La façon dont travaillent les petites et moyennes entreprises a changé pour de bon — mais la façon dont elles sont attaquées aussi. Les équipes sont réparties, les outils SaaS gèrent tout, de la paie à la gestion de projet, et les sous-traitants et les fournisseurs entrent et sortent régulièrement des systèmes. Avec chaque nouvel outil ou employé pouvant y accéder, le nombre de points d’entrée potentiels augmente.
L’expansion de cette surface d’attaque est importante car les attaques basées sur des identifiants, y compris l’hameçonnage, la prise de contrôle de compte et le vol de mot de passe, sont devenues l’un des moyens les plus courants de pirater les entreprises. Elles fonctionnent précisément parce que le fait d’y accéder s’est étendu, ce qui le rend difficile à suivre. Tout ce qu’un attaquant a à faire maintenant est de trouver un ensemble valide d’identifiants pour contourner les défenses de votre entreprise.
Dans ce contexte, il devrait être encourageant de constater que plus de la moitié des petites entreprises utilisent désormais un gestionnaire de mots de passe professionnel. Mais le Rapport sur la cybersécurité des PME 2026 de Proton — une étude mondiale menée auprès de 3 000 décideurs de PME — a révélé qu’une sur quatre avait encore subi une faille de sécurité l’année dernière.
Tout cela pointe vers un écart entre la façon dont les outils sont adoptés et celle dont ils sont réellement utilisés.
Comment les PME utilisent les gestionnaires de mots de passe aujourd’hui
La plupart des gestionnaires de mots de passe sont conçus pour bien faire une chose : vous aider à vous souvenir de votre mot de passe. En pratique, cela signifie créer des mots de passe complexes et uniques et les gérer dans un coffre-fort chiffré. C’est nettement mieux que la norme consistant à réutiliser les mêmes identifiants sur plusieurs comptes et plateformes.
Mais les mots de passe étant le point d’entrée le plus facile pour un attaquant, les PME ont besoin que les gestionnaires de mots de passe fassent bien plus que simplement résoudre des problèmes de mémoire et de commodité. Elles ont besoin d’eux pour sécuriser le fait d’y accéder.
Le fait d’y accéder est une question beaucoup plus vaste. Les bonnes personnes ont-elles les bons identifiants — et sauriez-vous ce qu’elles déverrouillent ou s’ils tombaient entre de mauvaises mains ? Et à mesure que les équipes grandissent, que les abonnements s’accumulent et que les sous-traitants vont et viennent, les considérations de votre organisation doivent passer du simple renforcement des mots de passe à la prise en compte des menaces de sécurité du monde réel.
C’est le changement que la plupart des entreprises ne font pas tant que quelque chose ne va pas.
Où les implémentations de gestionnaires de mots de passe échouent
La conclusion clé de notre rapport était que les entreprises qui adoptent des gestionnaires de mots de passe ne les utilisent pas de manière cohérente.
Le fait de partager des identifiants de manière non sécurisée persiste encore à des taux étonnamment élevés :
- 33 % les partagent dans des documents partagés ou des feuilles de calcul
- 30 % partagent des identifiants par message
- 27 % les partagent via des applications de messagerie
- 25 % les notent sur papier
- 24 % les partagent verbalement
C’est l’image de personnes occupées qui empruntent l’itinéraire le plus rapide disponible à ce moment-là. Au lieu de basculer vers l’application de gestionnaire de mots de passe et de partager un nouvel identifiant dans son coffre-fort approprié, elles peuvent le coller dans Slack ou dans un message.
Les solutions de contournement semblent inoffensives de manière isolée. Mais avec le temps, les identifiants finissent dispersés dans les boîtes de réception, les historiques de chat et les documents partagés de manière difficile à démêler. Lorsqu’un employé part, vous ne pouvez pas révoquer le fait d’y accéder par la suite. Et mettre à jour les mots de passe au pied levé après une fuite de données devient impossible, à moins que tout ne soit stocké dans un emplacement sécurisé et centralisé.
La formation pour appliquer les politiques de sécurité peut aider, mais nos recherches ont révélé que même cela ne suffit pas tout à fait…
Pourquoi la formation à la sensibilisation à la sécurité ne suffit pas
Notre rapport a révélé que 39 % des PME ont connu un incident de sécurité causé par une erreur humaine. Cette statistique est facile à mal lire ; la réponse naturelle est de supposer que des employés plus prudents signifient moins d’incidents.
Mais ce cadrage manque quelque chose d’important : Les systèmes de sécurité qui dépendent d’un comportement parfait sous la pression quotidienne seront toujours déçus par la réalité. Les erreurs se produisent non pas parce que les gens s’en moquent, mais parce que l’option sécurisée exige souvent plus d’efforts et de temps que la PME typique ne peut se le permettre. Même des équipes bien intentionnées trouveront des solutions de contournement lorsqu’elles manquent de ressources.
La solution durable n’est pas plus de formation. C’est concevoir des systèmes où l’option sécurisée est aussi la plus simple.
Lorsque partager le fait d’y accéder en toute sécurité ne demande pas plus d’efforts que de glisser un mot de passe dans un message de chat, les gens l’utiliseront.
Quand le problème d’y accéder devient hors de contrôle
Le problème des identifiants s’aggrave à mesure que les équipes s’agrandissent.
Quatre-vingt-six pour cent des PME s’appuient désormais sur des services cloud pour leurs opérations quotidiennes. Cela signifie généralement que les identifiants se dispersent à travers les outils de gestion de projet, les plateformes financières, les logiciels de marketing, l’espace de stockage de fichiers et les systèmes clients, chacun avec ses propres autorisations et son historique pour y accéder.
Le fait d’y accéder ne se disperse pas seulement entre les systèmes ; il s’étend à travers l’organisation, circulant entre les équipes, les partenaires externes, les sous-traitants et les anciens employés qui peuvent encore conserver un moyen d’entrer.
Cela signifie qu’en réalité, les identifiants s’accumulent, la capacité d’y accéder anciennement perdure, et le nombre de personnes qui ont — ou ont eu — les clés de vos systèmes les plus sensibles augmente au-delà de ce qu’il est facile de suivre.
Avoir des outils n’est pas la même chose qu’être protégé
Les PME qui ont subi des fuites de données l’année dernière ne faisaient pas d’économies : 92 % investissaient activement dans des outils de sécurité. Elles avaient en place des gestionnaires de mots de passe, des boîtes mail chiffrées, des programmes de formation et des politiques écrites. En d’autres termes, leurs configurations semblaient solides sur le papier.
Ce qui manquait à beaucoup, c’était une application cohérente. L’authentification multifacteur (MFA) était activée mais non requise, les gestionnaires de mots de passe étaient déployés mais non intégrés dans les habitudes quotidiennes, et les processus d’intégration et de départ étaient traités de manière informelle plutôt que systématique. Nous soupçonnons, étant donné la popularité des gestionnaires de mots de passe pour navigateur, que beaucoup n’utilisaient même pas de plateforme d’équipe centralisée du tout — s’appuyant plutôt sur un ensemble d’options moins sûres sur une base individuelle.
Chacune de ces failles est un petit écart qui reste invisible jusqu’à ce qu’il ne le soit plus.
La véritable mesure d’une configuration de sécurité n’est pas quels outils figurent sur la liste, mais si ces outils résistent à la pression quotidienne de la façon dont les gens travaillent réellement.
Voici quelques pratiques pour aider à rapprocher cette réalité de votre entreprise :
- Utilisez un gestionnaire de mots de passe conçu pour les équipes. Les gestionnaires de mots de passe de navigateur sont non seulement moins sécurisés, mais ils ne disposent pas des outils d’admin dont les responsables ont besoin pour conserver un contrôle total sur vos comptes. À moins de disposer d’un gestionnaire de mots de passe d’entreprise facile à utiliser, cela ne suffira pas.
- Auditez qui peut actuellement accéder à quoi. Vérifiez les listes d’utilisateurs de vos outils les plus sensibles et regardez si des noms y figurant vous surprennent.
- Remplacez les identifiants partagés par des comptes individuels. S’il est facile de partager des identifiants dans un gestionnaire de mots de passe, ce n’est pas une bonne pratique : les identifiants partagés réduisent la visibilité au niveau du compte, ce qui rend plus difficile l’identification et la réaction en cas de fuite de données.
- Rendez l’authentification multifacteur obligatoire. Le MFA est l’une des protections les plus efficaces disponibles, mais uniquement lorsqu’il est appliqué par défaut, et non laissé comme un paramètre optionnel.
- Rendez la procédure de départ systématique. Chaque départ, qu’il s’agisse d’un employé, d’un sous-traitant ou d’un fournisseur, devrait déclencher une révision des droits d’accès immédiatement plutôt qu’après coup.
Vous voulez savoir ce que vous pourriez apprendre d’autre de notre enquête auprès de 3 000 chefs d’entreprise sur six marchés clés ? Lisez-en davantage dans notre rapport 2026 sur la cybersécurité des PME. Vous y apprendrez ce qui cause les fuites de données et ce qu’elles coûtent réellement, où l’erreur humaine se montre le plus souvent, comment l’adoption du cloud et de l’IA crée de nouveaux angles morts. Il comprend également des mesures pratiques pour renforcer la protection qui tiennent la route dans des conditions réelles.
