Mots de passe et double authentification : le minimum vital quand on n'a pas de service informatique.
Mots de passe faibles, réutilisés ou volés : c'est la porte d'entrée principale des pirates. Voici les règles simples pour protéger vos comptes professionnels dès aujourd'hui.
Publié le 15 juin 2026
Un compte professionnel piraté peut paralyser une petite structure en quelques heures : boîte mail compromise, accès aux outils métier perdus, données clients exposées. La bonne nouvelle : deux mesures simples, appliquées correctement, bloquent la grande majorité des attaques. Ces mesures, ce sont les mots de passe solides et la double authentification.
Pourquoi les mots de passe seuls ne suffisent-ils plus ?
Les cybercriminels disposent de bases de données contenant des milliards de mots de passe issus de fuites passées. Ils les testent automatiquement sur des milliers de services en quelques minutes. Si vous utilisez “Entreprise2024!” ou le prénom de votre enfant, ces bases les contiennent probablement déjà.
Un mot de passe seul présente deux failles majeures :
- Il peut être deviné ou trouvé dans une liste de fuites.
- Il peut être volé via un faux site (phishing) sans que vous le sachiez.
La double authentification (2FA ou MFA) résout ces deux failles : même avec votre mot de passe, le pirate ne peut pas entrer sans le second facteur.
Comment créer un mot de passe vraiment solide ?
La méthode la plus efficace et la plus mémorable, c’est la phrase de passe. Au lieu d’un mot compliqué, choisissez quatre à cinq mots ordinaires mis bout à bout :
Exemple : “vélo-nuage-facteur-citron-bleu”
Ce type de mot de passe est :
- Long (plus de 30 caractères, difficile à brute-forcer).
- Aléatoire (les mots n’ont pas de lien logique).
- Mémorable pour vous.
Ajoutez un chiffre ou un caractère spécial si le service l’exige. Mais la longueur prime sur la complexité.
Quel gestionnaire de mots de passe choisir ?
Retenir un mot de passe différent et solide pour chaque service est impossible sans aide. Un gestionnaire de mots de passe fait ce travail à votre place : il génère, stocke et remplit automatiquement des mots de passe uniques pour chaque compte.
Trois options adaptées aux TPE :
- Bitwarden : gratuit, open source, disponible sur tous les appareils. C’est le choix que nous recommandons souvent pour démarrer.
- 1Password : interface soignée, formule équipe disponible, environ 4 euros par mois et par utilisateur.
- Dashlane : bon pour les non-techniciens, avec une interface très accessible.
À retenir : le mot de passe maître de ce coffre-fort est le seul que vous devez absolument mémoriser. Choisissez-en un solide (phrase de passe) et ne le stockez nulle part en ligne.
Comment activer la double authentification (2FA) ?
La 2FA ajoute un second verrou : après votre mot de passe, le service vous demande un code temporaire généré par une application sur votre téléphone. Ce code change toutes les 30 secondes.
Étapes pour l’activer sur un service :
- Rendez-vous dans les paramètres de sécurité du compte concerné (Google, Microsoft 365, votre logiciel de comptabilité, etc.).
- Cherchez “Authentification à deux facteurs”, “Vérification en deux étapes” ou “2FA”.
- Choisissez l’option “Application d’authentification” (plus sûr que le SMS).
- Scannez le QR code affiché avec une application comme Google Authenticator, Authy ou Microsoft Authenticator.
- Notez les codes de secours sur papier et rangez-les en lieu sûr.
Activez le 2FA en priorité sur : votre messagerie professionnelle, votre gestionnaire de mots de passe, votre logiciel de comptabilité et tout accès distant (VPN, bureau à distance).
Quelles erreurs éviter absolument ?
- Réutiliser le même mot de passe sur plusieurs services : si l’un est compromis, tous le sont.
- Écrire les mots de passe sur un post-it collé à l’écran : c’est la première chose qu’un visiteur ou un voleur regarde.
- Utiliser le nom de l’entreprise, l’année ou “motdepasse” : ces combinaisons sont testées en priorité.
- Partager un compte à plusieurs personnes : chaque collaborateur doit avoir ses propres identifiants.
- Garder les identifiants par défaut des équipements (box, imprimante, routeur) : changez-les dès l’installation.
Par où commencer en équipe ?
Voici un plan de départ réaliste pour une équipe de 2 à 10 personnes :
- Choisissez un gestionnaire de mots de passe et créez un compte pour chacun.
- Identifiez les 5 comptes les plus critiques (messagerie, comptabilité, accès cloud).
- Changez les mots de passe de ces 5 comptes pour des mots de passe générés par le gestionnaire.
- Activez le 2FA sur ces 5 comptes.
- Étendez progressivement à tous les autres services sur un mois.
Nos experts iokoo peuvent auditer vos accès actuels et vous aider à déployer un gestionnaire de mots de passe et le 2FA pour toute votre équipe. Découvrez nos tarifs ou créez un compte pour poser vos questions directement à un expert.
Questions fréquentes
Un gestionnaire de mots de passe est-il vraiment sûr ?
Oui, c'est bien plus sûr que de réutiliser les mêmes mots de passe partout. Les gestionnaires sérieux comme Bitwarden ou 1Password chiffrent localement vos données avant de les synchroniser. Même en cas de fuite chez l'éditeur, vos mots de passe restent illisibles sans votre mot de passe maître.
Que faire si je perds accès à mon application 2FA ?
Lors de l'activation du 2FA, chaque service vous propose des codes de secours à usage unique. Notez-les sur papier et rangez-les dans un endroit sûr (pas sur votre bureau numérique). Ces codes permettent de récupérer l'accès même si vous perdez votre téléphone.
La 2FA par SMS est-elle suffisante ?
C'est mieux que rien, mais c'est la forme de 2FA la plus faible. Les SMS peuvent être interceptés via des attaques de type SIM swapping. Préférez une application d'authentification (Google Authenticator, Authy, Microsoft Authenticator) ou une clé de sécurité physique (YubiKey) pour les comptes sensibles.