Si vous payez encore 60 USD par utilisateur et par an pour 1Password Business, ou si vous tournez encore avec un fichier Excel partagé pour stocker les accès SSH, AWS, GitHub et Wave Business de votre équipe, ce guide est pour vous. Vaultwarden est un serveur compatible Bitwarden réécrit en Rust qui tourne sur un VPS à 4,51 € par mois et donne à votre équipe le même niveau de sécurité que celui des géants du SaaS. En 2026, c’est le choix par défaut des PME tech à Dakar, Abidjan, Casablanca, Tunis et Le Caire qui veulent une souveraineté complète sur leurs identifiants.
Sommaire
- Pourquoi Vaultwarden plutôt que Bitwarden Cloud ou 1Password
- Les concepts fondamentaux
- Vue d’ensemble pratique
- Tutoriels du cluster Vaultwarden
- Adaptation au contexte ouest-africain
- Erreurs fréquentes à éviter
- FAQ
- Pour aller plus loin
Pourquoi Vaultwarden est le choix par défaut en 2026
Le marché du gestionnaire de mots de passe en 2026 est dominé par 1Password (à partir de 7,99 USD/utilisateur/mois sur le plan Business), Dashlane (à partir de 8 USD/utilisateur/mois) et Bitwarden Cloud (3,33 USD/utilisateur/mois sur le plan Teams). Pour une équipe de 12 personnes à Dakar, cela représente entre 480 et 1150 USD par an, soit l’équivalent d’un mois entier de salaire d’un développeur junior.
Vaultwarden est une réécriture Rust open source du serveur Bitwarden, parfaitement compatible avec tous les clients officiels Bitwarden (extensions Chrome, Firefox, Edge, Safari, applications iOS, Android, macOS, Windows, Linux, CLI). Vous obtenez exactement la même expérience utilisateur que Bitwarden, avec deux différences majeures : vous payez le prix d’un VPS basique à la place du SaaS (4 à 9 € par mois pour 50 utilisateurs), et vos coffres-forts ne quittent jamais votre infrastructure. Pour un cabinet d’avocats à Casablanca, une fintech à Abidjan ou une agence de communication à Tunis, c’est la différence entre dépendre d’un acteur américain soumis au CLOUD Act et garder ses secrets sur un serveur Hetzner à Falkenstein, soumis au RGPD européen.
Trois autres raisons expliquent l’adoption massive de Vaultwarden chez les PME francophones d’Afrique de l’Ouest :
- Conformité naturelle avec la loi 09-08 marocaine sur la protection des données, le règlement n°005 de l’UEMOA, la loi sénégalaise 2008-12, l’ARTCI ivoirien et la NESA émiratie. Vous savez exactement où sont stockés les coffres-forts.
- Indépendance vis-à-vis du dollar : Vaultwarden tourne sur un VPS européen (Hetzner, OVH, Scaleway) facturé en euros. Pas de variation de coût liée au taux EUR/USD ou XOF/USD. Sur cinq ans, l’écart par rapport à 1Password Business est d’environ 5 000 USD pour une équipe de 10 personnes.
- Aucune limitation fonctionnelle : organisations illimitées, partage de coffres illimité, attachements illimités, historique de versions illimité, support TOTP intégré. Toutes les fonctionnalités Premium et Family de Bitwarden Cloud sont activées par défaut sur Vaultwarden auto-hébergé.
Les concepts fondamentaux à maîtriser
Architecture client-serveur chiffrée de bout en bout
Vaultwarden, comme Bitwarden, applique un principe simple : le serveur ne voit jamais vos mots de passe en clair. Quand un utilisateur déverrouille son coffre, sa clé maître (master password) est dérivée localement via Argon2id (depuis Bitwarden 2024.6, par défaut, avec 600 000 itérations PBKDF2 en fallback). Cette clé déchiffre la clé symétrique du coffre, qui à son tour déchiffre chaque entrée. Le serveur ne stocke que des blobs chiffrés AES-256 GCM. Si Vaultwarden est compromis, l’attaquant récupère uniquement des coffres-forts illisibles.
Organisations, collections, et partage
Une organisation Vaultwarden regroupe plusieurs utilisateurs et leurs coffres partagés. Chaque organisation contient des collections (équivalent des dossiers partagés) auxquelles on assigne des permissions par utilisateur ou par groupe : lecture seule, lecture/écriture, gestion. Pour une agence de 25 personnes, on crée typiquement les collections « Production », « Staging », « Outils SaaS », « Réseaux sociaux clients », « Comptes administratifs ». Chaque membre voit uniquement ce qui le concerne.
Comptes utilisateur, invitations, et politique de mot de passe
Les utilisateurs s’inscrivent par invitation email (vous pouvez désactiver les inscriptions ouvertes via la variable SIGNUPS_ALLOWED=false). L’administrateur peut imposer une politique de complexité minimale : longueur 14 caractères, mélange majuscules/minuscules/chiffres/symboles, refus des 100 mots de passe les plus faibles. La politique se définit au niveau organisation et s’applique automatiquement à tous les membres.
Authentification multi-facteurs
Vaultwarden supporte trois méthodes 2FA : TOTP (compatible Aegis, Authy, Google Authenticator), email OTP, et clés FIDO2/WebAuthn (YubiKey, Solokey, Titan, Passkeys). Depuis la version 1.32 (octobre 2024), les Passkeys sont pleinement opérationnelles. Pour une équipe de production, on impose YubiKey ou Passkey sur les comptes administrateurs et TOTP minimum sur les autres.
Émetteur d’envoi (Bitwarden Send)
Send permet de partager un mot de passe ou un fichier (jusqu’à 100 Mo sur Vaultwarden) avec un destinataire externe via un lien à durée limitée. Idéal pour transmettre des accès à un freelance basé à Cotonou ou un consultant à Bamako sans exposer vos identifiants permanents.
Vue d’ensemble pratique : comment se déploie un Vaultwarden de production
Le déploiement standard suit cinq grandes étapes. Pour chacune, un tutoriel pas-à-pas dédié existe dans ce cluster (voir section suivante).
1. Préparation du VPS
Le VPS minimal recommandé : 1 vCPU, 1 GB RAM, 20 GB SSD. Un Hetzner CX22 (4,51 €/mois, 4 vCPU, 8 GB RAM, 80 GB NVMe) accueille confortablement Vaultwarden + un reverse proxy + une base SQLite ou PostgreSQL pour 50 utilisateurs et 30 000 entrées. À OVH, le VPS-1 (3,99 €/mois) suffit. Sur Scaleway DEV1-S (3,60 €/mois), vous tenez 30 utilisateurs.
Système de fichiers : ext4 ou ZFS. Évitez btrfs avec Vaultwarden qui fragmente la base SQLite. Activez les mises à jour automatiques de sécurité (unattended-upgrades sur Debian/Ubuntu) et un firewall UFW ne laissant passer que les ports 22, 80, 443.
2. Choix du backend de base de données
Vaultwarden supporte SQLite (par défaut), MySQL/MariaDB, et PostgreSQL. SQLite est parfait jusqu’à 100 utilisateurs actifs. Au-delà, ou si vous avez déjà un Postgres en production sur la même infrastructure (typiquement géré par Coolify), bascule sur Postgres pour mutualiser les sauvegardes et la supervision.
3. Reverse proxy avec HTTPS automatique
Caddy 2 est le choix par défaut en 2026 : configuration en deux lignes, certificat Let’s Encrypt automatique, renouvellement transparent. Nginx + certbot fonctionne aussi. Traefik est pertinent si vous orchestrez plusieurs services. Le tutoriel Déployer Vaultwarden sur Coolify avec HTTPS couvre la version Coolify, qui automatise tout cela en deux clics.
4. Politique d’organisation et import
Une fois le serveur en ligne, créez votre organisation, importez vos coffres existants depuis 1Password ou LastPass (export CSV ou JSON), distribuez les invitations aux membres, et définissez la politique de mots de passe. Le tutoriel Migrer de LastPass et 1Password vers Vaultwarden détaille les commandes exactes.
5. SSO et fédération
Pour une équipe de plus de 20 personnes, ajoutez du SSO via Authelia ou Authentik. Cela centralise l’authentification : un seul compte donne accès à Vaultwarden, Forgejo, Grafana, Nextcloud, etc. Le tutoriel Vaultwarden + Authelia : SSO unifié pour PME explique le branchement OIDC.
6. Sauvegardes automatiques
La règle d’or : pas de gestionnaire de mots de passe sans sauvegarde testée. On exporte chiffré vers MinIO ou Backblaze B2 toutes les 6 heures, on conserve 30 jours, on teste la restauration mensuellement. Voir Backups automatiques vers MinIO et S3.
Tutoriels du cluster Vaultwarden
Pour chaque sujet ci-dessous, un tutoriel complet est disponible :
- Déployer Vaultwarden sur Coolify avec HTTPS — installation pas-à-pas en 20 minutes sur un VPS Hetzner avec certificat Let’s Encrypt automatique.
- Migrer de LastPass et 1Password vers Vaultwarden — export, import, migration de l’équipe, communication interne.
- Vaultwarden + Authelia : SSO unifié pour PME — un seul login pour tous vos services internes.
- Backups automatiques Vaultwarden vers MinIO et S3 — sauvegardes chiffrées, retention, test de restauration.
Adaptation au contexte ouest-africain et MENA
Vaultwarden brille particulièrement dans le contexte africain pour quatre raisons concrètes.
Coût en monnaie locale. Un Hetzner CX22 à 4,51 € par mois représente environ 2 950 FCFA (UEMOA), 50 dirhams marocains, 14 dinars tunisiens, 13 EGP livre égyptienne. Une équipe de 15 personnes paie donc moins de 200 FCFA par utilisateur et par mois, contre 4 500 FCFA pour 1Password Business. Sur trois ans, l’économie atteint 2,3 millions FCFA pour cette même équipe.
Bande passante limitée et clients hors-ligne. Les clients Bitwarden synchronisent localement et fonctionnent hors ligne. Une fois le coffre déchiffré, l’utilisateur peut consulter ses mots de passe pendant les coupures internet (très fréquentes au Sénégal en saison des pluies, en Côte d’Ivoire pendant les délestages, ou en zone rurale au Niger). La synchronisation reprend dès que la connexion revient.
Paiement en monnaie locale. Hetzner accepte Visa et Mastercard émises par n’importe quelle banque. Vous payez avec une carte CIH au Maroc, BICIS au Sénégal, NSIA en Côte d’Ivoire, ou via une carte prépayée Wave/Wizall/Yup. Aucune limite de montant, contrairement à beaucoup de SaaS américains qui refusent les cartes africaines.
Conformité avec les régulateurs locaux. En Côte d’Ivoire, l’ARTCI exige que les données personnelles des utilisateurs ivoiriens soient soit stockées sur le territoire, soit dans un pays offrant un niveau de protection adéquat. L’Allemagne et la France figurent sur la liste blanche, ce qui rend Hetzner et OVH directement conformes. Au Sénégal, la Commission de Protection des Données Personnelles (CDP) suit le même principe. Vaultwarden vous donne la traçabilité nécessaire en cas d’audit : logs d’accès, qui a modifié quoi, quand.
Erreurs fréquentes à éviter
| Erreur | Cause | Solution |
|---|---|---|
| Master password oublié, coffre perdu | Pas de procédure de récupération mise en place | Activer Account Recovery au niveau organisation, désigner deux administrateurs comme « break-glass » |
| Sauvegarde inexistante | SQLite jamais sauvegardé | Cron quotidien sqlite3 db.sqlite3 ".backup /backup/db-$(date +%F).sqlite3" + push vers MinIO |
| Inscriptions ouvertes en production | Variable SIGNUPS_ALLOWED par défaut à true |
Forcer SIGNUPS_ALLOWED=false et inviter manuellement |
| Admin panel exposé publiquement | Variable ADMIN_TOKEN mal configurée |
Hash Argon2 fort + DOMAIN obligatoire + IP whitelist via Caddy |
| 2FA non imposé sur les administrateurs | Politique d’organisation absente | Activer la policy two_factor_authentication côté organisation |
| Logs Vaultwarden absents | Variable LOG_FILE non définie |
Définir LOG_FILE=/data/vaultwarden.log et ingérer dans Loki |
| Faille XSS via attachements | Header Content-Disposition manquant |
Caddy : ajouter header /attachments/* Content-Disposition attachment |
| Mise à jour cassante | Pas de stratégie de versions | Toujours sauvegarder avant docker pull, suivre le changelog GitHub |
FAQ
Vaultwarden est-il aussi sécurisé que Bitwarden Cloud ?
Le code Vaultwarden est open source, audité publiquement par la communauté. Le chiffrement client-serveur est strictement identique à Bitwarden Cloud (AES-256 GCM, Argon2id). La différence est que vous portez la responsabilité de la sécurité du serveur — TLS, mise à jour, sauvegarde, durcissement. Si vous suivez ce guide, votre niveau de sécurité égale celui de Bitwarden Cloud.
Combien d’utilisateurs un VPS Hetzner CX22 peut-il supporter ?
Avec SQLite et un usage typique (déverrouillage 5 fois par jour, synchronisation toutes les 30 minutes), un CX22 tient confortablement 50 à 80 utilisateurs. Au-delà, basculez sur PostgreSQL et passez à un CX42 (8,40 €/mois) qui supporte alors 300 utilisateurs sans souci.
Puis-je connecter Vaultwarden à mon Microsoft 365 ou à mon Google Workspace pour le SSO ?
Vaultwarden ne supporte pas SAML directement (uniquement la version Bitwarden Enterprise). En revanche, en plaçant Authentik ou Authelia devant Vaultwarden, vous gagnez le SSO via SAML, OIDC, LDAP. Microsoft 365 et Google Workspace deviennent alors des fournisseurs d’identité indirects.
Comment gérer les départs d’employés ?
Au niveau organisation : retirer l’utilisateur, faire tourner les mots de passe partagés avec lui (l’utilisateur en garde une copie locale jusqu’à expiration de son cache), désactiver son compte. La fonctionnalité Account Recovery permet de récupérer son coffre personnel s’il appartenait à l’organisation et qu’il l’a quittée brutalement.
Quel est le coût total annuel pour une équipe de 15 personnes à Dakar ?
VPS Hetzner CX22 : 54 €/an. Backblaze B2 pour les sauvegardes : 6 €/an. Domaine .sn ou .com : 12 €/an. Total : environ 72 €/an, soit 47 000 FCFA. Pour la même équipe sur 1Password Business, comptez 1 440 USD/an (940 000 FCFA).
Vaultwarden est-il maintenu activement ?
Oui. Le projet est sur GitHub sous l’organisation dani-garcia/vaultwarden, avec plus de 35 000 étoiles, une release moyenne par mois, et plus de 50 contributeurs actifs en 2026. Le mainteneur principal Daniel García maintient le projet depuis 2018.
Que se passe-t-il si Vaultwarden est temporairement hors ligne ?
Les clients Bitwarden continuent de fonctionner avec leur cache local. La déconnexion serveur empêche uniquement la synchronisation entre appareils et l’ajout de nouvelles entrées vers le serveur. Un utilisateur peut consulter et utiliser ses mots de passe pendant 30 jours hors ligne (durée du cache par défaut).
Pour aller plus loin
- Démarrer dès maintenant : Déployer Vaultwarden sur Coolify en 20 minutes
- Sécuriser son VPS avant déploiement : Guide Coolify auto-hébergé 2026
- Ajouter une couche SSO : Authelia + Vaultwarden pour PME
- Ne jamais perdre vos coffres : Backups automatiques vers MinIO
- Documentation officielle : github.com/dani-garcia/vaultwarden/wiki
Mots-clés : Vaultwarden self-hosted, Bitwarden alternative, gestionnaire mots de passe Afrique, sécurité PME Sénégal Côte d’Ivoire, password manager open source, Hetzner Vaultwarden, Coolify Vaultwarden 2026.
Histoire et écosystème open source
Vaultwarden a été lancé en mars 2018 sous le nom bitwarden_rs par le développeur espagnol Daniel García, alors employé d’une PME madrilène, qui voulait offrir à son équipe une alternative auto-hébergée au serveur officiel Bitwarden, jugé trop lourd pour un Raspberry Pi. La réécriture en Rust a donné un binaire de moins de 30 Mo, capable de tourner sur 256 Mo de RAM, là où le serveur officiel Bitwarden exige .NET Core, MSSQL et plus de 1 Go de mémoire. En 2022, Bitwarden Inc. a contacté l’auteur pour demander un changement de nom, le projet est ainsi devenu Vaultwarden, et la collaboration entre les deux équipes est restée cordiale : Bitwarden ne s’oppose pas à Vaultwarden tant que celui-ci ne se présente pas comme un produit officiel.
L’écosystème compte aujourd’hui plusieurs projets connexes utiles à connaître :
- vaultwarden-backup : script communautaire de sauvegarde qui chiffre la base SQLite avec GPG avant push S3.
- vw-admin-cli : interface en ligne de commande pour gérer organisations, utilisateurs et invitations sans passer par le panneau web.
- bitwarden-cli (officiel Bitwarden) : compatible Vaultwarden, automatisation de l’injection de secrets dans les pipelines CI/CD GitHub Actions, GitLab, Forgejo Actions.
- Bitwarden Directory Connector : synchronise Vaultwarden avec un annuaire Active Directory ou OpenLDAP, utile pour les ESN à Dakar ou Casablanca avec plus de 30 employés.
Vaultwarden face aux alternatives 2026 : tableau de comparaison
Voici un comparatif honnête face aux solutions concurrentes que vos équipes envisagent typiquement.
| Solution | Coût mensuel (15 utilisateurs) | Auto-hébergement | Open source | SSO inclus |
|---|---|---|---|---|
| Vaultwarden + Hetzner CX22 | 4,51 € | Oui | Oui (AGPL-3.0) | Via Authelia/Authentik |
| Bitwarden Cloud Teams | 50 USD | Non | Oui (côté client) | Plan Enterprise (60 USD) |
| 1Password Business | 120 USD | Non | Non | Inclus |
| Dashlane Business | 120 USD | Non | Non | Inclus |
| KeePassXC + Syncthing | 0 € | Oui | Oui (GPL-3.0) | N/A (clients lourds) |
| Passbolt Pro | 49 € | Oui | Oui (AGPL) | Inclus |
KeePassXC reste pertinent pour un freelance solo qui synchronise un fichier .kdbx via Syncthing ou Nextcloud, mais l’expérience d’équipe est faible : pas de partage granulaire, pas de console admin, pas de récupération de compte. Passbolt est sérieux mais facture cher dès qu’on dépasse l’usage gratuit (10 utilisateurs maximum sur la version Community). Vaultwarden offre le meilleur rapport fonctionnalités/coût pour 90 % des PME africaines de 5 à 100 employés.
Cas d’usage par secteur
Fintech et néobanques
Une fintech à Abidjan ou Lagos manipule en permanence des clés API Wave, Orange Money, Flutterwave, Paystack, Stripe, AWS, MongoDB Atlas, sans oublier les accès aux interfaces de l’ARTCI ou de la BCEAO. Vaultwarden permet de stocker chacun de ces secrets dans une collection dédiée (« API Production », « Sandbox », « Compliance »), de tracer qui a accédé à quoi, et de faire tourner les secrets compromis en quelques minutes via la fonction d’export sélectif.
E-commerce et marketplaces
Une marketplace à Dakar gère typiquement les comptes administrateurs WooCommerce, les accès Shopify pour la boutique miroir, les comptes Facebook Ads et Google Ads, plus une dizaine de comptes prestataires. Vaultwarden centralise tout cela et facilite les transferts lors d’un changement de community manager ou d’agence média.
ESN et agences digitales
Une ESN à Casablanca ou un studio web à Tunis gère les accès clients : un client = une organisation Vaultwarden dédiée. Le développeur freelance qui rejoint le projet est invité, accède au strict nécessaire, et perd son accès à la fin de la mission. Aucun fichier Excel ne circule, aucun mot de passe n’est envoyé sur WhatsApp.
Cabinets juridiques et comptables
Au Maroc, un cabinet d’avocats gère les accès aux portails du tribunal de commerce, à la DGI pour les déclarations TVA, aux plateformes notariales. Le secret professionnel impose une confidentialité absolue. Vaultwarden auto-hébergé sur OVH Roubaix garantit que ces accès n’atterrissent jamais dans un cloud américain.
ONG et associations
Les ONG basées au Sahel (Niger, Burkina Faso, Mali) ont souvent des budgets serrés et des équipes distribuées entre Niamey, Bamako et Ouagadougou. Vaultwarden à 4,51 € par mois pour 30 collaborateurs équivaut à un demi-café par personne et par mois, tout en assurant une sécurité opérationnelle qui résiste à la perte d’un téléphone ou au vol d’un ordinateur sur le terrain.
Roadmap 2026 et signaux à surveiller
Trois évolutions importantes sont attendues dans l’écosystème en 2026 :
- Support natif des Passkeys côté serveur. Depuis 1.32, Vaultwarden gère les Passkeys comme méthode 2FA. La feuille de route prévoit le stockage des Passkeys eux-mêmes (en remplacement des mots de passe traditionnels) une fois que Bitwarden aura stabilisé son API côté client.
- Bitwarden SDK Rust. Bitwarden migre progressivement son backend vers du Rust (via le Bitwarden SDK). Cela signifie que les fonctionnalités Vaultwarden et Bitwarden Cloud convergent, et que le rythme de mise à jour de Vaultwarden devrait s’accélérer.
- Intégration MCP pour vos agents IA. Un MCP server communautaire (modelcontextprotocol/servers/bitwarden) permet déjà à Claude Code ou Claude Desktop de lire un secret depuis Vaultwarden au moment du build, sans le hardcoder. C’est l’avenir de la gestion des secrets dans les pipelines CI/CD.
Checklist de mise en production
Avant d’exposer votre Vaultwarden au public, vérifiez chacun de ces points :
- HTTPS valide via Caddy ou Nginx + Let’s Encrypt, redirection HTTP → HTTPS active.
- Variable
SIGNUPS_ALLOWED=falseen production. - Variable
ADMIN_TOKENdéfinie avec un hash Argon2 fort (générer avecvaultwarden hash). - Variable
DOMAINpointant sur votre URL HTTPS exacte. - Backups automatisés (cron + push S3/MinIO) toutes les 6 heures avec rétention 30 jours.
- Test de restauration sur un VPS staging, validé une fois par mois.
- 2FA imposé sur les comptes administrateurs et au moins recommandé pour tous.
- UFW actif, ports 80 et 443 ouverts uniquement, port 22 limité aux IPs admin.
- Mises à jour Docker via
docker compose pull && docker compose up -dvalidées sur staging avant production. - Logs Vaultwarden ingérés dans Loki ou un autre agrégateur, alerte si plus de 10 échecs d’authentification consécutifs.
- Procédure de récupération « break-glass » documentée : qui détient quoi, où sont les sauvegardes hors-ligne.