Si votre service informatique ou une vieille habitude vous dit de changer chaque mot de passe tous les 90 jours, la réponse moderne va peut-être vous surprendre : pour la plupart des comptes, ne le faites pas. Les recommandations de sécurité ont changé. Ce guide explique à quelle fréquence il faut vraiment changer un mot de passe, pourquoi la rotation forcée a été abandonnée, et que faire à la place.
La réponse courte
Ne changez pas un mot de passe fort et unique selon un calendrier fixe. Changez-le seulement quand il y a une vraie raison. C'est le consensus actuel des organismes de sécurité, dont le NIST, qui a abandonné la recommandation de rotation de routine dès 2017. Un mot de passe fort que vous gardez, protégé par l'authentification à deux facteurs, vaut mieux qu'une série de mots plus faibles que vous êtes forcé de réinventer.
Pourquoi « le changer tous les 90 jours » se retourne contre vous
L'ancienne règle paraissait prudente, mais elle aggravait les choses en pratique. Quand on force les gens à changer souvent de mot de passe, ils n'en inventent pas de forts. Ils font de petites modifications prévisibles — Printemps2026! devient Ete2026! — et ils réutilisent des schémas d'un compte à l'autre. Le résultat : des mots de passe plus faibles, plus faciles à deviner, et plus de réutilisation — exactement ce sur quoi comptent les attaquants.
Quand vous devez réellement changer un mot de passe
La rotation doit être déclenchée par des événements, pas par le calendrier. Changez un mot de passe sans attendre si :
- Le service annonce une fuite de données ou vous trouvez votre compte dans l'une d'elles.
- Le mot de passe est faible, réutilisé ou partagé avec quelqu'un.
- Vous remarquez des connexions inconnues ou une activité suspecte sur le compte.
- Vous l'avez saisi sur un site de phishing ou un appareil non fiable.
- Vous l'avez un jour envoyé à quelqu'un, même à vous-même, par chat ou par e-mail.
Dans chacun de ces cas, changez-le immédiatement et activez l'authentification à deux facteurs.
Générez un mot de passe unique pour chaque compte — BitwardenGestionnaire de mots de passe open source et audité qui crée et retient des mots de passe forts et uniques, pour ne jamais en réutiliser ni en changer à la main→Que faire à la place
Changer par routine est la mauvaise habitude. Voici les trois bonnes :
- Utilisez un mot de passe unique pour chaque compte. Un gestionnaire de mots de passe génère et stocke des mots de passe longs et aléatoires, pour que vous n'en réutilisiez ni n'en oubliiez jamais aucun.
- Activez l'authentification à deux facteurs. Elle bloque à elle seule un mot de passe volé, ce qui compte bien plus que la fréquence de rotation.
- Surveillez les fuites. Vous saurez alors exactement quand un mot de passe précis a vraiment besoin d'être changé — au lieu de deviner selon un calendrier.
En résumé
La réponse honnête et actuelle à « à quelle fréquence dois-je changer mon mot de passe » est : pas selon un calendrier — seulement quand il se passe quelque chose. La rotation forcée partait d'une bonne intention, mais elle poussait les gens vers des mots de passe plus faibles et répétés. Remplacez cette habitude par des mots de passe forts et uniques, un gestionnaire pour les garder, et l'authentification à deux facteurs. C'est ce qui protège vraiment les comptes en 2026.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Voir l'offre NordPass30 jours satisfait ou remboursé · Plan gratuit disponible→