par niveau de risque réel.
Ce qu’il faut retenir
La gestion des mots de passe est ennuyeuse — c’est précisément pour ça que les attaquants l’adorent. Mais c’est aussi l’un des rares domaines où des mesures simples, bien déployées, produisent des résultats immédiats et mesurables. Vous n’avez pas besoin d’un budget de grande entreprise. Vous avez besoin d’un diagnostic honnête et d’un plan de 90 jours. C’est exactement ce que nous faisons.
FAQ
Nos collaborateurs utilisent déjà des mots de passe “forts” — sommes-nous protégés ?
Un mot de passe fort mais réutilisé reste vulnérable. Si ce mot de passe a été exposé dans une violation chez un service tiers — LinkedIn, une boutique en ligne, un forum — les attaquants l’ont déjà et vont l’essayer sur vos systèmes. La force d’un mot de passe ne vaut que si chaque compte en a un unique.
Le MFA, ça ne va pas ralentir et frustrer nos équipes au quotidien ?
Le MFA moderne — notifications push sur smartphone, passkeys — est transparent pour l’utilisateur dans 95 % des cas. La friction est réelle les premiers jours, puis elle disparaît. Le coût d’une intrusion est incomparablement plus élevé que quelques secondes par connexion.
La nLPD nous oblige-t-elle à avoir une politique de gestion des accès documentée ?
La nLPD exige des mesures organisationnelles et techniques appropriées pour protéger les données personnelles. Une politique d’accès documentée est considérée comme une mesure de base par le Préposé fédéral. En cas d’incident, l’absence de politique documentée aggrave significativement votre exposition.
Nous n’avons pas d’équipe IT interne — Computis peut-il gérer tout cela à notre place ?
Oui. C’est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Nous assurons le déploiement, la configuration, la formation et le suivi — vous gardez le contrôle, sans la charge opérationnelle.
Comment fonctionne concrètement l’audit préliminaire Computis ?
L’audit préliminaire est une prestation payante qui produit un rapport documenté : cartographie des accès, comptes orphelins identifiés, test de compromission, évaluation MFA et recommandations priorisées. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous par la suite.