Recommandations ANSSI sur les mots de passe : guide complet
L'ANSSI publie depuis 2012 des règles précises pour les mots de passe en entreprise. Synthèse des règles R37 à R45 du guide d'hygiène informatique.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) publie le Guide d'hygiène informatique, référence en France pour la sécurité des SI d'entreprise. Les règles R37 à R45 encadrent la gestion des mots de passe.
Les règles ANSSI sur les mots de passe
R37 — Authentifier l'utilisateur avant un accès
Toute action sensible (lecture/écriture de données, configuration système) doit être précédée d'une authentification, jamais reposer uniquement sur l'IP ou un cookie.
R38 — Politique de mots de passe robustes
L'ANSSI recommande pour les comptes utilisateurs standards :
- Longueur ≥ 12 caractères avec 4 types (≥ 16 pour les comptes à privilèges).
- Aléatoires, jamais dérivés d'informations personnelles.
- Uniques par service.
- Pas de réutilisation entre vie pro et vie privée.
R39 — Stockage sécurisé
Les mots de passe doivent être stockés hachés et salés (bcrypt, scrypt, Argon2id). Le stockage en clair ou en chiffrement réversible est interdit.
R40 — Pas de transmission en clair
HTTPS obligatoire pour tout formulaire d'authentification. SMS et e-mails non chiffrés ne doivent pas véhiculer des mots de passe persistants.
R41 — Renouvellement périodique
Pour les comptes à privilèges (administrateurs) : renouvellement tous les 90 jours. Pour les comptes utilisateurs standards, l'ANSSI s'aligne désormais sur le NIST et la CNIL : pas de renouvellement automatique sauf suspicion de compromission.
R42 — Mot de passe distinct pour les comptes à privilèges
Un administrateur doit avoir deux comptes : un compte utilisateur standard pour son travail quotidien, un compte privilégié uniquement pour les tâches d'administration. Chaque compte a son propre mot de passe.
Générer un mot de passe ANSSI de 16 caractères
R43 — Coffre-fort de mots de passe
L'ANSSI recommande l'usage d'un gestionnaire de mots de passe validé (KeePass, fortement). Les solutions cloud (Bitwarden, 1Password) sont acceptables pour les TPE/PME ; les solutions on-premise (KeePassXC + dépôt Git interne) sont préférées pour les entreprises soumises à des contraintes de souveraineté.
R44 — Authentification multi-facteur
La 2FA est fortement recommandée pour tous les comptes exposés à Internet (messagerie, VPN, admin) et obligatoire pour les comptes à privilèges et les accès à distance.
R45 — Limiter les tentatives
Implémenter un mécanisme de verrouillage ou de temporisation après plusieurs échecs (typiquement 3 à 10 selon le contexte). Journaliser les tentatives échouées pour détecter les attaques par force brute.
Phrases de passe : la recommandation ANSSI
L'ANSSI accepte explicitement les phrases de passe comme alternative aux mots de passe complexes, notamment pour les mots de passe maîtres. Critères :
- Au moins 5 mots tirés aléatoirement d'une wordlist contrôlée.
- Jamais une citation, un proverbe ou un vers de poème.
- Idéal : méthode Diceware (≥ 6 mots).
Différences avec la CNIL
| Critère | ANSSI | CNIL |
|---|---|---|
| Portée | SI d'entreprise / administration | Traitement de données personnelles (RGPD) |
| Longueur mini | 12 car. (16 pour admins) | 12 car. (cas 1) |
| Renouvellement | Tous les 90 j pour admins | Pas obligatoire |
| 2FA | Recommandée / obligatoire selon contexte | Permet d'alléger le mot de passe |
Mise en œuvre pratique
Pour une politique d'entreprise conforme ANSSI :
- Imposer 12 caractères 4 types pour les utilisateurs, 16 caractères pour les administrateurs.
- Déployer un gestionnaire de mots de passe centralisé (KeePass entreprise, Bitwarden Self-hosted).
- Activer la 2FA sur tous les accès distants.
- Sensibiliser sur le risque de réutilisation pro/perso.
- Auditer la politique mot de passe une fois par an (revue des comptes à privilèges, durée d'inactivité, etc.).