LockPass - Le gestionnaire de mots de passe français certifié ANSSI pour entreprises

Vous saviez que la majorité des incidents de sécurité en 2024 commence par un simple vol d’identifiants ? Rien que ça !

Bon, dit comme ça, ça a l’air banal, mais dans un monde où les boîtes françaises doivent désormais se plier aux exigences des directives NIS2 et où le Cloud Act américain met nos données confidentielles en danger, continuer à gérer vos mots de passe avec des solutions gratuites (ou made in USA), c’est carrément jouer à la roulette russe avec votre cybersécurité.

C’est pour ça qu’aujourd’hui, je veux vous parler de LockPass, le gestionnaire de mots de passe de LockSelf, certifié CSPN par l’ANSSI. Une entreprise française qui détonne dans l’univers des solutions que vous connaissez, avec bien sûr une souveraineté numérique à toute épreuve et une sécurité qui ne laisse rien au hasard.

Soyons francs deux minutes… Entre nous, on sait bien que dans votre boîte, la gestion des mots de passe, c’est le Far West total ! Je parie qu’il y a un fichier Excel qui traîne quelque part avec le nom subtil “motsdepasse_ne_pas_ouvrir.xlsx” dans le service compta, sans oublier le fameux post-it collé sur l’écran de Gérard avec les accès admin de la prod, et la panique générale quand Sylvie du marketing pose un jour de congé et que personne ne peut publier sur les réseaux… Avouez-le, vous êtes assis sur une bombe à retardement !

Et quand ça pète, ça fait un sacré boucan ! Demandez donc à Colonial Pipeline qui a dû cracher 4,4 millions de dollars de rançon après qu’un simple mot de passe de VPN qui traînait quelque part a été compromis. Le truc, avec cette histoire de sécurisation des mots de passe, c’est qu’on est pris entre le marteau et l’enclume. D’un côté, les utilisateurs qui veulent de la simplicité (et qui contournent systématiquement tout ce qui est trop contraignant), et de l’autre, des exigences de sécurité qui imposent complexité et contrôle.

Et au milieu, c’est vous qui tentez désespérément de maintenir ce château de cartes debout.

Alors oui, utiliser KeePass ou le gestionnaire intégré de Chrome, c’est mieux que rien, mais ces solutions ont des failles béantes en environnement pro.

D’abord, la vulnérabilité locale : si l’appareil est compromis, tous vos mots de passe tombent comme des dominos. Ensuite, zéro traçabilité : impossible de savoir qui a utilisé quoi et quand. Un vrai cauchemar pour les audits de sécurité. Sans parler du partage qui finit invariablement par des envois de credentials par mail ou Slack (facepalm garanti).

Et quand un salarié quitte la boîte, combien de mots de passe partagés embarque-t-il dans ses bagages ? Parce que sans système de révocation, c’est la porte grande ouverte aux accès “zombies”. Oubliez aussi la conformité avec NIS2 ou DORA sans logs solides, et pour les solutions américaines comme LastPass, même payantes, le Cloud Act peut les forcer à livrer vos données au gouvernement US — un risque de souveraineté pas franchement négligeable.

Pendant ce temps-là, les hackers, eux, ne rigolent pas avec des outils de bruteforce 100 fois plus puissants qu’il y a 10 ans, des techniques de phishing ultra-ciblées, et des attaques automatisées qui transformeraient vos défenses actuelles en gruyère suisse.

C’est là qu’entre en scène LockPass, une solution 100% made in France qui a été conçue de A à Z pour répondre aux besoins spécifiques des entreprises.

Son ADN technique fait toute la différence : certifiée CSPN par l’ANSSI (le label qui montre que les gars n’ont pas fait les choses à moitié), elle utilise un chiffrement asymétrique avec paires de clés RSA perso et AES 256 CBC côté client et serveur. Et comme LockSelf n’a pas connaissance du code PIN de l’utilisateur et que sans ce dernier, il est impossible de déchiffrer sa clef privé et donc ses mots de passe, c’est encore plus safe.

L’hébergement, lui, est 100% souverain chez Outscale (une filiale de Dassault Systèmes) ou Scaleway, voire sur vos propres serveurs en on-premises. Traduction : 0% Cloud Act, 100% français ! Ça veut dire que personne ne peut légalement mettre son nez dans vos affaires, sauf vous.

Côté authentification, LockPass ne fait pas les choses à moitié avec une double couche de protection par défaut : un mot de passe + un code PIN pour vous connecter au coffre-fort, ou alors le SSO + un code PIN si vous préférez vous intégrer à votre infrastructure existante.

Et pour les plus parano d’entre vous (on se comprend), vous pouvez ajouter une troisième couche avec un MFA. Ajoutez-y le verrouillage automatique après une période d’inactivité que vous définissez, et vous obtenez une forteresse numérique que même Fort Knox pourrait envier !

LockPass a surtout pigé un truc essentiel : toutes les boîtes ne fonctionnent pas pareil. Leur système à plusieurs étages est franchement bien pensé. Ça donne : l’admin principal qui a les pleins pouvoirs tout en pouvant déléguer (le boss final), les modérateurs avec des droits étendus mais limités (pour déléguer sans flipper), les gestionnaires de catégories cantonnés à certains espaces partagés (parfait pour responsabiliser le chef de projet), et les utilisateurs lambda pour l’usage quotidien. Ah, et ils ont même prévu un statut “prestataire” avec expiration auto des accès (adieu les comptes fantômes).

En prime, vous pouvez créer des sous-organisations autonomes pour les entités qui ont besoin d’indépendance, tout en gardant une gouvernance centralisée. C’est l’idéal pour les groupes avec filiales ou les structures matricielles qui ont besoin de souplesse.

Une fonction que je trouve particulièrement géniale, c’est le mode “mot de passe caché”. Ça permet d’utiliser un mot de passe sans jamais le voir ni pouvoir le copier.

Concrètement, quand l’admin active ce mode pour une catégorie, les utilisateurs ne peuvent ni voir ni copier les mots de passe dans l’interface web. Le seul moyen de les utiliser passe par l’extension navigateur, qui reconnaît automatiquement les sites et remplit les champs d’identification sans jamais dévoiler le secret.

C’est l’idéal pour les prestataires externes qui doivent se connecter aux systèmes critiques, les stagiaires qui accèdent temporairement à des ressources sensibles, ou les comptes partagés ultra-stratégiques comme les accès admin système ou bancaires. Ça évite que des mots de passe ne se retrouvent dans la nature tout en permettant aux utilisateurs de bosser sans même connaître les credentials qu’ils utilisent.

LockPass propose aussi deux espaces distincts : un espace perso strictement privé que l’entreprise peut choisir d’activer ou pas et qui est inaccessible même aux admins (même via un export global). Parfait donc pour les mots de passe personnels de vos collaborateurs. Et un espace partagé organisé par catégories personnalisables (par service, client, projet…), avec gestion fine des droits d’accès. Cette séparation nette garantit la confidentialité tout en facilitant la collaboration.

Et comme tout bon gestionnaire qui se respecte, LockPass propose une extension pour Chrome, Firefox, Edge et tous les navigateurs à base de Chromium. Celle-ci a quelques atouts dans sa manche : auto-complétion intelligente des champs de connexion, détection des nouveaux identifiants avec proposition d’ajout, utilisation autonome sans devoir ouvrir l’appli web, générateur de mots de passe costauds intégré, et bien sûr prise en charge du mode “caché” dont je vous parlais. Parce que oui, l’adoption par les utilisateurs est cruciale, et cette extension fluidifie tout ça.

Côté conformité et sécurité, LockPass vous offre aussi une journalisation complète avec logs détaillés de toutes les actions (qui, quand, quoi, depuis quelle IP), une conservation possible jusqu’à 5 ans pour les audits, un export vers SIEM ou SOC pour intégration à votre écosystème de sécurité, une connexion native avec la plateforme SOC Sekoia.io, et des alertes configurables sur l’utilisation de mots de passe sensibles. En cas d’incident, ces logs peuvent faire la différence entre une résolution rapide et des semaines d’investigation à s’arracher les cheveux.

Et pour l’intégration SI et les API, LockPass propose une synchro AD/LDAP aux petits oignons, ainsi qu’un support SSO (SAML/OIDC). Pour les férus d’automatisation qui veulent gérer leurs coffres forts à la vitesse grand V, LockSelf met même à disposition une API REST bien ficelée.

D’ailleurs, LockPass fait partie d’une suite plus large qui vaut carrément le détour :

• LockTransfer (une alternative souveraine à WeTransfer, avec envoi sécurisé de fichiers (chiffrement) et boîtes de dépôt pour collecter des documents confidentiels), un plugin Outlook pour sécuriser automatiquement les pièces jointes sensibles,
• LockFiles (stockage sécurisé de documents avec une organisation similaire à LockPass)

Cette approche tout-en-un apporte une cohérence vraiment appréciable pour sécuriser vos données sensibles bien au-delà des simples mots de passe.

La migration est souvent le point qui coince, mais LockPass a tout prévu avec un import en quelques clics depuis LastPass, Bitwarden ou n’importe quel navigateur.

Et ce n’est pas rien de savoir que LockPass est utilisé par des pointures comme EY, Thalos, SNCF, AP-HP, France TV, BNP Paribas, Nantes Métropole ou Bouygues dont les retours sont ultra positifs. Le tout pour un tarif qui défie toute concurrence : à partir de 3,10 € HT par utilisateur et par mois, soit largement moins cher que les solutions américaines équivalentes (généralement 30-50% plus chères).

Je ne vais pas vous mentir, migrer vers une nouvelle solution de gestion de mots de passe demande un minimum d’effort… Mais en passant sur Lockpass, c’est probablement l’un des meilleurs rapports effort/sécurité que vous puissiez trouver sur le marché.

Vous l’aurez compris, LockPass c’est la rigueur d’une certification ANSSI couplée à une interface et un workflow vraiment bien pensés, le tout 100% made in France. Et à ce prix-là, sans parler de l’essai gratuit de 14 jours que vous pouvez découvrir en cliquant ci-dessous, vous n’avez littéralement rien à perdre… à part peut-être vos mauvaises habitudes de sécurité !