Cybersécurité

Gestion des mots de passe en entreprise : LastPass, Bitwarden, 1Password

6 min de lecture
Gestion des mots de passe en entreprise : LastPass, Bitwarden, 1Password

Ce que vous saurez faire à la fin

  1. Choisir entre LastPass, Bitwarden, 1Password, Dashlane, Keeper.
  2. Déployer un gestionnaire pour 5-100 collaborateurs.
  3. Importer / migrer les anciens mots de passe sans perdre l’historique.
  4. Configurer le partage sécurisé entre équipes (coffres partagés).
  5. Auditer la qualité des mots de passe et corriger les faibles.

Durée : 1 semaine pour rollout 20-50 collab. Pré-requis : direction engagée, MFA disponible (Authenticator), formation prévue (1h par collab), budget 30-150 k FCFA / an pour 10-30 utilisateurs.

Étape 1 — Comparer les 5 gestionnaires

Outil Tarif équipe Forces Limites
Bitwarden Teams 4 USD/user/mois Open source, audit indépendant UX un peu moins fluide
1Password Business 8 USD/user/mois UX excellente, Travel Mode Plus cher
Dashlane Business 8 USD/user/mois VPN intégré, dark web monitoring Coffre limité offline
Keeper Business 3,75 USD/user/mois Conformité strict (ISO, SOC2) UX datée
LastPass Business 7 USD/user/mois Historique long Bréhes 2022 (à fuir)

Recommandation 2026 PME : Bitwarden Teams ou 1Password Business.

Étape 2 — Créer le compte admin et le tenant

Sur bitwarden.com (ou 1password.com) : Sign up Business / Teams > renseignez nom de l’organisation, email admin pro, plan choisi. Activez immédiatement la MFA sur le compte admin (Authenticator obligatoire). Définissez 2 administrateurs au cas où le primaire est indisponible. Activez l’audit log.

Étape 3 — Définir la politique de mots de passe

Dans la console admin, configurez :

Longueur minimum : 16 caractères
Complexité : majuscules + minuscules + chiffres + symboles
Réutilisation : interdite (cross-services et historique 24 derniers)
Expiration : NON (contre-productif si mot de passe fort + MFA)
MFA obligatoire pour accéder au coffre
Auto-lock : 5 min d'inactivité
Mot de passe maître : 20+ caractères, jamais réutilisé ailleurs
Phrase de récupération offline (Emergency Kit 1Password)

Étape 4 — Importer les mots de passe existants

Procédure pour chaque collaborateur :

  1. Exporter mots de passe depuis Chrome (Paramètres > Mots de passe > Exporter)
  2. Importer dans Bitwarden (Tools > Import data > Chrome CSV)
  3. Vérifier l’import (aucune entrée manquante)
  4. Supprimer DÉFINITIVEMENT le CSV exporté (purge corbeille)
  5. Désactiver l’enregistrement de mots de passe dans Chrome (Paramètres > Auto-fill > Off)
  6. Désinstaller LastPass / autre ancien gestionnaire après vérification

Étape 5 — Organiser les coffres et permissions

Architecture recommandée :

Coffre Personnel (par utilisateur, privé)
Coffre Équipe Marketing (collections : Réseaux sociaux, Outils SEO, Ads)
Coffre Équipe Tech (collections : Hébergeurs, Domaines, Serveurs)
Coffre Direction (accès limité à 3 personnes)
Coffre Compta (factures, banques, Mobile Money)
Coffre IT-Admin (accès root, super-sensible)

Permissions par rôle : View, Edit, Manage. Principe du moindre privilège.

Étape 6 — Activer le partage sécurisé

Au lieu d’envoyer un mot de passe par WhatsApp ou email :

  • Bitwarden Send : URL temporaire (1-7 j), 1 vue max, mot de passe d’accès optionnel, expiration auto.
  • 1Password Share : idem, plus interface.
  • Dashlane Sharing : partage permanent ou temporaire, droits R / RW.

Ne partagez jamais en plain text. Tout password partagé doit passer par le coffre ou Send.

Étape 7 — Configurer la MFA sur tous les services critiques

Dans Bitwarden, vous pouvez stocker les codes TOTP (Authenticator) directement (Premium ou Teams). Workflow :

  • Service active MFA > affiche QR code
  • Dans Bitwarden, ouvrez l’item > champ « Authenticator key (TOTP) » > « Scan QR code »
  • Bitwarden génère les codes 6 chiffres, copiables en 1 clic

Avantage : pas de smartphone à sortir 50 fois / jour. Inconvénient : tout dans 1 panier (compensez avec MFA très forte sur le coffre).

Étape 8 — Auditer la qualité de votre coffre

Rapport « Vault Health » / « Watchtower » :

Mots de passe faibles (< 12 caractères ou trop simples)
Mots de passe réutilisés sur plusieurs sites
Mots de passe compromis (HaveIBeenPwned API native)
Mots de passe sans MFA possible activée
Mots de passe expirés (si politique d'expiration active)
Coffres sans propriétaire (orphelins après départ)

Cible : 0 mot de passe faible, 0 réutilisé, 0 compromis non changé.

Étape 9 — Onboarder les nouveaux collaborateurs

Process en 4 étapes :

  1. RH crée le compte SSO (Microsoft / Google) le J0
  2. Console Bitwarden : invitation auto via SCIM
  3. Collaborateur accepte invitation, crée mot de passe maître + MFA
  4. Affectation aux coffres équipe pertinents

Formation 1h obligatoire en première semaine. Quiz de validation.

Étape 10 — Offboarder un collaborateur partant

Process J0 du dernier jour :

1. Console admin : suspendre le compte (pas supprimer immédiatement)
2. Récupérer les mots de passe partagés via export coffre équipe
3. Changer tous les mots de passe pro auxquels il avait accès
4. Révoquer les sessions actives
5. À J+30 : supprimer définitivement le compte
6. Auditer le log : que faisait-il les 7 derniers jours ?

Étape 11 — Surveiller le dark web (HaveIBeenPwned, etc.)

1Password Watchtower et Bitwarden vault report scannent automatiquement les bases de fuites publiques :

  • Email présent dans une fuite : alerte immédiate
  • Mot de passe identique dans une base compromise : alerte critique
  • Adresse domaine entière : Have I Been Pwned API monitoring (DPO)

Action sous 24h pour tout mot de passe exposé.

Étape 12 — Activer le SSO (Single Sign-On)

Pour PME > 20 collab : intégrez Bitwarden / 1Password à votre IdP (Microsoft Entra ID, Google Workspace, Okta). Avantages :

  • Connexion unique au coffre via SSO
  • Onboarding / offboarding automatique via SCIM
  • MFA centralisée au niveau IdP
  • Conditional access (refus connexion hors pays autorisés)

Coût SSO : inclus 1Password Business, ajout 1 USD/user/mois Bitwarden Enterprise.

Étape 13 — Mettre en place les Emergency Access

Si un employé clé est indisponible (accident, démission brutale) :

  • 1Password : « Emergency Kit » PDF imprimé et stocké dans coffre-fort physique
  • Bitwarden : « Emergency Access » : un contact de confiance peut demander accès, délai d’attente 1-30 j
  • Procédure CEO : 2 personnes physiquement présentes pour activer (séparation des pouvoirs)

Testez la procédure 1 fois / an.

Étape 14 — Auditer la conformité trimestrielle

Rapport admin 1 fois / trimestre :

- Nombre d'utilisateurs actifs vs effectifs RH
- Comptes inactifs > 30 jours
- Coffres orphelins
- Tentatives de connexion échouées (brute force ?)
- Mots de passe compromis non changés
- MFA désactivée (devrait être 0)
- Score de santé global du tenant

Erreurs classiques avec les gestionnaires de mots de passe

  • 1 même mot de passe maître pour tous : 1 compromis = 100 % du coffre.
  • Pas de MFA sur le coffre : seul mot de passe maître = trop fragile.
  • Notes Excel « à côté » : casse l’intérêt du gestionnaire.
  • Partage par chat / mail : persistance, capture, fuite.
  • Pas de revue trimestrielle : coffres orphelins, comptes zombies.

Checklist gestion de mots de passe entreprise

✓ Outil choisi (Bitwarden ou 1Password recommandés)
✓ Tenant créé avec MFA admin obligatoire
✓ Politique de mots de passe configurée
✓ Migration depuis Chrome / LastPass effectuée
✓ Coffres et permissions structurés
✓ Partage sécurisé activé (jamais email/WhatsApp)
✓ TOTP stockés dans le coffre
✓ Audit Watchtower régulier
✓ Process onboarding / offboarding documenté
✓ Surveillance dark web active
✓ SSO + SCIM activés (si > 20 collab)
✓ Emergency Access configuré et testé
✓ Audit trimestriel calé
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires