Mots de passe partagés dans une équipe : pourquoi c'est risqué et comment s'en sortir

Le problème n'est pas la confiance, c'est la traçabilité

Partager un mot de passe avec un collègue n'implique pas de mauvaise intention. C'est souvent la solution la plus rapide quand quelqu'un est absent, quand un accès doit être délégué en urgence, ou quand un outil ne gère pas plusieurs comptes utilisateurs. Le problème n'est pas la confiance envers vos équipes — c'est l'impossibilité de savoir qui a fait quoi, et l'incapacité à révoquer un accès proprement quand quelqu'un quitte l'entreprise.

Scénarios concrets qui créent des problèmes

Le départ d'un employé : il connaît le mot de passe de la boîte email générique, du logiciel de compta, de l'accès fournisseur. Vous changez le mot de passe — mais vous avez oublié le compte Netflix professionnel, l'accès au registre de domaine, et les identifiants du panel d'hébergement. Six mois plus tard, vous ne savez plus quels accès ont été partagés avec qui.

La fuite de données : un des postes qui connaît le mot de passe partagé est compromis. L'attaquant récupère le mot de passe — qui donne accès à plusieurs systèmes à la fois. Sans logs individuels, vous ne savez pas quelles données ont été consultées ni depuis quand.

L'audit RGPD : vous devez démontrer que seules les personnes autorisées ont accès à certaines données. Avec des comptes partagés, c'est impossible à prouver — et potentiellement problématique vis-à-vis du RGPD.

La solution : comptes individuels + gestionnaire de mots de passe

L'idéal, c'est que chaque employé ait ses propres identifiants sur chaque outil. Quand ça n'est pas possible (certains outils ne gèrent pas le multi-utilisateurs), un gestionnaire de mots de passe d'entreprise permet de partager des identifiants de façon contrôlée :

• L'employé voit l'identifiant et peut l'utiliser, mais ne peut pas le copier ou le voir en clair si la politique le prévoit
• Quand il quitte l'entreprise, on lui retire l'accès au coffre — sans changer le mot de passe sur chaque outil individuellement
• Tous les accès partagés sont inventoriés — vous savez exactement qui a accès à quoi
• Les logs montrent qui a utilisé quel identifiant et quand

Bitwarden pour les équipes : le choix pragmatique pour les PME

Bitwarden Business (environ 4 $/utilisateur/mois) permet de créer des coffres partagés par équipe, avec des droits granulaires. L'employé accède via l'extension navigateur ou l'app mobile — il ne voit jamais le mot de passe en clair si vous configurez les droits en "accès uniquement". À son départ, vous supprimez son compte : tous les accès partagés restent en place, il n'a plus rien.

C'est moins cher qu'une heure de consultant pour refaire tous les mots de passe après un départ compliqué.

Ce qu'il faut faire dès maintenant

• Listez tous les accès partagés dans votre entreprise (email générique, outils en commun, accès fournisseurs)
• Pour chacun : qui y a accès ? C'est toujours d'actualité ? Est-ce que des ex-employés pourraient encore s'y connecter ?
• Choisissez un gestionnaire d'équipe et migrez les identifiants critiques en premier
• Définissez une règle simple : tout nouveau compte partagé passe par le gestionnaire, plus par email ou messagerie

Ce n'est pas un projet IT complexe. C'est une demi-journée de mise en place pour éliminer un risque qui traîne dans beaucoup de PME depuis des années.