Pourquoi un gestionnaire de mots de passe est non négociable pour une PME

Pourquoi le sujet est devenu critique

Trois changements rendent le gestionnaire de mots de passe indispensable en 2026 :

• Le nombre de comptes a explosé. Une PME de 15 personnes utilise typiquement 30 à 50 services tiers : messagerie, banque, comptabilité, RH, CRM, plateformes clients, fournisseurs, certifications. Aucun cerveau humain ne mémorise 50 mots de passe forts différents.
• Les fuites massives sont la norme. Le service public Have I Been Pwned recense des milliards de couples email/mot de passe issus de fuites publiques. Un mot de passe utilisé sur deux services est compromis dès qu'un seul des deux fuit.
• Les attaquants automatisent. Le credential stuffing, c'est tester les mots de passe volés sur tous les services en quelques minutes. Sans mots de passe uniques, c'est juste une question de quel service sera atteint en premier.

Le faux ami : l'Excel partagé

L'Excel partagé sur un disque commun ou OneDrive est encore très répandu en PME. C'est aussi ce qu'il y a de pire :

• Aucun chiffrement réel — la protection par mot de passe Excel se contourne en quelques secondes avec des outils gratuits.
• Aucune traçabilité : impossible de savoir qui a vu quel mot de passe ni quand.
• Aucune révocation : un collaborateur qui part garde une copie du fichier sur son poste personnel.
• Aucune intégration navigateur : les équipes copient-collent, et finissent par stocker les mots de passe en clair sur des post-it ou dans le navigateur sans chiffrement.

Si vous reconnaissez votre situation, l'urgence n'est pas le ransomware : c'est ça. Voir aussi notre définition MFA, indissociable du gestionnaire.

Trois options sérieuses pour une PME

Bitwarden — recommandé pour la majorité des PME

Open source, infrastructure cloud disponible en Europe, version gratuite suffisante pour un usage individuel, version Teams et Enterprise pour le partage en équipe (autour de quelques euros par utilisateur et par mois). Audits de sécurité publics. Hébergement auto-hébergé possible si besoin de souveraineté.

Pour qui : 80 % des PME. Solution équilibrée entre simplicité, ouverture et coût.

KeePass — pour les profils technophiles ou hors-ligne

Logiciel libre, fichier chiffré stocké localement (ou sur un partage réseau, ou un cloud privé). Pas d'infrastructure cloud par défaut. Plébiscité par l'ANSSI qui en cite la version KeePassXC dans ses recommandations grand public.

Pour qui : les structures qui ne veulent aucune donnée sensible dans un cloud, ou les équipes IT déjà à l'aise avec un workflow Git/synchronisation manuelle. Demande un peu plus d'autonomie technique.

1Password — pour les PME qui veulent zéro friction

Solution propriétaire commerciale, l'expérience utilisateur la plus polie du marché, intégrations métier nombreuses (Slack, Microsoft 365, Okta, etc.). Plus cher que Bitwarden. Hébergement aux États-Unis principalement, à arbitrer selon votre sensibilité RGPD.

Pour qui : les PME qui privilégient la simplicité d'adoption sur le coût et la souveraineté.

La règle d'or : MFA sur le gestionnaire lui-même

Un gestionnaire de mots de passe est une cible de très haute valeur. S'il est compromis, l'attaquant gagne tous vos identifiants. Trois précautions non négociables :

• MFA obligatoire sur le compte maître, idéalement avec une clé matérielle (YubiKey) plutôt qu'un code SMS ou TOTP.
• Phrase de passe maître longue (4-5 mots aléatoires, type cheval-table-rivière-bouton), stockée dans un coffre-fort physique en double exemplaire chez le dirigeant.
• Récupération testée : clé de récupération imprimée, conservée hors site. Sinon, perte du compte = perte de tous les mots de passe.

Pour les comptes administrateur (admin Active Directory, root, accès cloud), aller plus loin avec un PAM (Privileged Access Management) : rotation automatique, traçabilité fine, élévation à la demande.

Le plan de migration en équipe — deux semaines

1. Semaine 1, jours 1-2 : choix de l'outil et achat des licences. Création du compte maître par le dirigeant ou le DSI.
2. Semaine 1, jours 3-5 : import des mots de passe existants depuis les navigateurs (Chrome, Firefox, Safari, Edge ont tous un export CSV) et l'Excel s'il existe. Suppression immédiate de l'Excel et purge des mots de passe stockés dans les navigateurs.
3. Semaine 2, jour 1 : 30 minutes de formation collective. Démontrer la création d'un mot de passe fort, l'auto-remplissage, le partage sécurisé. Aucun support écrit, juste de la pratique.
4. Semaine 2, jours 2-5 : chaque collaborateur change progressivement les 10-20 mots de passe les plus utilisés en mots de passe forts générés.
5. Suivi à 30 jours : vérifier qu'aucun nouveau mot de passe n'a été créé hors gestionnaire, refaire un point de 15 minutes pour les questions résiduelles.

À retenir

Ce que Scryptoura fait pour vous

Lors d'un Diagnostic Découverte, on vérifie systématiquement la situation des mots de passe : quel outil, qui a accès à quoi, qu'est-ce qui se passe quand quelqu'un quitte l'entreprise. Si la situation est à risque, on propose une migration cadrée. Pour situer votre exposition en 3 minutes via 22 questions ciblées, faites notre auto-évaluation express.