Le site d’information des acteurs de l’économie sociale et solidaire
Accueil > Mot de passe : conseils et astuces pour les gérer dans l’association > Mot de passe : conseils et astuces pour les gérer dans l’association
4 min.
Cybersécurité
Mot de passe : conseils et astuces pour les gérer dans l’association
Date de publication : 13/06/2025
#Article
Christian Serpaud
Encore aujourd’hui, le mot de passe reste la technique d’identification la plus utilisée par les associations comme par les entreprises. Un système simple et peu onéreux qui, s’il n’est pas administré avec rigueur, présente des risques importants de sécurité. Selon un récent rapport de Microsoft Digital Defense, pas moins de 7 000 attaques visant les mots de passe ont été enregistrées chaque seconde en 2024. Raison pour laquelle il n’est pas inutile de revenir sur quelques règles à suivre pour faire que les mots de passe demeurent des verrous difficiles à forcer.
Les mots de passe doivent être complexes
Lorsque l’on crée un mot de passe, la tentation est forte de choisir un mot facile à retenir. Autrement dit, court, en rapport avec sa vie (date de naissance, prénoms des enfants, adresse…) et ayant un sens (un mot, une phrase courte…). Sans surprise, de tels mots de passe offrent un faible niveau de sécurité, il convient donc de procéder autrement.
Pour l’Agence nationale de la sécurité des systèmes d’information (Anssi), un bon mot de passe doit être composé de 12 à 16 caractères de type différent (lettres, chiffres, caractères spéciaux, majuscules, minuscules). Bien entendu, pour être impossible à deviner, la chaîne de signes ainsi formée ne doit pas avoir de lien avec la vie privée de son utilisateur et ne doit pas être présente dans un dictionnaire (autrement dit, elle ne doit avoir aucun sens).
Afin de parvenir à créer un tel mot de passe et à s’en souvenir, plusieurs méthodes peuvent être utilisées. La méthode phonétique, soit « J’ai acheté 5 CD’s pour cent euros cet après-midi » donnant ght5CDs%€7am, et la méthode des premières lettres, soit « À mal nommer les choses on ajoute aux malheurs du monde ! » pour Amnlcoaamdm!.
En pratique : la Cnil propose sur son site (https://www.cnil.fr/fr/generer-un-mot-de-passe-solide) un générateur de mot de passe basé sur la technique de la première lettre.
Un mot de passe pour chaque compte
Autre erreur à éviter : utiliser le même mot de passe pour administrer plusieurs comptes. Car, s’il venait à être découvert, toutes les applications qu’il permet d’ouvrir seraient alors compromises. A minima, l’Anssi conseille de choisir un mot de passe spécifique au moins pour les services les plus sensibles (messagerie professionnelle, accès aux réseaux de l’association, services bancaires en ligne…).
Une validité limitée dans le temps
Même choisi avec soin, un mot de passe n’est jamais incassable. Dès lors, il convient de le changer régulièrement pour éviter qu’un hacker qui serait parvenu à le découvrir sans que personne s’en aperçoive continue à accéder au réseau de l’association ou à certaines de ses applications. Il faut ici trouver un compromis entre le confort des utilisateurs et la nécessaire sécurité de l’association. En fonction du caractère sensible des accès, la durée de validité d’un mot de passe pourra ainsi varier de 3 mois à 1 an.
Définir des règles communes
La gestion des mots de passe ne doit pas peser sur les seuls collaborateurs, mais doit s’inscrire dans une politique de sécurité globale de l’association. Ainsi, les règles de choix des mots de passe (longueur du mot de passe, type de signes utilisables pour le composer…) comme leur durée de vie doivent être les mêmes pour tout le monde. Pour être acceptée et suivie, et ne pas être considérée comme une contrainte inutile et chronophage, la mise en place de ces règles doit s’accompagner d’un plan de formation et de communication. L’idée est ici de permettre à chacun de mesurer les enjeux de la sécurité informatique en termes de risque. Cette phase est essentielle pour que la sécurité devienne une véritable culture partagée par l’ensemble des collaborateurs.
En outre, la sécurité des systèmes informatiques doit être administrée de manière centralisée. Les personnes qui en assument la charge, en plus de définir les règles de création et de gestion des mots de passe, devront veiller à leur application (mise en place de systèmes automatiques imposant le changement des mots de passe après un certain délai, vérification de la confidentialité des mots de passe, désactivation des mots de passe des anciens salariés et bénévoles…).
Recourir aux gestionnaires de mots de passe
Un gestionnaire de mots de passe est un logiciel administrant une base de données sécurisée. Il a pour principale mission de stocker vos identifiants et tous les mots de passe associés et de vous permettre de vous connecter automatiquement sur chacun des sites sécurisés auxquels vous êtes abonné. Ces programmes peuvent être présents sur l’espace mémoire d’un ordinateur, d’un smartphone ou d’une tablette, mais également en ligne (cloud), ce qui présente l’avantage d’en permettre l’accès à partir de n’importe quelle machine.
Les utiliser permet de n’avoir plus qu’un mot de passe à retenir : celui qui permet d’accéder au gestionnaire de mot de passe, baptisé « mot de passe maître ».
Ces outils peuvent s’intégrer dans la politique de gestion des mots de passe de l’association. Mais dans ce cas, il revient aux personnes en charge de ce dossier de sélectionner l’outil qui devra être utilisé, sans quoi chaque collaborateur risque de faire son propre choix.
Et attention, il convient de ne pas confondre les gestionnaires de mots de passe et les systèmes de mémorisation des mots de passe présents notamment sur les navigateurs internet. Peu sécurisés, selon l’Anssi, ces derniers, même s’ils sont pratiques, ne doivent pas être utilisées pour enregistrer des mots de passe sensibles.
Pour aller plus loin :
Ebook : La cybersécurité dans les associationsQuel gestionnaire de mots de passe choisir ?
Il existe des dizaines de gestionnaires de mots de passe. Le plus souvent, ces outils sont téléchargeables sur le site de leur éditeur sur les plates-formes proposant des utilitaires pour ordinateurs (Clubic, 01Net, Comment ça marche ?…) et pour smartphones (Apple Store, Google Play…). Les plus connus sont Dashlane, LastPass, NordPass et KeePass. Les 3 premiers sont payants (du moins en version non limitée – il faut compter entre 30 et 50 € par an) et le dernier est gratuit. KeePass est, en effet, un logiciel open source (mis à jour par une communauté d’informaticiens très active) qui, en outre, présente l’avantage d’être certifié par Anssi.
En pratique
Face à des contraintes de sécurité informatique, il convient de s’assurer que les utilisateurs respectent les règles associées à la gestion de leur mot de passe. Le partage des mots de passe entre collègues et parfois leur mise à dispostion en cas d’absence rendent innefficaces les protections mises en place.
La gestion des mots de passe reste un enjeu important pour les structures mais pour autant cela n’est pas suffisant pour se protéger efficacement d’intrusions.
En savoir plus
Webinaire : Cybersécurité et associationsAuteur(s) :
Christian Serpaud
Expert-comptable, commissaire aux comptes, associé, directeur national ESS
Christian est associé au sein du cabinet In Extenso. Expert-comptable et commissaire aux comptes spécialiste du secteur associatif et ESS, il est en charge du Marché Economie Sociale du groupe In Extenso.
Partagez cet article
Vous aimerez aussi...
Newsletter
Les données collectées serviront uniquement pour vous envoyer les lettres d’information. Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans chaque envoi. En savoir plus dans notre politique de confidentialité.
Les Ebooks
Nos Experts
Nos experts vous répondent et vous accompagnent dans vos démarches
