Aller au contenu principal
← Blog/Cybersécurité

Gestionnaire de mots de passe en PME : pourquoi le fichier Excel ne suffit plus

23 juin 2026·8 min de lecture

Vos mots de passe sont sur des post-it, dans les navigateurs, dans des mails internes ou dans la tête d'un seul collaborateur. Tant que tout le monde est là, ça tient. Le jour d'un départ ou d'un contrôle, ça casse. Voici comment reprendre le contrôle, proprement et conformément au RGPD.

Faites l'exercice mentalement. Combien de mots de passe utilise votre entreprise au quotidien ? La messagerie, le logiciel comptable, le CRM, la banque, le site fournisseur, le portail des impôts, les partages de fichiers, la console d'hébergement, l'antivirus, le routeur. Vingt, cinquante, parfois plus de cent. Et où sont-ils, concrètement ?

Le vrai problème : des mots de passe partout, et donc nulle part

Dans la vraie vie d'une PME, ils sont éparpillés à des endroits qui n'étaient jamais censés les recevoir.

  • Sur des post-it collés à l'écran ou glissés sous le clavier.
  • Enregistrés dans les navigateurs de chaque collaborateur, souvent liés à un compte personnel Google ou Microsoft.
  • Envoyés par mail interne en clair, parfois plusieurs années auparavant, jamais purgés.
  • Stockés dans un fichier Excel « sécurisé » posé sur un partage réseau.
  • Connus d'un seul salarié, par exemple le fondateur ou le responsable IT historique.

Tant que tout le monde est là et que rien ne bouge, ça tient. Le système fonctionne, l'activité tourne, le sujet ne remonte pas. Le jour d'un départ, d'un arrêt maladie long, d'un changement d'outil ou d'un contrôle, tout s'effondre d'un coup.

« On a un fichier Excel protégé par mot de passe » : pourquoi ça ne tient pas

C'est la réponse la plus fréquente quand on pose la question. « On a un fichier Excel avec tous les mots de passe, et il est protégé par un mot de passe. » Sur le principe, ça paraît raisonnable. En pratique, ce n'est pas une mesure de sécurité, c'est une illusion.

  • Le chiffrement d'un fichier Excel se contourne en quelques minutes avec des outils gratuits disponibles en ligne. Dès que le fichier sort de l'entreprise (clé USB, pièce jointe, sauvegarde mal protégée), il est ouvrable.
  • Aucune traçabilité des accès : impossible de savoir qui a consulté ou modifié quoi, ni quand.
  • Aucune révocation possible : un salarié qui a eu le fichier en main en garde une copie potentielle à vie.
  • Aucun partage granulaire : c'est tout ou rien, alors qu'un comptable n'a pas besoin des accès du dirigeant.
  • Le mot de passe du fichier finit lui-même partagé par mail, écrit sur un post-it, ou tellement complexe que personne ne le retient.

Au-delà du risque opérationnel, il y a un sujet juridique. L'article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données personnelles. Un tableur protégé par mot de passe ne constitue pas une mesure appropriée pour gérer des identifiants donnant accès à des données personnelles (paie, RH, clients, fournisseurs). En cas d'incident, de fuite ou de plainte, c'est au dirigeant de prouver sa diligence, pas à la CNIL de prouver son défaut.

Ce qu'apporte un gestionnaire de mots de passe administré

Un gestionnaire de mots de passe administré, comme Bitwarden en version Teams ou Enterprise, n'est pas un Excel en plus joli. C'est une infrastructure conçue pour ce besoin précis, avec quatre apports concrets qui changent la donne.

  • Chiffrement zero-knowledge : vos mots de passe sont chiffrés sur le poste du collaborateur, avec une clé dérivée de son mot de passe maître, avant tout envoi vers le serveur. L'éditeur lui-même ne peut pas les lire. Bitwarden est certifié SOC 2 Type II et ISO/IEC 27001:2022 (depuis mars 2025), et conforme RGPD.
  • Coffres partagés par équipe : les accès « comptabilité », « RH », « direction », « informatique » appartiennent à l'entreprise, pas à un salarié en particulier. Chaque membre voit ce qui le concerne, rien de plus.
  • MFA imposable par politique d'entreprise : sur les offres Teams et Enterprise, vous pouvez exiger l'activation de la double authentification pour tous les utilisateurs, sans que ce soit laissé à l'appréciation de chacun.
  • Journal des accès exportable : vous savez qui a consulté quoi, à quelle heure, depuis quel appareil. C'est ce que demande le RGPD au titre de la traçabilité, et c'est ce qu'un assureur cyber regardera en cas d'incident.

Le moment qui fait mal : le départ d'un collaborateur

C'est le test grandeur nature de votre gestion des accès. Le scénario est banal : un collaborateur quitte l'entreprise, en bons ou en mauvais termes, peu importe. Que se passe-t-il vraiment, le lendemain de son dernier jour ?

Sans gestionnaire administré

Personne ne sait précisément quels accès il connaissait. On essaie de se souvenir : la boîte mail, oui ; le CRM, oui ; mais le portail fournisseur, le compte de l'expert-comptable, l'accès au routeur, la licence du logiciel métier ? On change les mots de passe un par un, à mesure qu'on s'en souvient. On en oublie. Trois mois plus tard, on découvre qu'un compte fournisseur n'a jamais été révoqué. Si la séparation s'est mal passée, le risque est opérationnel autant que juridique.

Avec un coffre administré

L'administrateur désactive le compte de l'ancien salarié en un clic. Les coffres partagés auxquels il avait accès restent en place, ils n'étaient pas « à lui ». Son remplaçant est ajouté aux mêmes coffres et démarre immédiatement, sans avoir à redécouvrir les accès. Les mots de passe les plus sensibles (administration, banque, hébergement) peuvent être renouvelés et redistribués sans interrompre l'activité. L'incident devient un non-événement.

Free vs Teams / Enterprise : la nuance qui compte pour une entreprise

C'est la confusion la plus fréquente. « On utilise déjà Bitwarden, chacun a installé la version gratuite. » Ce n'est pas la même chose qu'une gestion d'entreprise. Le tableau ci-dessous résume ce qui change.

CritèreBitwarden FreeBitwarden Teams / Enterprise
Type de comptePersonnel, lié à l'utilisateurLicences nominatives, propriété de l'entreprise
Coffres partagésNonOui, par équipe ou par projet
Console d'administrationNonOui, gestion centralisée des utilisateurs et des droits
Politiques imposables (MFA, complexité)NonOui, sur les offres Teams et Enterprise
Révocation au départ d'un salariéImpossible côté employeurDésactivation en un clic, coffres conservés
Journal des accèsLimitéOui, exportable
Usage adaptéParticulier ou indépendant soloToute structure avec partage d'accès en équipe

Pour partager des accès en équipe et reprendre le contrôle côté entreprise, seules les offres Teams ou Enterprise sont exploitables. Les comptes Free, même nombreux, ne forment pas une gestion d'entreprise : ils restent juridiquement des comptes personnels, que l'employeur ne peut ni administrer ni récupérer.

Comment Fiduinfo vous accompagne

Mettre en place un gestionnaire de mots de passe n'est pas une affaire de logiciel à installer. C'est un projet court, mais qui touche à des habitudes ancrées. Notre accompagnement couvre l'ensemble du chemin, pour que la solution soit réellement adoptée et non subie.

  • Audit et cadrage : inventaire des accès critiques, identification des coffres à créer, des collaborateurs concernés et des règles de partage adaptées à votre organisation.
  • Licences et déploiement : souscription des licences Teams ou Enterprise, configuration de la console, import des comptes existants depuis les navigateurs ou les fichiers en place.
  • Formation des équipes : prise en main du coffre, génération de mots de passe robustes, activation du MFA, réflexes en cas de mot de passe oublié ou compromis.
  • Supervision continue : gestion des arrivées et des départs, ajustement des coffres, contrôle régulier des politiques et revue des accès orphelins.

Vous voulez faire le point sur la gestion de vos mots de passe et de vos accès critiques, sans engagement ? Nous proposons un audit de sécurité gratuit pour cartographier vos risques et identifier les actions à mener en priorité. Écrivez-nous à contact@fiduinfo.fr ou appelez le 01 78 16 52 02.

Nous contacter