Se connecter

  • Jul 25, 2025

Garantir la sécurité de vos secrets dans votre gestionnaire de mots de passe avec Keeper Security

Une approche pour sécuriser un gestionnaire de mots de passe en entreprise, Keeper Security Enterprise Plus. Retour d'expérience de migration réussie vers une solution enterprise-grade.

Le piratage de LastPass en août 2022, considéré comme l'un des pires incidents de sécurité pour un gestionnaire de mots de passe, nous rappelle qu'aucune solution n'est infaillible. C'est pourquoi il est crucial d'implémenter correctement le modèle Zero Trust et Zero Knowledge pour conserver une sécurité maximale de son coffre fort numérique.

Pour ma part, j'ai commencé en 2009 à m'intéresser au stockage des mots de passe en dehors du navigateur car il y avait régulièrement des failles de sécurité importante permettant de les compromettre. J'ai démarré avec Keepass, puis Bitdefender Wallet pour finalement utiliser Lastpass en 2012. J'ai repris ma croisade en quête de sécurité renforcée en 2019 et migré en douceur vers Bitwarden. Le 15 mars 2022, j'ai basculé définitivement sur Keeper Security.

Mon article se base sur la version Keeper Security Enterprise Plus, dans le contexte d'une entreprise.

La sécurité avant la simplicité

Un gestionnaire de mots de passe d'entreprise doit respecter des critères de sécurité stricts. Un bon gestionnaire de mots de passe ne se contente pas d’être pratique : il doit être cryptographiquement solide, transparent, et résilient même en cas de fuite de données. Voici les points essentiels qui m'ont guidé vers Keeper Security :

  • Zero Knowledge

    • Le fournisseur ne peut pas accéder à nos données, même s’il est piraté.

    • Le chiffrement est fait localement, sur l'appareil.

  • Zero Trust

    • Aucune confiance implicite dans les utilisateurs, appareils ou réseaux

    • Contrôle d’accès granulaire (droits par utilisateur, par coffre, etc.)

    • Journalisation et alertes en temps réel sur les accès

    • Intégration avec des systèmes de sécurité (SIEM, SSO, etc.)

    • Isolation des environnements (ex : sandboxing, séparation des rôles)

  • Chiffrement fort

    • Utilisation d’AES-256 pour les données.

    • Dérivation de clé via PBKDF2, Argon2 ou scrypt (pour ralentir les attaques par force brute).

  • Pas de stockage du mot de passe maître

    • Il ne doit jamais quitter l'appareil.

    • Il ne doit pas être stocké, même chiffré, sur les serveurs de l'éditeur.

  • Authentification multi-facteurs (MFA)

    • Pour renforcer l’accès aux coffre-fort (biométrie, FIDO2, etc.)

  • Audit de sécurité

    • Le code (ou au l’architecture) a été audité par des experts externes.

    • Tableau de bord d'audit de sécurité disponible

    • Bonus : gestionnaire open source (comme KeePass ou Bitwarden).

  • Protection contre les attaques hors ligne

    • Même si un coffre est volé, il doit être extrêmement difficile à déchiffrer sans le mot de passe maître (autodestruction).

    • Sauvegardes chiffrées

  • Compléments nécessaires

    • Surveillance des fuites (dark web monitoring)

    • Partage sécurisé de mots de passe (et liens externes sécurisés)

    • Mode hors-ligne

    • Multi-Système

Ces multiples exigences, bien qu'importantes à évaluer, constituent d'après moi des prérequis de fiabilité essentiels. Il est recommandé de rechercher tous les éléments attestant du respect des normes et de la transparence de l'éditeur : https://docs.keeper.io/en/enterprise-guide/why-choose-keeper-enterprise

Maîtriser les risques, pas seulement les mots de passe

Si votre gestionnaire vous guide pour les premières étapes de configuration, alors améliorer votre posture de conformité et de sécurité devient encore plus simple. Par exemple, le tableau de bord de gestion des risques de Keeper offre une vue simplifiée dans la console d’administration de Keeper, offrant aux administrateurs une visibilité rapide et facile sur les pratiques de configuration et la posture de conformité de Keeper de leur organisation.

Tout ceci est très important avant de stocker le moindre mot de passe. Assurez-vous que vos mesures de sécurité permettent par exemple de limiter les risques d'accès non autorisés, de vol de données ou de perte d'intégrité des données. Le tableau de bord de gestion des risques s’appuie sur un ensemble de benchmarks de sécurité Keeper pour aider les organisations à rester conformes et en sécurité. Un espace dédié à la formation et au training est fortement apprécié pour s'assurer que vous maitrisez l'outil, ses possibilités et limites, comme ici en entreprise https://www.keepersecurity.com/fr_FR/msp-academy.html

Exemple d'une maîtrise des risques et d'une sécurité renforcée dans Keeper Security

Paramètres de connexion

  • Complexité du mot de passe principal :
    Définissez le critère minimal pour les mots de passe principaux : 16

  • Expiration du mot de passe principal :
    Aucune expiration (si SSO)

  • Autoriser les utilisateurs qui se connectent par SSO à créer un mot de passe principal ou à se connecter avec celui-ci :
    Aucun mot de passe principal supplémentaire en SSO

  • Biométrie des appareils :
    IOS Touch ID / Face ID, Mac Touch ID, Passkey

Authentification à deux facteurs

  • Nécessite l'utilisation de l'authentification à deux facteurs :
    Oui

  • Nécessite l'utilisateur MFA obligatoire : applis web, mobile et desktop :
    Oui à chaque connexion

  • Méthodes 2FA disponibles :
    Clés de sécurité (+demande un code PIN), Appli d'authentification (TOTP)

Restriction de plateforme

  • Plateforme Keeper autorisé :
    Coffre-fort Internet, extensions, Mobile

Options du coffre-fort

  • Désactiver l'embarquement intégré :
    Oui

  • Masquer les champs personnalisés :

    Oui

  • Masquer les notes :
    Oui

  • Mettre BreachWatch en pause sur les appareils clients :
    Non

  • Envoyer les événements BreachWatch aux systèmes de rapports et au SIEM externe :
    Oui

  • Saisie automatique des mots de passe :
    Non

  • Affichage et copie d'un mot de passe ou champ masqué :
    Non

  • Modification, partage et suppression d'entrée ou de dossier :
    Non

  • Nombre de jours avant de pouvoir effacer définitivement les entrées :
    7

  • Nombre de jours avant la purge automatique des entrées supprimées :
    14

Création et partage

  • Peut créer des entrées :
    Oui et peut dupliquer des entrées uniquement

  • Peut créer des dossiers :
    Oui

  • Peut créer des dossiers partagés :
    Non

  • Peut créer des éléments dans l'onglet identité et paiements :
    Oui

  • Peut charger des fichiers :
    Oui

  • Peut créer des codes à deux facteurs :
    Oui

  • Peut uniquement recevoir des éléments partagés :
    Oui

Importation et exportation

  • Importation : Non autorisé

  • Exportation : Non autorisé

KeeperFill

  • Importation :
    Non autorisé

  • Exportation :
    Non autorisé

Paramètres du compte

  • Restreindre l'accès hors-ligne :
    Non

  • Empêchez les utilisateurs de changer d'adresse e-mail :
    Oui

  • Activer Auto-destruction :
    Oui

  • Empêcher les invitations pour la licence Keeper Family :
    Non

  • Désactiver le maintien de connexion : Oui

  • Définir la durée maximale et la durée par défaut de la déconnexion en cas d'inactivité

    • Coffre-fort Internet, extension de navigateur et console d'administration : 1 jour

    • iOS et Android : 30 minutes

    • Application de bureau et Commander : 1 jour

  • Désactiver la récupération de compte avec phrase de récupération :
    Oui

  • Désactiver les invitations par e-mail :
    Oui

  • Renvoyer automatiquement les invitations par e-mail :
    Tous les 7 jours

Liste verte d'adresses IP

  • Restreindre l'accès au coffre-fort à une adresse IP :
    Oui

Transférer le compte

  • Activer le transfert de compte :
    Non

Recommandations conformité

  • Créez au moins deux administrateurs Keeper :
    Activée

  • Imposer la 2FA sur le rôle d'administrateur Keeper :
    Activée

  • Vérifiez qu'un administrateur existe bien en dehors du SSO :
    Activée

  • Réduire les privilèges d'administrateur :
    Activée

  • Verrouillez votre fournisseur d'authentification unique :
    Activée

  • Désactivez la récupération des comptes lorsque c'est nécessaire :
    Activée

  • Imposer un mot de passe principal robuste :

    Activée

  • Imposez l'authentification à deux facteurs pour les utilisateurs finaux :
    Activée

  • Activez la politique de transfert de compte lorsque c'est nécessaire :
    Activée

  • Créer des alertes de sécurité :
    Activée

  • Empêchez l'installation d'extensions non fiables :

    Activée

  • Déployer dans l'ensemble de votre entreprise :
    Activée

  • Désactivez les gestionnaires de mots de passe intégrés au navigateur :

    Activée

Conclusion

La sécurité des mots de passe en entreprise nécessite une approche globale :

1. Choisir une solution pleinement compatible Zero Knowledge et Zero Trust

2. Configurer selon les bonnes pratiques de sécurité en vigueur

3. Surveiller avec des alertes SIEM automatisées

4. Former les équipes aux bonnes pratiques

Une approche méthodique garantit une posture de sécurité robuste, même en cas de compromission partielle du système.