Le post-it collé sur l'écran avec le mot de passe du compte bancaire, c'est encore une réalité dans beaucoup de PME. Le fichier Excel « mots_de_passe_FINAL_v3.xlsx » partagé sur le serveur aussi. Et le classique « NomDeLentreprise2024! » utilisé partout, de la boîte courriel au portail fournisseur, on n'en parle même pas.
Le problème, c'est que ça fonctionne. Jusqu'au jour où ça ne fonctionne plus. Un employé quitte et personne ne change les accès partagés. Un fournisseur se fait pirater et votre mot de passe réutilisé ouvre la porte à vos systèmes. Une brèche de données expose vos identifiants et vous l'apprenez six mois plus tard.
La bonne nouvelle : il existe des outils simples, abordables et faits pour les équipes qui règlent ce problème une fois pour toutes.
C'est quoi, un gestionnaire de mots de passe?
Un gestionnaire de mots de passe, c'est un coffre-fort numérique. On y stocke tous ses identifiants (et bien plus : notes sécurisées, cartes de crédit, clés API) dans un espace chiffré, protégé par un seul mot de passe maître.
Concrètement, au quotidien, ça veut dire : plus besoin de mémoriser 47 mots de passe différents. Le gestionnaire les génère, les stocke et les remplit automatiquement dans le navigateur ou sur le téléphone. Chaque compte a un mot de passe unique de 20 caractères aléatoires, sans qu'on ait à s'en souvenir. Et quand on travaille en équipe, on peut partager des accès de façon sécurisée, sans les envoyer par courriel ou par Teams.
Les fonctions qu'on retrouve dans tous les bons gestionnaires :
Coffre-fort chiffré : vos données sont protégées par un chiffrement AES-256, le même standard utilisé par les institutions financières. Personne, même le fournisseur du service, ne peut lire vos mots de passe.
Remplissage automatique : extensions pour navigateur et applications mobiles qui remplissent vos identifiants en un clic.
Générateur de mots de passe : création de mots de passe longs, aléatoires et uniques pour chaque compte.
Partage sécurisé : des collections et des groupes permettent de partager les bons accès aux bonnes personnes dans l'équipe.
Authentification à deux facteurs (TOTP) : le gestionnaire peut aussi servir d'application d'authentification multifacteur, en générant les codes temporaires pour vos comptes.
Accès d'urgence : si un collègue est indisponible, un mécanisme sécurisé permet à une personne désignée d'accéder à son coffre après un délai configurable.
Bitwarden : la référence ouverte
Bitwarden, c'est le gestionnaire de mots de passe open source le plus populaire au monde. Le code est ouvert, audité par des firmes indépendantes (dont Cure53), et le service cloud est hébergé sur des infrastructures certifiées SOC 2 et SOC 3.
Pour une PME, le plan Teams à environ 5,50 $ CA par utilisateur par mois (4 $ US, facturé annuellement) inclut tout ce qu'il faut : coffre-fort pour chaque membre, collections partagées, groupes d'accès, journaux d'événements et connecteur d'annuaire. Il n'y a pas de limite sur le nombre d'utilisateurs.
Le plan Enterprise à environ 8,25 $ CA par utilisateur par mois ajoute l'authentification unique (SSO), les politiques d'entreprise et l'auto-hébergement du serveur officiel. C'est pertinent pour les organisations plus grandes ou celles qui ont déjà un fournisseur d'identité comme Azure AD ou Okta.
Ce qui distingue Bitwarden : la transparence. Le code source est public, les audits de sécurité sont publiés, et le modèle d'affaires repose sur l'abonnement, pas sur la revente de vos données.
Vaultwarden : Bitwarden, mais chez vous
Vaultwarden, c'est une réimplémentation légère du serveur Bitwarden, écrite en Rust par la communauté open source. Le projet est compatible avec tous les clients officiels Bitwarden : applications de bureau, extensions de navigateur, applications mobiles. Du point de vue de l'utilisateur, c'est identique.
La différence est sous le capot. Là où le serveur officiel Bitwarden nécessite une dizaine de conteneurs Docker et beaucoup de mémoire vive, Vaultwarden tourne dans un seul conteneur et utilise moins de 50 Mo de RAM. On peut le faire rouler sur un petit serveur ou même un Raspberry Pi.
L'autre avantage majeur : Vaultwarden inclut les fonctionnalités premium de Bitwarden sans frais d'abonnement. TOTP intégré, pièces jointes chiffrées, rapports de coffre-fort, accès d'urgence : tout est là, pour toute l'équipe, à coût zéro côté licence.
Le coût réel, c'est l'hébergement et la maintenance. Il faut un serveur, des sauvegardes, des mises à jour régulières et quelqu'un qui s'en occupe. Pour une PME qui a déjà une infrastructure ou un partenaire TI, c'est très réaliste. Pour une équipe sans ressource technique, le cloud Bitwarden sera plus simple.
Le déploiement est étonnamment rapide. Avec Docker, on parle de quelques minutes pour avoir un serveur fonctionnel :
docker run -d --name vaultwarden -v /vw-data/:/data/ -p 80:80 vaultwarden/server:latest
Évidemment, en production, on ajoute un certificat SSL, un proxy inverse et des sauvegardes automatiques. Mais le point de départ est simple.
Blue Fox héberge votre Vaultwarden au Québec. Vos mots de passe restent sur un serveur sous votre contrôle, avec sauvegardes automatiques et mises à jour incluses.
La comparaison : quel outil pour quelle PME?
| Critère | Vaultwarden | Bitwarden Cloud | 1Password | LastPass |
|---|---|---|---|---|
| Code source | Ouvert (GPL-3.0) | Ouvert (AGPL-3.0) | Fermé | Fermé |
| Hébergement | Auto-hébergé | Cloud (USA/EU) | Cloud (USA/EU) | Cloud (USA) |
| Prix / utilisateur / mois | 0 $ (licence) + hébergement | ~5,50 $ CA (Teams) | ~11 $ CA (Business) | ~5,50 $ CA (Teams) / ~9,60 $ CA (Business) |
| Fonctions premium | Toutes incluses | Incluses dans Teams | Incluses | Incluses |
| Partage d'équipe | Collections + groupes | Collections + groupes | Coffres partagés | Dossiers partagés |
| TOTP intégré | Oui | Oui | Oui | Oui (Business) |
| SSO / SAML | Non | Enterprise seulement | Oui (Business) | Oui (Business) |
| Audit de sécurité indépendant | Non (communautaire) | Oui (Cure53) | Oui | Oui |
| Historique de brèches | Aucun | Aucun | Aucun | Brèche majeure 2022 |
| Souveraineté des données | Totale | Partielle (choix région) | Non | Non |
Note sur les prix : les prix sont convertis en dollars canadiens au taux approximatif de 1,37 $ CA pour 1 $ US (mars 2026). Les prix officiels sont affichés en dollars américains. Vérifiez les sites des fournisseurs pour les tarifs exacts.
Un mot sur LastPass
On ne peut pas parler de gestionnaires de mots de passe sans aborder LastPass. Pendant longtemps, c'était le choix par défaut. Mais la brèche de sécurité de 2022 a changé la donne de façon importante.
En résumé : des attaquants ont compromis l'ordinateur personnel d'un ingénieur, récupéré des copies de coffres-forts chiffrés de millions d'utilisateurs, ainsi que des métadonnées non chiffrées (adresses courriel, noms, adresses de sites web stockés). Depuis, des vols de cryptomonnaie totalisant plus de 150 millions de dollars américains ont été liés à cette brèche. En novembre 2025, le régulateur britannique a imposé une amende de 1,6 million de dollars américains à LastPass pour manque de mesures de sécurité adéquates.
LastPass a depuis renforcé sa sécurité, mais la confiance est difficile à rebâtir. Si vous êtes encore sur LastPass, c'est un bon moment pour évaluer vos options.
Migrer depuis les mots de passe du navigateur
La bonne nouvelle pour les équipes qui partent de zéro (ou presque) : la migration est plus simple qu'on pense. Chrome, Firefox, Edge et Safari permettent tous d'exporter les mots de passe enregistrés en fichier CSV. Bitwarden et Vaultwarden offrent un importateur qui prend ce fichier et le verse directement dans le coffre-fort.
La migration typique prend une heure ou deux pour l'équipe TI, et quelques minutes par employé pour installer l'extension de navigateur et se connecter. Le plus long, honnêtement, c'est de faire le ménage : supprimer les doublons, identifier les mots de passe faibles et les remplacer progressivement.
Les fonctions d'équipe qui changent la donne
Pour une PME, c'est le partage sécurisé qui fait toute la différence. Plus besoin d'envoyer un mot de passe par courriel ou par messagerie instantanée.
Collections : on regroupe les identifiants par thème (« Comptes bancaires », « Hébergement web », « Réseaux sociaux ») et on assigne l'accès aux bonnes personnes. Le nouveau comptable reçoit automatiquement les accès dont il a besoin, sans qu'on ait à lui envoyer un fichier texte.
Groupes : on crée des groupes (« Direction », « Marketing », « TI ») et on assigne des collections à ces groupes. Quand quelqu'un change de rôle, on ajuste le groupe, pas chaque accès individuellement.
Accès d'urgence : si le directeur général est indisponible et qu'on a besoin d'un accès critique, une personne désignée peut demander l'accès. Après un délai configurable (24h, 48h, une semaine), l'accès est accordé automatiquement. C'est un filet de sécurité qui évite bien des situations de panique.
Journaux d'événements : qui a accédé à quoi, quand. C'est important pour la conformité et pour détecter les comportements inhabituels.
Ce que ça fait moins bien
Aucun outil n'est parfait. Voici les limites à connaître :
La courbe d'apprentissage existe. Passer du post-it au gestionnaire de mots de passe demande un changement d'habitude. Les premières semaines, certains membres de l'équipe vont trouver ça plus lent. C'est normal. Le gain de temps et de sécurité vient après.
Le mot de passe maître est critique. Si quelqu'un oublie son mot de passe maître et n'a pas configuré de méthode de récupération, l'accès au coffre-fort est perdu. C'est le prix du chiffrement de bout en bout : même le fournisseur ne peut pas vous aider.
Vaultwarden demande de la maintenance. Un serveur auto-hébergé, c'est un serveur à maintenir : mises à jour, sauvegardes, surveillance. Si personne dans l'équipe n'a les compétences ou le temps, le cloud Bitwarden est un meilleur choix.
Le SSO n'est pas partout. L'intégration avec un fournisseur d'identité (Azure AD, Okta) est réservée au plan Enterprise de Bitwarden ou aux plans Business de 1Password et LastPass. Pour une PME de 5 à 20 personnes, ce n'est généralement pas nécessaire, mais c'est bon de le savoir si vous grandissez.
Vaultwarden n'est pas audité formellement. Le code est ouvert et relu par la communauté, mais il n'a pas fait l'objet d'audits de sécurité indépendants comme Bitwarden officiel. Pour la plupart des PME, le risque est acceptable. Pour un organisme qui gère des données très sensibles, le cloud Bitwarden ou le plan Enterprise auto-hébergé sont plus prudents.
Notre approche
Chez Blue Fox, on déploie Vaultwarden pour les PME et OBNL qui veulent garder le contrôle sur leurs données d'authentification. Le serveur est hébergé au Québec, les sauvegardes sont automatiques, les mises à jour sont incluses dans le service d'hébergement. Les données ne sortent pas du pays.
Pour les organisations qui préfèrent le cloud ou qui ont besoin de fonctionnalités Enterprise (SSO, politiques avancées), on accompagne le déploiement de Bitwarden Cloud. L'important, c'est que l'outil soit adopté par l'équipe, peu importe lequel.
Ce qu'on recommande comme point de départ : commencer par un petit groupe pilote (la direction ou l'équipe TI), migrer les mots de passe du navigateur, mettre en place les collections partagées, puis élargir à toute l'organisation. En deux semaines, c'est réglé.
Un gestionnaire de mots de passe, combiné à l'authentification multifacteur et à de bonnes pratiques de durcissement, c'est la base d'une posture de sécurité solide. Et c'est accessible à toutes les tailles d'organisation.
Notre recommandation pour une PME de 5 à 50 personnes :
- Vaultwarden auto-hébergé si vous avez un partenaire TI (ou Blue Fox) pour la maintenance
- Bitwarden Cloud Teams si vous voulez zéro gestion technique et/ou n'avez pas de partenaire TI
- Dans les deux cas : activez le MFA sur le compte Bitwarden lui-même
Votre équipe utilise encore le même mot de passe partout? On jase de votre situation.
Sources
Bitwarden : tarification officielle
Vaultwarden : dépôt GitHub officiel
1Password : tarification officielle
LastPass : tarification officielle
Krebs on Security : Federal investigation linking $150M theft to LastPass breach
Bitwarden : documentation sur les organisations et collections