Le post-it collé sous l'écran. Le classeur Excel intitulé "mots de passe 2024". La feuille Word planquée dans un dossier "divers". Ou plus discrètement, le navigateur Chrome qui "propose de se souvenir" — et que tout le monde accepte sans se poser de questions.
C'est la réalité de beaucoup de PME. Pas de négligence intentionnelle, juste un manque de méthode. Sauf que dans un contexte où les cyberattaques ciblent les petites structures autant que les grandes, cette méthode a un coût.
Le navigateur, l'Excel, le post-it : pourquoi c'est risqué
Le navigateur, c'est commode. Il retient tout, remplit tout, et sur la même machine, c'est presque transparent. Sauf que les mots de passe stockés dans Chrome, Edge ou Firefox sont chiffrés avec les clés du système d'exploitation — pas avec votre propre secret. Si quelqu'un accède à votre session Windows, il accède aussi à tous vos mots de passe, via un simple export natif ou des outils tiers largement disponibles. Pas besoin d'être hacker.
L'Excel ou le Word, c'est pire : le fichier se partage par mail, s'envoie sur un Teams, finit dans un cloud personnel ou sur une clé USB. Pas de traçabilité, pas de chiffrement sérieux — le "mot de passe" d'un fichier Office se contourne en quelques minutes avec les outils qui circulent librement.
Et le post-it… on ne va pas s'étendre.
Comment fonctionne un gestionnaire de mots de passe PME
Un gestionnaire de mots de passe, c'est un coffre-fort numérique. Tous vos identifiants sont stockés dans une base chiffrée (AES-256 pour les solutions sérieuses), protégée par un seul et unique secret : votre mot de passe maître. En dessous, votre cerveau n'a plus rien à retenir.
Vous créez une entrée par service (VPN d'entreprise, messagerie, outil comptable, portail client, accès fournisseur…). Le gestionnaire génère pour vous un mot de passe long et aléatoire — 20, 30 caractères si vous voulez. Vous ne le connaîtrez jamais, et c'est exactement l'objectif. Quand vous arrivez sur le site ou dans l'application, le gestionnaire remplit automatiquement les champs, ou vous copiez-collez depuis son interface.
Résultat : chaque service dispose d'un mot de passe unique, long, impossible à deviner. Et si l'un d'eux fuite — ça arrive, même chez de grands acteurs — les autres restent intacts.
Un mot de passe ne suffit plus : parlons du MFA
Générer des mots de passe robustes, c'est bien. Mais dans le paysage de menaces actuel, ça ne suffit pas. Le phishing, les vols de bases de données, le credential stuffing font que même un bon mot de passe peut finir dans de mauvaises mains.
C'est là qu'intervient le MFA — l'authentification multifacteur. L'idée est simple : pour accéder à un compte, vous devez prouver votre identité avec au moins deux facteurs distincts. Quelque chose que vous connaissez (le mot de passe), et quelque chose que vous possédez (votre téléphone, une clé physique, une application dédiée).
La bonne nouvelle : la plupart des gestionnaires de mots de passe modernes intègrent nativement un générateur TOTP — ces codes à 6 chiffres qui changent toutes les 30 secondes. Vous n'avez plus besoin d'une application séparée comme Google Authenticator ou Authy : l'entrée du gestionnaire contient à la fois l'identifiant, le mot de passe et le code OTP. Un seul endroit, tout est là.
Les passkeys : la prochaine étape, déjà stockable
Vous avez peut-être entendu parler des passkeys — cette méthode d'authentification qui remplace le mot de passe par une paire de clés cryptographiques. Pas de mot de passe à taper, pas de code OTP, aucun secret qui transite sur le réseau. Par construction, les attaques de type man-in-the-middle ne peuvent rien faire contre ce mécanisme.
Les gestionnaires les plus récents (1Password, Bitwarden, Proton Pass notamment) permettent désormais de stocker et d'utiliser vos passkeys directement. L'adoption se fait progressivement côté services, mais les grandes plateformes — Google, Microsoft, GitHub, Apple — sont déjà compatibles.
Si vous voulez comprendre pourquoi les passkeys résistent structurellement aux attaques MITM là où un code OTP classique peut céder, on a écrit un article dédié sur le sujet — la lecture complète mérite le détour.
Quatre gestionnaires de mots de passe pour les PME à connaître
Le marché propose de nombreuses solutions. Voici quatre qui ont chacune leur logique et leur positionnement :
Bitwarden — open source, auto-hébergeable, excellent rapport fonctionnalités/prix. L'offre Business tourne autour de 3 €/utilisateur/mois. Son code est auditable publiquement, ce qui compte quand on gère les accès d'une PME entière.
1Password — l'interface la plus soignée du marché. Idéal pour les équipes moins techniques. Gestion des droits par coffres partagés, intégration Entra ID (Azure AD) possible, compatible avec les environnements Microsoft 365. Tarif autour de 7 €/utilisateur/mois.
KeePass / KeePassXC — la version 100% locale. Aucun cloud, aucun serveur tiers, la base chiffrée reste sur votre infrastructure. Gratuit, open source. La contrepartie : c'est vous qui gérez la synchronisation entre postes. Solution préférée des environnements très sensibles ou très contraints budgétairement.
Proton Pass — développé par les équipes de Proton (ProtonMail). Open source, chiffrement de bout en bout renforcé, gestion des alias e-mail intégrée. Bonne option pour les structures soucieuses de leur souveraineté numérique.
Héberger le gestionnaire sur votre propre infrastructure
C'est une question qui revient régulièrement : peut-on faire tourner ça sur notre propre serveur, sans dépendre d'un cloud tiers ?
Oui. Bitwarden propose une version auto-hébergeable (compatible avec le projet communautaire Vaultwarden). KeePass fonctionne déjà sur ce modèle par design. Passbolt est une autre solution pensée spécifiquement pour l'auto-hébergement en équipe, avec interface de gestion des droits.
L'auto-hébergement a un coût réel : il faut maintenir le serveur, assurer les sauvegardes, gérer les mises à jour de sécurité. Sur le terrain, quand on intègre ce type de solution, c'est systématiquement raccordé à la supervision IT globale — un serveur de mots de passe non monitoré et non sauvegardé, c'est exactement le genre de point faible qu'on retrouve lors des incidents.
Exemple concret : PME de 20 personnes, secteur transport
Prenons une PME fictive mais réaliste. Vingt collaborateurs, secteur transport et logistique. Avant de passer à un gestionnaire dédié, le constat est classique : les mots de passe du VPN, des outils métier, du portail douanier et des accès fournisseurs dorment dans un Excel partagé sur le réseau, sans chiffrement.
On déploie Bitwarden (version cloud managée), on importe les identifiants existants, on régénère les accès critiques un par un. On active le MFA via les TOTP intégrés. En deux semaines, chaque collaborateur dispose de son compte avec des droits différenciés par coffre : le comptable n'accède pas aux mots de passe réseau, le gérant a accès à l'ensemble. L'Excel est supprimé.
Trois mois plus tard, le mail d'un collaborateur est compromis lors d'une fuite de données d'un service tiers. Le mot de passe de ce service avait été régénéré et rendu unique. L'incident reste isolé — aucune propagation sur les autres accès.
Ce qu'on recommande chez Logexia
Le navigateur ne suffit pas — dès qu'une équipe partage des accès, ou qu'on veut de vraie traçabilité, c'est insuffisant.
Commencez par les accès critiques — VPN, messagerie pro, outils de gestion, accès bancaires. Pas besoin de tout migrer en une semaine.
Activez le MFA partout où c'est possible — pas seulement sur le gestionnaire lui-même. Sur Microsoft 365, sur les outils cloud, sur les accès distants. Les gestionnaires modernes simplifient ça avec les TOTP intégrés.
L'auto-hébergement n'est pas pour tout le monde — c'est une option valide si vous avez un service IT en interne ou un prestataire dédié. Sinon, une solution cloud sérieuse comme Bitwarden ou 1Password vaut mieux qu'un serveur mal maintenu.
La base d'une bonne hygiène de sécurité
Un gestionnaire de mots de passe, c'est rarement la solution la plus spectaculaire. Ça ne génère pas de rapport de sécurité impressionnant, ça ne fait pas de bruit. Mais c'est souvent le premier maillon qui cède lors d'une compromission.
Corriger ça prend quelques jours. L'ignorer peut coûter bien plus cher.