Il y a quelques jours, en flânant dans le rayon papeterie d’un grand magasin, je suis tombé sur un présentoir un peu particulier : des carnets de notes spécifiquement conçus pour stocker ses mots de passe. Avec des titres bien visibles comme “Password Keeper” ou “Carnet de mots de passe” et des rubriques prêtes à l’emploi pour inscrire login, site, mot de passe et remarque.

Mon premier réflexe, en tant qu’expert en cybersécurité, a été de froncer les sourcils. Vraiment ? En 2025 ? Dans un monde où l’on parle de double authentification, de chiffrement de bout en bout et de passkeys, proposer d’écrire ses mots de passe dans un carnet me semblait pour le moins anachronique… voire dangereux.

Mais en y réfléchissant un peu plus, j’ai réalisé que cette pratique n’était peut-être pas si absurde dans certains contextes. Et que ce jugement instinctif, aussi bien intentionné soit-il, pouvait passer à côté de réalités d’usage que nous, professionnels de la cybersécurité, avons parfois tendance à négliger.

Cet article n’a pas pour but de trancher catégoriquement. Il s’agit plutôt d’examiner les pour et les contre de cette méthode “à l’ancienne”, à l’heure où les méthodes d’authentification se diversifient et où la sensibilisation à la sécurité doit rester accessible, pragmatique et humaine.

Les risques évidents : un support physique vulnérable

Si l’idée d’écrire ses mots de passe dans un carnet peut sembler rassurante pour certains — tangible, simple, hors ligne — elle n’en demeure pas moins porteuse de risques significatifs, en particulier dans un contexte professionnel. Ces risques tiennent à la nature même du support : physique, non chiffré, et difficilement traçable en cas d’accès non autorisé.

Le risque de vol ou de perte

Un carnet de mots de passe peut être volé, égaré ou consulté à l’insu de son propriétaire, que ce soit à domicile, en entreprise ou en déplacement. Contrairement à un système informatique, il ne dispose d’aucune alerte, d’aucune journalisation, et encore moins de système de verrouillage automatique. Il suffit qu’un collègue mal intentionné, un visiteur, ou un membre de la famille tombe dessus, et l’accès à tous les comptes devient potentiellement compromis.

Dans les secteurs sensibles, comme l’assurance ou le courtage, où les postes de travail peuvent donner accès à des données à caractère personnel ou à des portails clients, la simple disparition d’un carnet peut suffire à déclencher un incident de sécurité majeur.

L’absence totale de chiffrement

Un gestionnaire de mots de passe numérique (comme Bitwarden, 1Password, ou KeePass) repose sur un coffre-fort chiffré, protégé par un mot de passe maître ou une authentification multifactorielle. Même si le fichier est volé ou exfiltré, son contenu reste illisible sans la clé adéquate.

À l’inverse, un carnet papier contient des identifiants en clair, sans aucune forme de protection. Ouvrir le carnet suffit à obtenir une liste complète de comptes sensibles — e-mails, accès bancaires, applications professionnelles, etc. — souvent accompagnés d’annotations utiles à un attaquant (nom du service, rôle dans l’entreprise, code PIN, etc.).

Une concentration des risques sur un point unique de défaillance

Le carnet de mots de passe incarne ce qu’on appelle en cybersécurité un single point of failure : un point de vulnérabilité unique dont la compromission peut avoir des effets en cascade. Une fois le carnet accessible, un attaquant peut prendre le contrôle de plusieurs comptes, rebondir d’un service à un autre, récupérer des données confidentielles, voire prendre le contrôle d’infrastructures critiques dans le cas d’un administrateur ou d’un gestionnaire de portefeuille client.

Dans les environnements assurantiels, cela soulève immédiatement des enjeux de conformité :

• RGPD : la compromission de données clients via un mot de passe mal protégé peut entraîner une obligation de notification à la CNIL, voire des sanctions en cas de négligence caractérisée.

• ISO 27001 : une politique de sécurité des accès qui tolère des carnets papier non protégés va à l’encontre des bonnes pratiques recommandées dans l’annexe A.9 de la norme (Contrôle d’accès).

• Assurabilité : certaines garanties de cyberassurance peuvent être remises en cause si l’assureur démontre que les identifiants ont été stockés de manière non sécurisée, en violation des engagements contractuels ou des politiques internes.

Les avantages méconnus : simplicité, résilience, accessibilité

Il est tentant, dans les cercles d’experts en cybersécurité, de balayer d’un revers de main l’idée même de noter ses mots de passe dans un carnet. Et pourtant, à l’épreuve du terrain, cette pratique — aussi archaïque puisse-t-elle paraître — présente certains avantages qu’on aurait tort de négliger.

Le papier ne peut pas être piraté à distance

C’est une évidence souvent oubliée : un carnet de mots de passe ne peut pas être compromis à distance. Contrairement à un navigateur qui stocke des mots de passe en clair dans le profil de l’utilisateur, ou à un gestionnaire connecté à un cloud, le support papier est hors réseau, insensible aux ransomwares, malwares ou keyloggers. C’est précisément cette caractéristique qui en fait une solution viable dans certains environnements à haute criticité, comme les réseaux air-gapped.

Dans un bureau sécurisé par badge, un post-it sous le clavier peut offrir une meilleure protection contre un APT qu’un gestionnaire de mots de passe vulnérable à une attaque latérale ou à une compromission de terminal. En revanche, dans un open space ou à domicile, les mêmes pratiques deviennent risquées face à des accès physiques non maîtrisés.

Une solution simple et universelle, adaptée à tous les profils

La cybersécurité ne peut pas rester l’apanage des ingénieurs, des pentesters et des RSSI. Elle doit s’adresser à Mme Michu. Et Mme Michu, comme beaucoup de citoyens — y compris certains professionnels — note ses mots de passe. Pas par négligence, mais parce que c’est une solution simple, compréhensible, disponible immédiatement, sans barrière technologique ni jargon.

Dans un monde où 15 % de la population française est en situation d’illectronisme (source : INSEE, 2023), on ne peut pas espérer une adoption massive des outils numériques avancés sans un minimum de pédagogie progressive.

C’est là que le rôle du “passeur numérique” devient essentiel : accompagner, expliquer, proposer des alternatives acceptables plutôt que d’imposer une solution idéale mais inapplicable. Comme le résume Hubert Chenut, “il vaut mieux un mot de passe complexe noté dans un carnet bien rangé qu’un mot de passe unique et faible enregistré dans son navigateur web.”

Une opportunité pour progresser pas à pas

Le carnet, s’il est bien utilisé, peut être un levier pédagogique :

• Encourager à faire un mot de passe différent par service, puisqu’on ne dépend plus de sa mémoire seule.

• Proposer des mots de passe plus longs, plus robustes, justement parce qu’ils sont notés.

• Expliquer qu’on peut écrire une version tronquée du mot de passe, et ajouter une partie en mémoire (ex. : 3 lettres personnelles à rajouter à chaque fois). Cela renforce la sécurité tout en stimulant les capacités de mémorisation.

• Enfin, montrer progressivement que ces pratiques peuvent être automatisées via un gestionnaire, ou intégrées dans un smartphone sécurisé.

Autrement dit, le carnet peut être une première marche vers une meilleure hygiène numérique, et non une impasse archaïque.

Une solution résiliente en cas d’urgence

Dans un contexte de crise — piratage, perte d’accès aux systèmes, rupture de service — le carnet peut servir de filet de secours. Lors d’audits menés par CnC Expertise, nous avons vu des entreprises totalement paralysées par une perte d’accès centralisée (notamment après un ransomware). Dans ces cas-là, les quelques collaborateurs qui avaient conservé un duplicata papier sécurisé ont permis de relancer des accès prioritaires.

Ce n’est pas un plaidoyer pour le retour à la plume et au papier. Mais dans certains contextes, la simplicité du support physique permet un équilibre entre accessibilité et sécurité, à condition que son usage soit bien encadré : pas de transport hors du domicile ou du bureau sécurisé, pas de partage, pas d’exposition à des tiers, et idéalement… une transition progressive vers de meilleures solutions.

L’avenir : vers la fin des mots de passe ?

Après avoir examiné les risques liés au stockage physique des mots de passe et les avantages parfois sous-estimés de cette pratique, il est essentiel de se projeter vers l’avenir : et si le vrai progrès n’était pas de mieux gérer ses mots de passe… mais de s’en débarrasser ?

Depuis plusieurs années, la communauté cybersécurité s’accorde sur un point : le mot de passe est un mauvais compromis entre sécurité et ergonomie. Trop court, il est vulnérable aux attaques. Trop long, il est oublié. Réutilisé, il devient un facteur de risque systémique. Et même bien géré, il reste une variable humaine dans un système où l’humain est souvent le maillon faible.

Face à cette impasse, les grands acteurs du numérique — Google, Apple, Microsoft, et l’alliance FIDO — militent activement pour un changement de paradigme : l’authentification sans mot de passe.

Passkeys, biométrie, et appareils de confiance : une nouvelle ère

En 2025, les passkeys (basées sur les standards FIDO2 et WebAuthn) permettent déjà de se connecter à de nombreux services sans saisir le moindre mot de passe. L’authentification repose alors sur une combinaison :

• d’un appareil de confiance (téléphone, ordinateur, clé matérielle),

• d’une preuve de possession (clé privée locale non exportable),

• et souvent d’un facteur biométrique (empreinte, reconnaissance faciale, code PIN).

Ce modèle offre plusieurs avantages décisifs :

• Il est inviolable à distance (pas de mot de passe à intercepter ou à deviner).

• Il est beaucoup plus difficile à hameçonner (phishing).

• Il est transparent pour l’utilisateur, et donc plus fluide à l’usage.

Mais une transition longue et inégale

Malgré ses promesses, cette transition vers un monde sans mot de passe ne se fera pas en un jour. Elle exige :

• une mise à jour des systèmes d’information,

• un référentiel de sécurité adapté,

• des équipements compatibles,

• et surtout un changement d’habitudes profond.

Pour les entreprises, cela signifie des projets de migration potentiellement lourds, notamment dans des contextes où l’authentification s’appuie sur des systèmes anciens ou des services tiers non encore compatibles. Pour les utilisateurs, cela suppose d’accepter de confier leur sécurité à leur appareil, ce qui peut poser des problèmes de confiance, de continuité (perte ou vol), et d’accessibilité.

Et n’oublions pas que l’inclusion numérique est un enjeu central. Dans les faits, beaucoup d’utilisateurs ne disposent pas encore des outils, des compétences, ou des réflexes nécessaires pour adopter ces nouvelles méthodes.

La réalité, c’est qu’en 2025, le mot de passe est encore là… pour un temps. Et s’il doit peu à peu céder la place à des solutions plus robustes et plus intuitives, cela ne se fera pas en rupture, mais en transition.

C’est pourquoi nous devons accompagner chaque profil d’utilisateur avec pragmatisme, en tenant compte de son niveau, de son environnement, et de son exposition au risque. Un carnet de mots de passe bien utilisé aujourd’hui, peut être la première étape vers une authentification sans mot de passe demain.

En conclusion

Écrire ses mots de passe dans un carnet est une pratique qui pose des risques réels, mais qui peut aussi, dans certains contextes bien encadrés, se justifier temporairement. Dans un monde idéal, tout le monde utiliserait des passkeys, du MFA et des gestionnaires chiffrés… mais la réalité est souvent plus nuancée.

Plutôt que de juger ou d’imposer des outils sans tenir compte des usages et des niveaux de maturité, il est plus pertinent d’accompagner progressivement chaque usager vers de meilleures pratiques : renforcer ses mots de passe, diversifier ses accès, comprendre les bases du phishing, ou apprendre à sécuriser ses équipements.

CnC Expertise : former, sensibiliser, sécuriser

Chez CnC Expertise, nous sommes convaincus qu’une cybersécurité efficace repose autant sur la technologie que sur l’humain. C’est pourquoi nous accompagnons nos clients — assureurs, courtiers, PME, collectivités — à travers des actions concrètes :

• Formations sur-mesure à la cybersécurité opérationnelle (en présentiel ou à distance) pour les équipes techniques comme les profils non-IT ;

• Ateliers de sensibilisation adaptés à chaque métier (RH, direction, commerciaux, support), avec des cas pratiques réalistes ;

• Campagnes de prévention sur les risques liés aux mots de passe, au phishing, aux réseaux Wi-Fi publics, aux déplacements professionnels… ;

• Évaluations de maturité cyber et recommandations personnalisées selon le niveau d’exposition et le secteur d’activité ;

• Et un accompagnement humain, pragmatique, respectueux des contraintes de terrain.

Notre objectif est clair : faire progresser durablement la sécurité numérique des organisations, sans dogmatisme, sans jargon, et toujours avec exigence et bienveillance.

Et après ?

Le mot de passe est peut-être voué à disparaître. Mais d’ici là, chaque bonne pratique compte, et chaque utilisateur mérite un accompagnement adapté.

N’hésitez pas à nous contacter si vous souhaitez mettre en place une action de formation ou de sensibilisation au sein de votre structure. Ensemble, bâtissons une culture cyber solide, accessible et responsable.