Les employés belges choisissent souvent un mot de passe facile à mémoriser, mais également facile à pirater pour les hackers.
Le mot de passe de votre compte professionnel est-il assez robuste ? Une étude menée par Spotit auprès de plus de 67 000 employés belges révèle que 58 % des mots de passe d’entreprise peuvent être piratés en moins d’une heure. Les modèles prévisibles, comme le nom de l’entreprise combiné à une année, restent particulièrement populaires.
lire aussi
6 mots de passe d’entreprises belges sur 10 peuvent être piratés en moins d’une heure
Les mots de passe couramment utilisés sont prévisibles
L’équipe de piratage éthique de Spotit, une entreprise belge de cybersécurité, a examiné la robustesse des mots de passe de 67 557 employés de petites, moyennes et grandes entreprises belges. Il en ressort que 6 mots de passe sur 10 (39 346 au total) peuvent être découverts en moins d’une heure grâce à des techniques de « craquage de mot de passe ».
Les mots de passe couramment utilisés tels que Bienvenue2025, NomEntreprise2025 ou Été2025! contiennent des modèles prévisibles. Cela facilite le test automatique de combinaisons par les pirates. « Nous constatons que les employés optent souvent pour des mots de passe courts et faciles à retenir, ce qui augmente considérablement le risque d’une attaque réussie », déclare Keanu Nys, responsable de la sécurité offensive chez Spotit.
Il s’avère que les mots de passe sont plus faibles dans les multinationales que dans les PME. Dans 60 % des cas, Spotit a réussi à pirater un mot de passe dans les grandes entreprises. Pour les petites organisations, ce chiffre était de 40 %. Une explication possible est le nombre de comptes obsolètes encore actifs. Lorsque les comptes d’anciens employés ne sont pas supprimés à temps, des risques supplémentaires apparaissent.
Voici les mots de passe les plus populaires et faciles à pirater pour les comptes d’entreprise que Spotit a rencontrés :
| Mots de passe d’intégration | Variations sur les noms d’entreprises | Mots de passe saisonniers |
| Bienvenue2025 | Nomentreprise2025 | Hiver2025 |
| Bienvenue2025! | NomEntreprise2025! | Été2025! |
| Bienvenue@NomEntreprise! | N0mEntr3pr1s3! | Automne2025! |
Au moins quatorze caractères
Spotit recommande aux entreprises d’imposer techniquement l’utilisation de mots de passe plus longs à leurs employés. Un mot de passe d’entreprise sûr doit comporter au moins quatorze caractères. De plus, il est important d’éviter les modèles prévisibles tels que les noms d’entreprise et les années, en particulier lors des changements de mot de passe obligatoires. Suivez également nos conseils pour le mot de passe parfait.
D’autres recommandations incluent l’introduction obligatoire de l’authentification multifactorielle (MFA), le blocage des mots de passe couramment utilisés via une liste noire, et l’utilisation de passkeys : le système conçu pour remplacer les mots de passe. Enfin, la formation et la sensibilisation des employés restent cruciales. Des tests et des formations réguliers aident à accroître la sensibilisation aux cyberrisques.
Avec l’émergence d’une réglementation plus stricte comme la directive NIS2, l’importance d’une politique de mot de passe solide s’accroît. Cependant, la pratique montre que les mesures techniques seules ne suffisent pas tant que les utilisateurs restent le maillon faible de la chaîne.