RiffLab Media

Passwork, le gestionnaire de mots de passe 'made in Europe' qui mérite qu'on lui pose des questions difficiles

Date Published

# Passwork, le gestionnaire de mots de passe 'made in Europe' qui mérite qu'on lui pose des questions difficiles

En 2026, choisir un outil « européen » ne suffit plus. Il faut aussi vérifier ce que ce label recouvre vraiment. Le cas d'une ETI industrielle qui a failli confondre vitrine et garantie.


Le contexte : un choix qui semblait évident

Une ETI industrielle de 800 salariés, implantée en France, avec des sites en Allemagne et en Pologne. Un DSI sous pression depuis les nouvelles obligations de conformité liées à NIS2 — la directive européenne sur la cybersécurité des entités essentielles et importantes, entrée pleinement en vigueur en 2024-2025.

NIS2, pour ceux qui découvrent le sujet : c'est le texte européen qui oblige des milliers d'entreprises à renforcer leur gestion des accès, leurs politiques de mots de passe, et leur capacité à démontrer qui accède à quoi dans leur système d'information (SI). Le SI, c'est l'ensemble des outils numériques d'une organisation : logiciels, serveurs, données, accès.

Le DSI de cette ETI cherchait donc à remplacer un outil de gestion de mots de passe partagés vieillissant. L'équipe IT — une dizaine de personnes pour 800 utilisateurs — gérait des centaines d'accès critiques : ERP, automates industriels, accès distants, comptes administrateurs. Un ERP (Enterprise Resource Planning) est le logiciel central qui gère la production, la comptabilité, les achats. Y perdre l'accès, c'est potentiellement arrêter l'usine.

Passwork est apparu dans la shortlist très rapidement. L'argument commercial était séduisant : solution auto-hébergeable, interface claire, tarification raisonnable, et — point décisif sur le papier — une origine européenne revendiquée.


Ce que « européen » voulait dire ici — et ce que ça ne voulait pas dire

Première découverte lors de l'audit préalable : Passwork est une solution dont les origines et la structure juridique méritent d'être creusées sérieusement. L'entreprise se présente comme opérant en Europe, mais l'équipe IT a eu du mal à obtenir des réponses claires sur plusieurs points fondamentaux.

Où sont les développeurs ? La question n'est pas anecdotique. Si une équipe de développement est localisée hors de l'Union européenne, elle peut être soumise à des législations extraterritoriales. Le Cloud Act américain est le plus connu — il permet aux autorités américaines de réclamer des données hébergées par des entreprises américaines, même si ces données sont en Europe. Mais d'autres pays ont des législations similaires. En 2026, cette vigilance s'étend bien au-delà des seuls GAFAM.

Qui détient le capital ? Une entité enregistrée en Europe peut très bien être détenue par un fonds ou une maison mère hors UE. Dans ce cas, les engagements contractuels européens peuvent ne valoir que ce que vaut la bonne volonté de l'actionnaire final.

Où est le code source auditable ? Un gestionnaire de mots de passe stocke les secrets les plus sensibles d'une organisation. Les administrateurs IT y déposent des clés d'accès qui, si elles fuitaient, permettraient de compromettre l'ensemble du SI en quelques heures. Pouvoir auditer le code — c'est-à-dire vérifier ce que le logiciel fait réellement — n'est pas un luxe. C'est une exigence de base.

L'ETI a demandé un accès à un audit de code indépendant et récent. La réponse a été floue. Pas de refus catégorique, mais pas de document non plus.


Les signaux d'alerte concrets, au quotidien

L'équipe IT a travaillé plusieurs semaines avec une version de test. Ce retour terrain a fait émerger des questions pratiques qui avaient échappé à l'évaluation initiale.

La gestion des droits est puissante, mais opaque dans ses logs. Un gestionnaire de mots de passe d'entreprise doit permettre de répondre à une question simple : qui a accédé à quel secret, quand, depuis quelle machine ? C'est ce qu'on appelle la traçabilité des accès — une exigence directe de NIS2. Sur ce point, les journaux d'audit (logs) de Passwork se sont révélés moins détaillés qu'attendu dans certains scénarios d'usage. Pas inexistants, mais insuffisants pour répondre aux exigences de l'auditeur NIS2 pressenti.

Le modèle de chiffrement mérite une vérification externe. Le chiffrement, c'est le mécanisme qui rend les données illisibles pour quiconque ne possède pas la bonne clé. Passwork annonce un chiffrement de bout en bout — ce qui signifie, en théorie, que même l'éditeur ne peut pas lire vos mots de passe. Mais « annoncé » et « vérifié par un tiers indépendant » sont deux choses différentes. Sans audit cryptographique public et récent, cette promesse reste une promesse.

La dépendance aux mises à jour crée une surface d'exposition. En mode auto-hébergé — c'est-à-dire installé sur les serveurs de l'entreprise plutôt que chez l'éditeur —, l'ETI était responsable des mises à jour. Or, une vulnérabilité dans un gestionnaire de mots de passe non patché est une cible de premier choix pour un attaquant. L'équipe IT s'est retrouvée à gérer une charge de veille supplémentaire, sans outillage automatisé fourni par l'éditeur.


Ce que ça change concrètement pour une équipe IT de taille moyenne

Pour un DSI ou un RSSI (Responsable de la Sécurité des Systèmes d'Information) d'ETI, le problème n'est pas théorique. C'est une question de charge réelle sur une équipe déjà tendue.

Choisir un gestionnaire de mots de passe, c'est choisir un outil que toute l'équipe IT utilisera plusieurs dizaines de fois par jour. Si l'outil génère de la friction — interfaces peu intuitives pour les droits granulaires, logs incomplets à exporter pour l'audit, intégration laborieuse avec l'Active Directory (l'annuaire centralisé qui gère les identités des employés) — c'est du temps perdu chaque semaine, multiplié par chaque technicien.

Mais surtout : si l'outil n'est pas auditable, l'équipe IT ne peut pas garantir à sa direction ou à son assureur cyber ce qui se passe réellement dans cet outil. En cas d'incident, c'est une responsabilité qui remonte directement.

L'ETI a finalement suspendu son déploiement Passwork. Pas parce que la solution est nécessairement mauvaise sur le plan fonctionnel. Mais parce qu'elle n'a pas pu obtenir les garanties documentées qu'une conformité NIS2 sérieuse exige.


La leçon transférable : le label « européen » n'est pas une garantie, c'est un point de départ

Ce cas illustre un piège fréquent en 2026 : la confusion entre origine géographique et souveraineté réelle. Un éditeur peut avoir une adresse en Europe, une interface en français, et une équipe commerciale à Paris — tout en présentant des risques structurels comparables à ceux d'un acteur américain si sa chaîne de décision, son code ou ses données échappent à tout contrôle européen vérifiable.

Pour les équipes IT qui évaluent un gestionnaire de mots de passe — ou tout outil critique hébergeant des secrets d'accès — voici les trois questions non négociables à poser avant tout déploiement :

1. Existe-t-il un audit de sécurité indépendant, public, et daté de moins de 18 mois ? Sans cela, les promesses de chiffrement restent invérifiables.

2. La structure juridique de l'éditeur est-elle entièrement soumise au droit européen ? Capital, maison mère, équipes de développement : chaque maillon compte.

3. Les logs d'audit sont-ils exportables dans un format standard, suffisamment détaillés pour répondre à une demande de votre auditeur NIS2 ? Si la réponse est floue lors de la démo, elle le sera encore plus lors de l'incident.

La souveraineté numérique européenne ne se décrète pas. Elle se documente, se contractualise, et se vérifie. En 2026, les équipes IT qui ont compris ça ont une longueur d'avance — et évitent de transformer un choix fait de bonne foi en faille de conformité.


*Cet article est basé sur un retour terrain anonymisé. Les éléments factuels relatifs aux caractéristiques techniques de Passwork reflètent les informations disponibles publiquement et les retours d'usage collectés. Toute organisation est encouragée à mener sa propre évaluation.*

Cet article vous a été utile ?

Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.

Pas de spam. Désinscription en un clic. Données hébergées en Europe.