La fin des mots de passe qui expirent : ce qui a changé depuis Microsoft
En 2019, Microsoft a fait une annonce qui a secoué le monde de la cybersécurité : l’abandon de l’expiration forcée des mots de passe dans ses recommandations de sécurité. Ce qui semblait alors controversé est devenu en 2026 la norme acceptée par l’ensemble de l’industrie. Les politiques d’expiration de mots de passe tous les 60 ou 90 jours — autrefois considérées comme une bonne pratique — sont aujourd’hui reconnues comme contre-productives.
Mais alors, comment sécuriser efficacement les accès de votre entreprise si les mots de passe n’expirent plus? La réponse est plus nuancée qu’il n’y paraît.
Pourquoi l’expiration forcée nuisait à la sécurité
L’idée derrière l’expiration des mots de passe était logique en théorie : si un mot de passe est compromis, le changer régulièrement limite la fenêtre d’exploitation. En pratique, cette politique a produit exactement l’effet inverse.
Forcés de changer leur mot de passe tous les 90 jours, les employés adoptaient des raccourcis prévisibles. « Motdepasse1 » devenait « Motdepasse2 », puis « Motdepasse3 ». Les mots de passe étaient notés sur des post-it collés à l’écran. La frustration augmentait, et la sécurité réelle diminuait.
Les études du NIST (National Institute of Standards and Technology) et de Microsoft ont démontré que les utilisateurs créent de meilleurs mots de passe quand ils n’ont pas à les changer constamment. Un mot de passe fort utilisé pendant deux ans est plus sécuritaire qu’une série de mots de passe faibles changés tous les trimestres.
Les recommandations modernes en 2026
| Ancienne pratique | Nouvelle recommandation | Pourquoi |
|---|---|---|
| Expiration tous les 60-90 jours | Pas d’expiration sauf compromission | Réduit les comportements risqués |
| Complexité forcée (majuscule + chiffre + symbole) | Longueur privilégiée (16+ caractères) | Les phrases de passe sont plus robustes |
| Mot de passe seul | MFA obligatoire | Deuxième facteur élimine 99% des attaques |
| Mots de passe pour tout | Authentification sans mot de passe (passkeys) | Élimine le vecteur d’attaque principal |
| Mémorisation individuelle | Gestionnaire de mots de passe d’entreprise | Un seul mot de passe maître à retenir |
| Règles identiques pour tous | Approche basée sur le risque | Protection renforcée pour les comptes critiques |
L’ère des passkeys et de l’authentification sans mot de passe
La véritable révolution de 2026 n’est pas l’abandon de l’expiration — c’est l’abandon progressif des mots de passe eux-mêmes. Les passkeys (clés d’accès), basées sur la norme FIDO2/WebAuthn, remplacent graduellement les mots de passe traditionnels.
Une passkey utilise la biométrie de votre appareil (empreinte digitale, reconnaissance faciale) ou un code PIN local pour authentifier votre identité. Contrairement aux mots de passe, les passkeys ne peuvent pas être volées par hameçonnage, ne sont jamais transmises sur le réseau et sont uniques à chaque service.
Microsoft, Google et Apple supportent tous les passkeys nativement. Pour les entreprises, la transition vers l’authentification sans mot de passe est en cours, et les organisations qui l’adoptent voient une réduction drastique des incidents de sécurité liés aux identifiants.
Une infrastructure informatique moderne intègre ces nouvelles méthodes d’authentification et facilite la transition pour vos employés.
La MFA : votre meilleure protection aujourd’hui
En attendant l’adoption complète des passkeys, l’authentification multifacteur (MFA) reste la mesure de sécurité la plus efficace et la plus accessible. Microsoft estime que la MFA bloque 99,9 % des attaques automatisées contre les comptes.
Les meilleures pratiques MFA en 2026 privilégient les applications d’authentification (Microsoft Authenticator, Google Authenticator) et les clés de sécurité physiques (YubiKey) plutôt que les SMS, qui sont vulnérables aux attaques par échange de carte SIM.
Pour les entreprises, un fournisseur de services gérés (FSG) peut déployer la MFA sur l’ensemble de vos systèmes en quelques jours — messagerie, VPN, applications métier, accès à distance — avec un impact minimal sur la productivité de vos équipes.
Les gestionnaires de mots de passe en entreprise
Pour les mots de passe qui subsistent (et il en restera encore pendant un moment), un gestionnaire de mots de passe d’entreprise est indispensable. Des solutions comme Bitwarden Business, 1Password Teams ou Keeper Enterprise offrent un coffre-fort chiffré partagé, la génération automatique de mots de passe uniques et complexes, le partage sécurisé d’identifiants entre membres d’une équipe, la révocation instantanée des accès quand un employé quitte l’entreprise, et des rapports sur la santé des mots de passe de l’organisation.
L’investissement est minime (quelques dollars par utilisateur par mois) comparé au coût d’une brèche de sécurité causée par un mot de passe réutilisé ou faible.
Que faire quand un mot de passe est compromis?
Si l’expiration systématique n’est plus recommandée, le changement immédiat en cas de compromission reste absolument essentiel. Votre politique de sécurité doit prévoir un changement obligatoire des mots de passe quand un employé signale une tentative d’hameçonnage réussie, quand un service que vous utilisez annonce une fuite de données, quand une activité suspecte est détectée sur un compte, ou quand un employé quitte l’entreprise.
La surveillance proactive des fuites de données (via des outils comme Have I Been Pwned ou les alertes intégrées aux gestionnaires de mots de passe) permet de réagir rapidement aux compromissions.
Un partenaire en services gérés assure cette surveillance continue et déclenche les changements de mots de passe nécessaires avant que les attaquants n’exploitent les identifiants compromis.
FAQ — Questions fréquentes sur les politiques de mots de passe
Devrais-je supprimer immédiatement l’expiration des mots de passe dans mon entreprise?
Pas sans préparation. Avant de retirer l’expiration, déployez la MFA sur tous les comptes, imposez des mots de passe d’au moins 16 caractères, fournissez un gestionnaire de mots de passe à tous les employés et mettez en place une surveillance des compromissions. Ces mesures compensent largement l’abandon de l’expiration.
Les passkeys sont-elles prêtes pour une utilisation en entreprise?
En 2026, oui. Microsoft Entra ID (anciennement Azure AD), Google Workspace et la majorité des services SaaS professionnels supportent les passkeys. La transition se fait progressivement — commencez par les comptes administrateurs et les utilisateurs à haut risque, puis élargissez à l’ensemble de l’organisation.
Comment convaincre la direction d’abandonner l’expiration des mots de passe?
Appuyez-vous sur les recommandations du NIST (SP 800-63B), de Microsoft et du Centre canadien pour la cybersécurité, qui recommandent tous l’abandon de l’expiration forcée. Présentez les coûts cachés de la politique actuelle : appels au service d’assistance pour réinitialisation, perte de productivité, et paradoxalement, mots de passe plus faibles.
Quelle est la politique de mots de passe idéale en 2026?
La politique idéale combine : des mots de passe d’au moins 16 caractères (phrases de passe encouragées), la MFA obligatoire sur tous les comptes, un gestionnaire de mots de passe fourni par l’entreprise, pas d’expiration sauf en cas de compromission avérée, une vérification contre les listes de mots de passe compromis, et une transition progressive vers les passkeys.
