PolicyForge
Tous les articles
6 min

Comment rédiger une politique de mots de passe (modèle gratuit)

Guide pratique pour rédiger une politique de mots de passe conforme ISO 27001, SOC 2 et NIST — quoi inclure, quoi éviter, et un modèle générable en quelques minutes.

À quoi sert une politique de mots de passe

Une politique de mots de passe définit comment votre organisation crée, stocke, renouvelle et protège ses secrets d'authentification. Les auditeurs la demandent car les identifiants faibles restent la porte d'entrée la plus fréquente des attaquants. Une bonne politique est courte, applicable et alignée sur les recommandations actuelles — pas une liste de vœux que personne ne suit.

Quoi inclure

  1. Périmètre — quels comptes et systèmes (employés, admins, comptes de service, tiers).
  2. Longueur et complexité — les recommandations modernes (NIST SP 800-63B) privilégient la longueur à la complexité forcée. Exigez une longueur minimale (ex. 12+ caractères) et un filtrage contre les listes de mots de passe compromis plutôt que des changements arbitraires fréquents.
  3. Authentification multifacteur — où le MFA est obligatoire (accès distant, consoles d'admin, messagerie). C'est la mesure la plus impactante à inscrire ici.
  4. Stockage — mots de passe hachés avec un algorithme robuste ; secrets dans un gestionnaire, jamais en clair, dans le code ou les tickets.
  5. Renouvellement — en cas de suspicion de compromission, au départ d'un collaborateur, et pour les comptes partagés/de service. Évitez la rotation systématique à 90 jours, désormais déconseillée par le NIST.
  6. Comptes à privilèges — exigences renforcées pour les admins (longueur accrue, MFA matériel, coffre-fort).
  7. Application — conséquences en cas de violation, et responsable des revues.

Erreurs fréquentes

  • Imposer une rotation fréquente, qui pousse les utilisateurs vers des schémas prévisibles.
  • Recopier un modèle des années 2010 en contradiction avec les recommandations NIST actuelles.
  • Écrire des règles techniquement inapplicables — les auditeurs testent ce que vous affirmez.

Alignement référentiels

Une politique de mots de passe correspond au contrôle 5.17 de l'Annexe A d'ISO 27001:2022 (informations d'authentification), aux critères d'accès logique SOC 2, et à la fonction Protéger du NIST CSF (PR.AA). Un seul document peut satisfaire les trois.

Générez-la en quelques minutes

PolicyForge produit une politique de mots de passe adaptée à votre contexte, alignée sur ces contrôles, avec bloc d'approbation et versioning. Voir un exemple PDF ou générez la vôtre gratuitement.