Mots de passe : pourquoi ça ne suffit plus en 2025

En 2025, un mot de passe « fort » ne protège plus grand-chose tout seul. La plupart des intrusions modernes ne cassent pas votre mot de passe par la force brute : elles le contournent (hameçonnage), le récupèrent (fuites de données) ou profitent de vos réutilisations entre services. Résultat : on croit avoir verrouillé la porte… alors que l’attaquant a déjà une copie des clés.

Octobre est traditionnellement le mois de la sensibilisation à la cybersécurité, mais l’idée reste valable toute l’année — surtout en décembre, quand les équipes tournent au ralenti, que les prestataires changent d’horaires, et que les campagnes de fraude « fin d’année » se multiplient. Le vrai sujet n’est plus « comment créer un bon mot de passe », c’est comment bâtir une authentification et une détection d’accès solides, avec des contrôles adaptés au niveau de risque.

Dans cette série « Intelligence artificielle dans la cybersécurité », je défends une position simple : l’authentification forte (MFA, passkeys) doit être la base, et l’IA doit servir de ceinture de sécurité — pour repérer les signaux faibles, limiter la fraude et réduire le temps de réaction quand quelque chose dérape.

Les mots de passe échouent surtout… parce qu’on les vole

Un constat clair : le problème numéro 1 n’est pas la “complexité”, c’est la compromission. Les attaquants ont industrialisé trois méthodes très rentables.

Hameçonnage : le mot de passe est donné volontairement

Le phishing fonctionne parce qu’il s’adapte au contexte : faux portail Microsoft 365, fausse demande de validation RH, fausse facture fournisseur, message « colis bloqué ». Et depuis l’essor des outils génératifs, les emails sont souvent mieux écrits, plus crédibles, plus ciblés. Un mot de passe, même long, ne résiste pas à un utilisateur pressé qui saisit ses identifiants sur une page piégée.

Ce qui change en 2025 : les attaques savent aussi voler le cookie de session ou pousser une victime à valider une demande de connexion « MFA fatigue ». Donc oui, le MFA aide énormément, mais il doit être bien choisi.

Fuites de données : votre mot de passe circule déjà

Les violations de données et les bases d’identifiants revendues restent un carburant majeur pour le cybercrime. Même si votre entreprise est solide, votre mot de passe peut provenir d’un service tiers (un ancien site e-commerce, une appli peu maintenue, un prestataire).

Le scénario typique :

• un mot de passe fuit sur un service A,
• vous l’avez réutilisé (ou une variante) sur un service B,
• l’attaquant fait du credential stuffing à grande échelle,
• votre compte B tombe… sans « piratage » visible.

Réutilisation : l’erreur humaine la plus exploitable

On peut blâmer les utilisateurs, mais soyons honnêtes : la réutilisation est une conséquence du trop-plein de comptes. La réponse réaliste n’est pas “faites des mots de passe uniques de 24 caractères partout” ; la réponse, c’est :

• un gestionnaire de mots de passe,
• du MFA robuste,
• et, côté entreprise, des contrôles intelligents et adaptatifs.

MFA : indispensable, mais toutes les options ne se valent pas

La MFA (authentification multifacteur) réduit drastiquement le risque de compromission de compte, parce qu’un attaquant doit obtenir au moins un facteur supplémentaire. Mais la différence entre les méthodes est très concrète.

SMS : mieux que rien, mais pas le standard cible

Le SMS est populaire car simple. Son problème : il est plus exposé aux attaques (ex. détournement de numéro, interception, ingénierie sociale). Si c’est votre seule option, activez-le. Mais si vous avez le choix, visez mieux.

Application d’authentification : un bon équilibre

Les applications d’authentification (codes temporaires) offrent un bon niveau de sécurité, surtout si vous :

• protégez le téléphone (code/biométrie),
• sauvegardez les codes de récupération,
• limitez les validations “en un clic”.

Clé matérielle : très efficace contre le phishing

Les clés de sécurité matérielles sont particulièrement fortes contre le phishing, car elles s’appuient sur des mécanismes qui lient l’authentification au bon site. C’est souvent le meilleur choix pour :

• administrateurs,
• équipes IT,
• comptes à privilèges,
• dirigeants (cibles de choix).

Phrase à retenir : le MFA n’est pas un “plus”, c’est le plancher. La vraie discussion porte sur la qualité du facteur et sur la capacité à détecter les contournements.

Passkeys et “passwordless” : la direction la plus saine

Les passkeys (authentification sans mot de passe) répondent à un problème vieux comme le web : un secret partagé (le mot de passe) qu’on peut réutiliser, voler ou hameçonner.

Avec les passkeys, l’utilisateur ne transmet pas un mot de passe : il prouve qu’il possède un appareil/identité via cryptographie, souvent avec biométrie ou code local. Dans la pratique, cela apporte trois bénéfices :

• réduction du phishing (l’authentification est liée au service légitime),
• moins de charge support (moins de réinitialisations),
• meilleure expérience utilisateur (moins de friction).

Mon avis : pour beaucoup d’organisations, le bon chemin est progressif :

1. MFA robuste partout,
2. passkeys sur les applications clés,
3. “passwordless” complet sur les périmètres maîtrisés.

Là où l’IA change la donne : sécurité adaptative et détection de fraude

MFA et passkeys renforcent l’accès, mais ne suffisent pas à eux seuls. Les attaquants s’adaptent : vol de session, postes compromis, attaques internes, usurpation via helpdesk, contournements via applications OAuth, etc. C’est ici que l’IA apporte une valeur immédiate : détecter ce qui ne ressemble pas à un accès normal, même quand les identifiants sont “valides”.

Analyse comportementale : repérer l’anomalie en temps réel

Une approche IA efficace observe des signaux comme :

• géolocalisation improbable (connexion à 02h13 depuis un pays jamais vu),
• appareil inédit + navigateur atypique,
• vitesse de déplacement impossible entre deux connexions,
• séquence d’actions inhabituelle (export massif, changement d’email, ajout de règle de transfert),
• tentatives répétées sur des comptes à privilèges.

L’intérêt : on ne dépend pas uniquement d’un secret (mot de passe) ou d’un facteur. On mesure le risque contextuel.

Authentification “adaptative” : augmenter la friction seulement quand il faut

L’IA permet de sortir du tout-ou-rien.

• Risque faible : accès fluide.
• Risque moyen : demander une validation supplémentaire.
• Risque élevé : bloquer, alerter, imposer une vérification forte.

Cette logique est précieuse pour les équipes métiers : moins de frictions au quotidien, plus de barrières quand le contexte l’exige.

Détection des attaques d’identité et de fraude

Les attaques d’identité ne concernent pas que les comptes internes. Elles touchent aussi :

• portails clients,
• espaces partenaires,
• applications bancaires/assurance,
• e-commerce et programmes de fidélité.

L’IA sert ici à identifier les comportements de fraude (bots, création de comptes, abus de remboursement, prise de contrôle de compte) en s’appuyant sur des modèles qui évoluent avec les tactiques adverses.

One-liner utile : en 2025, la question n’est pas “le mot de passe est-il fort ?”, c’est “cet accès est-il légitime ?”.

Plan d’action concret (7 jours) pour passer au niveau supérieur

Vous voulez un résultat rapide, sans chantier interminable ? Voici un plan réaliste sur une semaine.

Jour 1 : cartographier les comptes critiques

Listez :

• emails professionnels,
• VPN / accès distants,
• outils collaboratifs,
• consoles cloud,
• comptes admin, helpdesk, finance.

Objectif : savoir où une compromission ferait vraiment mal.

Jour 2 : activer le MFA partout où c’est possible

Priorité : comptes à privilèges et messagerie (souvent la porte d’entrée). Fixez une règle simple : pas de MFA = pas d’accès.

Jour 3 : remplacer le SMS quand une alternative existe

Ciblez :

• application d’authentification,
• clé matérielle pour les profils sensibles.

Jour 4 : réduire la surface d’attaque des mots de passe

• imposez un gestionnaire de mots de passe,
• bloquez les mots de passe compromis (listes de mots de passe divulgués),
• supprimez les comptes dormants.

Jour 5 : durcir la récupération de compte

Beaucoup d’attaques passent par « mot de passe oublié ». Renforcez :

• vérifications helpdesk,
• procédures anti-usurpation,
• journalisation et validation des changements sensibles.

Jour 6 : activer la détection basée sur le risque (IA / analytics)

Concrètement, cherchez des capacités de :

• scoring de risque de connexion,
• détection d’anomalies,
• alertes sur activités impossibles ou inhabituelles,
• corrélation d’événements entre messagerie, endpoints, cloud.

Jour 7 : tester un scénario de compromission

Faites un exercice court :

• un compte “utilisateur” compromis,
• un compte “admin” ciblé,
• mesurez : temps de détection, temps de blocage, étapes de remédiation.

Si vous ne mesurez pas, vous optimisez à l’aveugle.

Les questions qu’on me pose le plus

“Le MFA suffit-il contre le phishing ?”

Non, pas toujours. Il réduit fortement le risque, mais certaines attaques contournent le MFA (vol de session, fatigue MFA, proxies de phishing). MFA + détection IA + durcissement session donne une protection bien plus robuste.

“Passkeys : c’est prêt pour une entreprise ?”

Oui, sur de nombreux usages, mais rarement “partout d’un coup”. Le meilleur modèle est hybride : passkeys sur les applications majeures, MFA robuste en général, et une feuille de route pour le reste.

“On est une PME : l’IA, c’est pour les grands groupes ?”

Non. Beaucoup de solutions intègrent déjà de l’analytique et de l’automatisation. L’enjeu est de choisir des cas d’usage clairs (détection d’accès anormal, fraude, emails) et de les rendre actionnables.

Ce que je retiens pour 2026 : arrêter de faire du mot de passe le héros

Le message est net : ne comptez jamais sur un mot de passe seul, même « très fort ». Activez le MFA, privilégiez des méthodes robustes (appli d’authentification, clé matérielle), et avancez vers les passkeys dès que votre environnement le permet.

Et si vous suivez cette série sur l’intelligence artificielle dans la cybersécurité, gardez cette idée : l’IA n’est pas là pour remplacer l’authentification forte ; elle est là pour détecter ce que l’authentification ne voit pas — l’anomalie, la fraude, l’abus de session, le comportement impossible.

Si vous deviez changer une seule chose avant fin janvier : mettez le MFA robuste sur la messagerie et les comptes à privilèges, puis ajoutez une couche de détection basée sur le risque. La prochaine tentative d’intrusion ne vous préviendra pas ; vos contrôles, eux, doivent le faire.