Cybersécurité

Gestion des mots de passe en entreprise : LastPass, Bitwarden, 1Password

11 دقائق للقراءة

Ce que vous saurez faire à la fin

  1. Choisir entre LastPass, Bitwarden, 1Password, Dashlane, Keeper.
  2. Déployer un gestionnaire pour 5-100 collaborateurs.
  3. Importer / migrer les anciens mots de passe sans perdre l’historique.
  4. Configurer le partage sécurisé entre équipes (coffres partagés).
  5. Auditer la qualité des mots de passe et corriger les faibles.

Durée : 1 semaine pour rollout 20-50 collab. Pré-requis : direction engagée, MFA disponible (Authenticator), formation prévue (1h par collab), budget 30-150 k FCFA / an pour 10-30 utilisateurs.

Étape 1 — Comparer les 5 gestionnaires

Outil Tarif équipe Forces Limites
Bitwarden Teams 4 USD/user/mois Open source, audit indépendant UX un peu moins fluide
1Password Business 8 USD/user/mois UX excellente, Travel Mode Plus cher
Dashlane Business 8 USD/user/mois VPN intégré, dark web monitoring Coffre limité offline
Keeper Business 3,75 USD/user/mois Conformité strict (ISO, SOC2) UX datée
LastPass Business 7 USD/user/mois Historique long Bréhes 2022 (à fuir)

Recommandation 2026 PME : Bitwarden Teams ou 1Password Business.

Étape 2 — Créer le compte admin et le tenant

Sur bitwarden.com (ou 1password.com) : Sign up Business / Teams > renseignez nom de l’organisation, email admin pro, plan choisi. Activez immédiatement la MFA sur le compte admin (Authenticator obligatoire). Définissez 2 administrateurs au cas où le primaire est indisponible. Activez l’audit log.

Étape 3 — Définir la politique de mots de passe

Dans la console admin, configurez :

Longueur minimum : 16 caractères
Complexité : majuscules + minuscules + chiffres + symboles
Réutilisation : interdite (cross-services et historique 24 derniers)
Expiration : NON (contre-productif si mot de passe fort + MFA)
MFA obligatoire pour accéder au coffre
Auto-lock : 5 min d'inactivité
Mot de passe maître : 20+ caractères, jamais réutilisé ailleurs
Phrase de récupération offline (Emergency Kit 1Password)

Étape 4 — Importer les mots de passe existants

Procédure pour chaque collaborateur :

  1. Exporter mots de passe depuis Chrome (Paramètres > Mots de passe > Exporter)
  2. Importer dans Bitwarden (Tools > Import data > Chrome CSV)
  3. Vérifier l’import (aucune entrée manquante)
  4. Supprimer DÉFINITIVEMENT le CSV exporté (purge corbeille)
  5. Désactiver l’enregistrement de mots de passe dans Chrome (Paramètres > Auto-fill > Off)
  6. Désinstaller LastPass / autre ancien gestionnaire après vérification

Étape 5 — Organiser les coffres et permissions

Architecture recommandée :

Coffre Personnel (par utilisateur, privé)
Coffre Équipe Marketing (collections : Réseaux sociaux, Outils SEO, Ads)
Coffre Équipe Tech (collections : Hébergeurs, Domaines, Serveurs)
Coffre Direction (accès limité à 3 personnes)
Coffre Compta (factures, banques, Mobile Money)
Coffre IT-Admin (accès root, super-sensible)

Permissions par rôle : View, Edit, Manage. Principe du moindre privilège.

Étape 6 — Activer le partage sécurisé

Au lieu d’envoyer un mot de passe par WhatsApp ou email :

  • Bitwarden Send : URL temporaire (1-7 j), 1 vue max, mot de passe d’accès optionnel, expiration auto.
  • 1Password Share : idem, plus interface.
  • Dashlane Sharing : partage permanent ou temporaire, droits R / RW.

Ne partagez jamais en plain text. Tout password partagé doit passer par le coffre ou Send.

Étape 7 — Configurer la MFA sur tous les services critiques

Dans Bitwarden, vous pouvez stocker les codes TOTP (Authenticator) directement (Premium ou Teams). Workflow :

  • Service active MFA > affiche QR code
  • Dans Bitwarden, ouvrez l’item > champ « Authenticator key (TOTP) » > « Scan QR code »
  • Bitwarden génère les codes 6 chiffres, copiables en 1 clic

Avantage : pas de smartphone à sortir 50 fois / jour. Inconvénient : tout dans 1 panier (compensez avec MFA très forte sur le coffre).

Étape 8 — Auditer la qualité de votre coffre

Rapport « Vault Health » / « Watchtower » :

Mots de passe faibles (< 12 caractères ou trop simples)
Mots de passe réutilisés sur plusieurs sites
Mots de passe compromis (HaveIBeenPwned API native)
Mots de passe sans MFA possible activée
Mots de passe expirés (si politique d'expiration active)
Coffres sans propriétaire (orphelins après départ)

Cible : 0 mot de passe faible, 0 réutilisé, 0 compromis non changé.

Étape 9 — Onboarder les nouveaux collaborateurs

Process en 4 étapes :

  1. RH crée le compte SSO (Microsoft / Google) le J0
  2. Console Bitwarden : invitation auto via SCIM
  3. Collaborateur accepte invitation, crée mot de passe maître + MFA
  4. Affectation aux coffres équipe pertinents

Formation 1h obligatoire en première semaine. Quiz de validation.

Étape 10 — Offboarder un collaborateur partant

Process J0 du dernier jour :

1. Console admin : suspendre le compte (pas supprimer immédiatement)
2. Récupérer les mots de passe partagés via export coffre équipe
3. Changer tous les mots de passe pro auxquels il avait accès
4. Révoquer les sessions actives
5. À J+30 : supprimer définitivement le compte
6. Auditer le log : que faisait-il les 7 derniers jours ?

Étape 11 — Surveiller le dark web (HaveIBeenPwned, etc.)

1Password Watchtower et Bitwarden vault report scannent automatiquement les bases de fuites publiques :

  • Email présent dans une fuite : alerte immédiate
  • Mot de passe identique dans une base compromise : alerte critique
  • Adresse domaine entière : Have I Been Pwned API monitoring (DPO)

Action sous 24h pour tout mot de passe exposé.

Étape 12 — Activer le SSO (Single Sign-On)

Pour PME > 20 collab : intégrez Bitwarden / 1Password à votre IdP (Microsoft Entra ID, Google Workspace, Okta). Avantages :

  • Connexion unique au coffre via SSO
  • Onboarding / offboarding automatique via SCIM
  • MFA centralisée au niveau IdP
  • Conditional access (refus connexion hors pays autorisés)

Coût SSO : inclus 1Password Business, ajout 1 USD/user/mois Bitwarden Enterprise.

Étape 13 — Mettre en place les Emergency Access

Si un employé clé est indisponible (accident, démission brutale) :

  • 1Password : « Emergency Kit » PDF imprimé et stocké dans coffre-fort physique
  • Bitwarden : « Emergency Access » : un contact de confiance peut demander accès, délai d’attente 1-30 j
  • Procédure CEO : 2 personnes physiquement présentes pour activer (séparation des pouvoirs)

Testez la procédure 1 fois / an.

Étape 14 — Auditer la conformité trimestrielle

Rapport admin 1 fois / trimestre :

- Nombre d'utilisateurs actifs vs effectifs RH
- Comptes inactifs > 30 jours
- Coffres orphelins
- Tentatives de connexion échouées (brute force ?)
- Mots de passe compromis non changés
- MFA désactivée (devrait être 0)
- Score de santé global du tenant

Erreurs classiques avec les gestionnaires de mots de passe

  • 1 même mot de passe maître pour tous : 1 compromis = 100 % du coffre.
  • Pas de MFA sur le coffre : seul mot de passe maître = trop fragile.
  • Notes Excel « à côté » : casse l’intérêt du gestionnaire.
  • Partage par chat / mail : persistance, capture, fuite.
  • Pas de revue trimestrielle : coffres orphelins, comptes zombies.

Checklist gestion de mots de passe entreprise

✓ Outil choisi (Bitwarden ou 1Password recommandés)
✓ Tenant créé avec MFA admin obligatoire
✓ Politique de mots de passe configurée
✓ Migration depuis Chrome / LastPass effectuée
✓ Coffres et permissions structurés
✓ Partage sécurisé activé (jamais email/WhatsApp)
✓ TOTP stockés dans le coffre
✓ Audit Watchtower régulier
✓ Process onboarding / offboarding documenté
✓ Surveillance dark web active
✓ SSO + SCIM activés (si > 20 collab)
✓ Emergency Access configuré et testé
✓ Audit trimestriel calé

Démarrer en production sur un VPS

Pour passer du local à un serveur réellement accessible en ligne, Hostinger propose des plans VPS abordables avec sauvegarde automatique.

Voir les VPS →

Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.

Pourquoi un gestionnaire central change la securite d une PME

En 2026, une PME ouest-africaine moyenne gere entre 80 et 250 mots de passe : email, comptabilite Sage, hebergeur, banque, Wave Business, Mixx by Yas Pro, Meta Business Manager, Google Workspace, outils SaaS divers. Sans gestionnaire central, ces secrets finissent dans un Excel non chiffre, un Post-it sous le clavier, ou pire dans un thread WhatsApp. Une fuite suffit pour que le compte Meta Ads soit detourne et 800 000 FCFA (1 220 EUR) brules en publicites pirates avant le matin.

Un gestionnaire d entreprise (LastPass, Bitwarden, 1Password) chiffre tout, partage de maniere granulaire, audite les acces, et coute en moyenne 2 a 8 USD/utilisateur/mois. Ce tutoriel compare les trois options dominantes et vous guide pas a pas pour deployer.

Etape 1 : Comparer les trois options en 2026

Bitwarden Teams : 4 USD/utilisateur/mois, open source, self-hosting possible (Vaultwarden), audit de securite annuel publie. Plan Enterprise a 6 USD avec SSO SAML. C est le rapport qualite-prix imbattable pour les PME africaines.

1Password Business : 7,99 USD/utilisateur/mois, UX la plus polie, Travel Mode unique, integration Slack/Okta. Pas de self-hosting. LastPass Business : 7 USD/utilisateur/mois, longtemps leader mais reputation entamee par les fuites de 2022 (vault export vole). En 2026, beaucoup de DSI ont migre vers Bitwarden ou 1Password. Notre recommandation : Bitwarden si budget serre, 1Password si UX prioritaire, LastPass uniquement si deja en place et migration trop couteuse.

Etape 2 : Inventaire des secrets existants

Avant de choisir l outil, listez TOUS les comptes a faire entrer. Exportez d abord les mots de passe enregistres dans Chrome, Firefox, Safari de chaque poste — Chrome Settings, Autofill, Password Manager, three-dots Export. Vous obtenez un CSV de 50 a 300 lignes.

# Sous Linux/Mac, comptez les entrees
wc -l chrome-passwords.csv
# Verifiez les doublons
sort -t, -k2 chrome-passwords.csv | uniq -c -f1 | sort -rn | head

Sortie attendue : nombre total et top 10 des sites apparaissant plusieurs fois (signe de comptes obsoletes a nettoyer). Profitez-en pour faire le menage : mots de passe < 8 caracteres a renforcer, comptes d employes partis a desactiver.

Etape 3 : Creer le compte entreprise

Sur Bitwarden : bitwarden.com/host, creez une organisation, choisissez Teams ou Enterprise, payez en USD via carte Visa/Mastercard internationale. Si votre carte locale est refusee, passez par un revendeur francophone (Smile, certains MSP au Senegal proposent la facturation locale). Le master password de l organisation doit faire 16+ caracteres, avec phrase memorisable plutot que aleatoire imprononcable.

Activez la 2FA sur le compte admin immediatement : authenticator TOTP (Aegis, 2FAS) ou cle FIDO2 (YubiKey 5C, Token2). Stockez les codes de recuperation dans un coffre physique (papier, banque) — pas dans le gestionnaire lui-meme.

Etape 4 : Importer les secrets en lot

Connectez-vous au vault web Bitwarden, menu Tools, Import data, Format Chrome (csv). Selectionnez le CSV exporte. L outil vous montre un preview ; verifiez que les colonnes mappent (name, username, password, url). Cliquez Import — vous voyez « X items imported successfully ».

// Si Bitwarden CLI installe : import scripte
bw login admin@monentreprise.com
bw unlock
bw import chromecsv chrome-passwords.csv

Sortie attendue : Imported X items.. Si l import echoue avec error: vault is locked, refaites bw unlock et exportez la session : export BW_SESSION="...".

Etape 5 : Organiser en collections et roles

Creez des collections par metier : Comptabilite, Marketing, Tech, Direction. Chaque collection contient les credentials necessaires a ce role. Bitwarden gere les permissions par collection : Read only, Read/Write, Admin. Affectez chaque utilisateur a une ou plusieurs collections, jamais en admin global.

Exemple concret : la stagiaire en marketing a Read sur la collection Marketing (acces aux comptes Meta Ads, Buffer, Canva), aucune visibilite sur Comptabilite ou Direction. Quand elle part, vous revoquez son acces en un clic — aucun mot de passe a changer si la rotation systematique a ete bien configuree.

Etape 6 : Politique de mot de passe et generateur

Imposez une politique cote organisation : longueur minimum 14 caracteres, majuscules, minuscules, chiffres, symboles. Bitwarden, 1Password et LastPass appliquent cette politique au generateur integre. Activez aussi l option « interdire le master password dans les coffres personnels ».

Pour les humains qui doivent retenir un master password : phrase de passe de 5 mots aleatoires (diceware), exemple « cheval-baobab-aspirine-78-tambour ». Plus facile a retenir qu un T8!kZ2#mNp9 et plus resistant en force brute (entropie equivalente).

Etape 7 : Activer la 2FA sur tous les comptes critiques

Faites le tour des comptes : email principal, banque, hebergeur, registrar de domaine, comptes admin Meta/Google, Wave Business. Activez TOTP partout, et FIDO2 (cle physique) sur les 5 plus critiques. Bitwarden et 1Password peuvent stocker le secret TOTP a cote du mot de passe — pratique si vous perdez le telephone, mais cela centralise tous les facteurs au meme endroit (defaut securite : un attaquant qui ouvre votre coffre a aussi les TOTP).

Compromis raisonnable : TOTP dans le coffre pour les comptes secondaires, TOTP sur application separee (Aegis) ou cle FIDO2 pour banque, email primaire, registrar.

Etape 8 : Audit, rotation et offboarding

Bitwarden Reports et 1Password Watchtower scannent les coffres et signalent : mots de passe faibles, reutilises, presents dans des bases publiques (Have I Been Pwned), comptes sans 2FA. Lancez ce scan une fois par mois et corrigez le top 10.

# Bitwarden CLI : exporter la liste des mots de passe faibles
bw list items | jq '.[] | select(.login.password | length < 14) | {name,id}'

Sortie attendue : JSON avec id et name des entrees a renforcer. Sur l offboarding d un employe, suivez la checklist : revocation acces gestionnaire, reset des mots de passe partages auxquels il avait acces, revocation des sessions actives (Google Workspace Admin, Meta Business Manager). Sans cette routine, un ex-salarie garde des acces residuels pendant des mois.

Etape 9 : Plan de reprise et coffre de secours

Un gestionnaire central est un point unique de defaillance. Mitigations : export chiffre mensuel sur cle USB hors ligne (Bitwarden export en JSON encrypted), conservee dans un coffre physique au bureau et chez le dirigeant. Si le compte admin est verrouille, vous restaurez en quelques heures.

Sur un angle proche, lisez aussi securiser un compte Google Workspace et configurer la 2FA YubiKey en PME.

مشاركة
#sécurité