Cybersecurity

Politique de mots de passe ANSSI 2024 vs NIST 2026

Politique de mots de passe ANSSI 2024 : longueur, complexité, rotation. Comparaison avec NIST SP 800-63B. Modèle de politique 2026.

TD
Dr. Thiébaut Devergranne
23 mai 20267 min read

En une phrase. La recommandation ANSSI sur les mots de passe (mise à jour majeure d’octobre 2021, complétée 2024) abandonne plusieurs dogmes historiques : plus de rotation périodique obligatoire, plus de complexité imposée, priorité à la longueur (minimum 14 caractères pour comptes utilisateurs, 20+ pour administrateurs) et à l’authentification multifacteur. Cette évolution rapproche l’ANSSI du standard américain NIST SP 800-63B (révisé 2024). Une politique de mots de passe conforme 2026 doit être totalement réécrite par rapport à 2015.

L’approche traditionnelle (8 caractères, majuscule + chiffre + spécial, renouvellement tous les 90 jours) a été abandonnée par l’ANSSI et le NIST car contre-productive : elle pousse les utilisateurs vers des mots de passe prévisibles (Password2024!, Password2025!) et ne résiste pas aux attaques par dictionnaire modernes. Ce guide explique la nouvelle doctrine et fournit un modèle de politique.

Pour le cadre général : PSSI ANSSI, cartographie SI.

Points clés

  • L’ANSSI a abandonné la rotation périodique des mots de passe en 2021 — alignement avec NIST 2017.
  • Longueur > complexité : minimum 14 caractères utilisateur, 20+ administrateur.
  • MFA obligatoire dès qu’un risque externe existe (recommandation ANSSI 2024).
  • Bloquer les mots de passe compromis (HIBP) et les dictionnaires courants.
  • Les sanctions CNIL pour politique mot de passe faible atteignent 3 M€ (Doctolib 2020 : pas de sanction mais signalement).

1. Évolution doctrinale 2015 → 2024

Critère Approche 2015 ANSSI 2024 / NIST 2024
Longueur 8 caractères min 12-14 utilisateur, 20+ admin
Complexité imposée Maj + min + chiffre + spécial Pas d’obligation
Rotation Tous les 60-90 jours Uniquement si compromission
Historique 12 derniers interdits Optionnel
Mots de passe compromis Non vérifié Bloqués systématiquement (HIBP)
MFA Optionnel Obligatoire dès accès externe

Le NIST a publié SP 800-63B en 2017 (révisé 2024), changement majeur. L’ANSSI a suivi en octobre 2021 avec sa nouvelle recommandation.

2. Doctrine ANSSI 2024 : les 4 principes

  1. Longueur prime sur complexité : un mot de passe long en lettres minuscules résiste mieux qu’un court avec caractères spéciaux.
  2. Pas de rotation périodique sauf compromission avérée — la rotation génère des mots de passe prévisibles.
  3. Blocage des mots de passe communs et compromis (Have I Been Pwned, dictionnaires).
  4. Authentification multifacteur (MFA) obligatoire pour les accès externes et privilégiés.

3. Longueur recommandée par catégorie d’utilisateur

Catégorie Longueur ANSSI 2024 Entropie cible
Utilisateur standard 12-14 caractères > 70 bits
Utilisateur avec données sensibles 14-16 caractères > 80 bits
Compte privilégié (admin) 20+ caractères > 100 bits
Compte de service 30+ caractères généré > 128 bits
Compte d’urgence (break glass) 30+ caractères en coffre > 128 bits

L’entropie mesure l’imprévisibilité. Un mot de passe de 14 caractères aléatoires minuscules + chiffres dépasse 70 bits — résistant à toutes les attaques pratiques actuelles.

4. Passphrases : la solution recommandée

Les passphrases (3-5 mots aléatoires) sont explicitement recommandées par l’ANSSI et le NIST :

  • Faciles à mémoriser
  • Longueur élevée (souvent 20+ caractères)
  • Résistantes aux attaques par dictionnaire si mots vraiment aléatoires

Exemple : cheval-galaxie-piano-orange (28 caractères, entropie > 50 bits si mots tirés d’un dictionnaire de 7000 mots).

Méthode Diceware : tirer 5-6 mots au hasard dans une liste publique avec des dés. Entropie de 12,9 bits par mot.

5. Authentification multifacteur (MFA)

Recommandation ANSSI 2024 : MFA obligatoire pour :

  • Tous les accès administrateur
  • Tous les accès distants (VPN, RDP, SSH, webmail externe)
  • Tous les comptes accédant aux données personnelles sensibles
  • Tous les comptes financiers / RH

Hiérarchie ANSSI des facteurs :

  1. Clés FIDO2 / WebAuthn (Yubikey, Titan) — recommandé
  2. Applications TOTP (Authy, Google Authenticator) — acceptable
  3. Notifications push (Microsoft Authenticator, Duo) — acceptable
  4. SMSdéconseillé (attaques SIM swap)
  5. Email — déconseillé (compromission compte mail = compromission MFA)

6. Stockage côté serveur

Standards 2026 obligatoires :

  • Hachage avec algorithme moderne : Argon2id (préféré), scrypt, bcrypt avec coût ≥ 12, ou PBKDF2 avec ≥ 600 000 itérations
  • Sel unique par mot de passe (minimum 16 octets)
  • Poivre (clé secrète ajoutée) stocké séparément
  • Jamais MD5, SHA-1, SHA-256 simple

La CNIL a sanctionné plusieurs fois le hachage faible :

  • Délibération SAN-2019-006 (Sergic) : 400 000 € incluant hachage MD5
  • Délibération SAN-2018-003 (Optical Center) : 250 000 € incluant SHA-1

7. Modèle de politique de mots de passe 2026

Structure recommandée :

1. OBJET ET PÉRIMÈTRE
2. RÉFÉRENCES (ANSSI MdP 2021, NIST SP 800-63B, ISO 27002)
3. RÈGLES PAR CATÉGORIE D'UTILISATEUR
   - Longueur minimum
   - Caractères autorisés (tous Unicode)
   - Vérification anti-compromission
4. MFA — quand et comment
5. STOCKAGE (côté SI)
6. CYCLE DE VIE
   - Création / réinitialisation
   - Pas de rotation périodique
   - Révocation
7. COMPTES À PRIVILÈGES
8. GESTION DES SECRETS APPLICATIFS (vaults)
9. SANCTIONS DISCIPLINAIRES
10. RÉVISION (annuelle)

8. Gestion des mots de passe par les utilisateurs

L’ANSSI recommande explicitement l’usage d’un gestionnaire de mots de passe :

  • KeePass / KeePassXC : libre, recommandé ANSSI (certifié CSPN)
  • Bitwarden : open source, audité, version entreprise
  • 1Password, Dashlane, LastPass : commercial (attention LastPass : compromission 2022)

Pour les organisations : CyberArk, BeyondTrust, Hashicorp Vault pour les secrets applicatifs et comptes privilégiés (PAM).

9. Vérification des mots de passe compromis

Intégration obligatoire (ANSSI 2024) :

  • Have I Been Pwned (HIBP) : 12+ milliards d’identifiants compromis
  • API de vérification (k-anonymity, ne révèle pas le mot de passe complet)
  • Vérification à la création et périodiquement
  • Dictionnaires de mots de passe communs (rockyou, SecLists)

Microsoft Azure AD propose cette vérification nativement ; Active Directory on-premise nécessite des outils tiers (Specops, Lithnet).

10. Cas particuliers

Comptes de service : 30+ caractères générés, jamais utilisés interactivement, rotation automatisée tous les 90-180 jours via vault.

Comptes d’administration : MFA obligatoire, station d’administration dédiée (PAW), mots de passe en coffre-fort avec accès tracé.

Authentification machine-to-machine : préférer les certificats X.509 ou tokens OAuth2 aux mots de passe.

Comptes par défaut : à supprimer ou désactiver systématiquement (admin, root, default, etc.).

11. Sanctions CNIL et politique mot de passe

La CNIL sanctionne régulièrement les politiques faibles :

  • SAN-2024-006 : 32 000 € pour stockage en clair de mots de passe
  • SAN-2022-009 (Free) : 300 000 € incluant politique faible
  • SAN-2019-006 (Sergic) : 400 000 € (MD5 + politique faible)

Le RGPD article 32 impose des « mesures techniques appropriées » — la politique de mot de passe en est un élément central que la CNIL inspecte systématiquement.

12. Évolution post-mots de passe : passkeys

La technologie passkeys (FIDO2 + WebAuthn) supprime le mot de passe pour les services compatibles :

  • Authentification par clé cryptographique liée à l’appareil
  • Résistante au phishing (vérification du domaine)
  • Adoptée par Google, Apple, Microsoft, Amazon depuis 2023-2024
  • L’ANSSI et l’ENISA recommandent leur déploiement progressif

À horizon 2028, les passkeys devraient remplacer les mots de passe pour la plupart des services grand public.

FAQ

L’ANSSI impose-t-elle encore le renouvellement périodique des mots de passe ?

Non. Depuis octobre 2021, l’ANSSI déconseille le renouvellement périodique systématique. Il génère des mots de passe prévisibles et fragilise la sécurité. Le renouvellement n’est requis qu’en cas de compromission avérée.

Quelle longueur minimale pour un mot de passe utilisateur en 2026 ?

12 à 14 caractères minimum selon la recommandation ANSSI 2024 pour un utilisateur standard. 20+ pour les comptes administrateur. Privilégier des passphrases (3-5 mots aléatoires) faciles à mémoriser.

Le MFA par SMS est-il conforme ANSSI ?

C’est déconseillé depuis 2021 en raison des attaques SIM swap. Les méthodes recommandées sont les clés FIDO2/WebAuthn, puis les applications TOTP, puis les notifications push. Le SMS reste meilleur que rien, mais ne doit pas être le premier choix.

Quel algorithme de hachage utiliser pour stocker des mots de passe ?

Argon2id est le standard 2026 (OWASP, NIST). Acceptables également : scrypt, bcrypt (coût ≥ 12), PBKDF2-SHA256 (≥ 600 000 itérations). À proscrire : MD5, SHA-1, SHA-256 simple, tout hachage sans sel.

Faut-il imposer des caractères spéciaux dans les mots de passe ?

Non, l’ANSSI 2024 et le NIST SP 800-63B recommandent de ne plus imposer la complexité. Imposer Maj + min + chiffre + spécial pousse les utilisateurs vers des patterns prévisibles (Password1!, Welcome2024!). La longueur et le blocage des mots de passe compromis offrent une meilleure sécurité.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →