Devisignes

Cybersecurite TPE

Politique de mot de passe en TPE : le modele en 1 page

Un modele de politique de mot de passe simple pour TPE. Les regles, les exceptions et comment la faire appliquer.

Une politique de mot de passe n'a pas besoin d'etre un document de 20 pages. Une page suffit si les regles sont claires et applicables.

Le modele

POLITIQUE DE MOT DE PASSE — [NOM DE L'ENTREPRISE]
Date : [date]

1. GESTIONNAIRE OBLIGATOIRE
Tous les mots de passe professionnels sont stockes dans [Bitwarden / 1Password / Dashlane].
Aucun mot de passe n'est stocke dans un fichier texte, un post-it ou un email.

2. MOT DE PASSE UNIQUE PAR SERVICE
Chaque service a un mot de passe different, genere par le gestionnaire.
Longueur minimum : 16 caracteres (genere automatiquement).

3. MOT DE PASSE MAITRE
Le mot de passe maitre du gestionnaire doit etre :
- d'au moins 20 caracteres ;
- compose de 4+ mots aleatoires (methode diceware) ;
- connu uniquement de l'utilisateur ;
- note sur papier en lieu sur (pas numerique).

4. AUTHENTIFICATION MULTIFACTEUR (MFA)
Le MFA est obligatoire sur :
- la messagerie email ;
- le gestionnaire de mots de passe ;
- le stockage cloud ;
- la facturation ;
- le CRM ;
- tout service contenant des donnees clients.

5. PARTAGE DE MOTS DE PASSE
Le partage se fait uniquement via le gestionnaire de mots de passe (coffre partage).
Jamais par email, SMS, Slack, WhatsApp ou autre canal.

6. DEPART D'UN COLLABORATEUR
A chaque depart :
- revoquer l'acces au gestionnaire ;
- changer les mots de passe des comptes partages ;
- revoquer les sessions actives sur tous les services.

7. COMPROMISSION
Si un mot de passe est compromis (fuite, phishing, vol) :
- changer immediatement le mot de passe concerne ;
- verifier si le meme mot de passe est reutilise ailleurs ;
- prevenir le responsable securite.

Comment la faire appliquer

  1. Installe le gestionnaire de mots de passe pour tout le monde (voir gestionnaire mots de passe TPE).
  2. Fais la migration ensemble (30 min en equipe).
  3. Affiche la politique dans l'espace de travail.
  4. Rappelle les regles tous les trimestres (voir formation cybersecurite equipe).

CTA

Cette politique fait partie des 10 actions de la checklist cybersecurite TPE.

Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.

À lire aussi