Bitwarden, pour "un monde où personne ne se fait pirater" - Interview Michael Crandell

Avec 10 millions d'utilisateurs et 50 000 clients professionnels dans 180 pays, Bitwarden ne joue pas dans la même catégorie que ses concurrents mieux financés. Il n'empêche que la jeune pousse construit sa légitimité auprès des utilisateurs et responsables IT qui recherchent une solution digne de confiance, abordable et évolutive.

Michael Crandell, PDG chez Bitwarden, revient sur la stratégie de croissance de son entreprise dans un secteur dominé par des géants qui ne lésinent pas sur les moyens. Avec une centaine d'employés contre 900 chez 1Password, Bitwarden se lance un défi : offrir une sécurité de haut niveau tout en restant nettement moins cher que ses concurrents.

En janvier 2025, Bitwarden a annoncé avoir dépassé les 10 millions d'utilisateurs et 50 000 clients professionnels dans 180 pays. Quel est votre taux de rétention utilisateurs, particulièrement pour les comptes gratuits qui représentent la majorité de votre base ?

Michael Crandell : Bitwarden enregistre une croissance saine auprès des utilisateurs individuels et professionnels. Beaucoup commencent avec Bitwarden, développent de bonnes habitudes de sécurité, puis lancent des déploiements sur leur lieu de travail car les fonctionnalités principales restent accessibles et fiables.

Les équipes informatiques et de sécurité recherchent une solution facile à déployer, avec des outils pour une intégration poussée et des résultats de sécurité qui peuvent être mesurés. Les évaluations indépendantes renforcent cette confiance. Les classements sur le G2 Enterprise Grid et Software Reviews mettent en avant la satisfaction, la rapidité d'implémentation et le rapport qualité-prix global, avec Bitwarden régulièrement classé en leader sur plusieurs catégories professionnelles.

La croissance de la création de passkeys a explosé (+550% chaque jour entre décembre 2023 et 2024). Cependant, 85% des utilisateurs à travers le monde ignorent encore leur existence. Comment comptez-vous démocratiser l'adoption des passkeys, alors que vous affrontez des géants comme Microsoft et Apple qui les intègrent ?

M.C : Bitwarden continue de mettre l'accent sur les passkeys dans le produit et les canaux de communication clients, afin que les utilisateurs sachent que Bitwarden est le meilleur endroit pour les stocker.

Pour cela, nous comptons sur nos différentes collaborations. Bitwarden travaille avec la FIDO Alliance, aux côtés de contributeurs comme Apple, Google et d'autres fournisseurs de gestion des identifiants. Nous soutenons les normes Credential Exchange qui améliorent la portabilité des passkeys et l'interopérabilité des services. Nous avons aussi collaboré avec Microsoft sur les premières implémentations de gestion native des passkeys dans Windows 11. Cela contribue à assurer des flux utilisateurs sécurisés dans tous les environnements.

Votre modèle freemium offre des versions gratuites illimitées tandis que les abonnements pro coûtent 4-6 $/utilisateur/mois. Vos concurrents (1Password à 7-8 $, Dashlane pareil) facturent plus cher. Comment maintenez-vous cet écart de prix tout en restant rentable ?

M.C : Bitwarden envisage un monde dans lequel personne ne se fait pirater, un objectif qui dépend de la participation active des individus, des organisations et de la communauté de sécurité. C'est cette vision qui détermine la manière dont le service doit évoluer auprès de l'ensemble de notre audience. La mission se concentre sur la capacité à rendre des personnes et des équipes autonomes à travers la sécurité et la confiance offerts par le modèle ainsi que des expériences cohérentes sur tous les appareils.

Une bonne partie de cet engagement consiste à abaisser les barrières pour l'adoption de bonnes pratiques de sécurité. Les fonctionnalités essentielles de gestion des mots de passe sont disponibles pour quiconque en a besoin, et la version gratuite s'articule autour de ce principe avec un ensemble d'outils pouvant aider n'importe qui à développer des pratiques de sécurité à long terme.

Bitwarden emploie environ 100 personnes, tandis que LastPass en compte 600 et 1Password 900. Vous semblez être plutôt efficaces ! Quels sont vos secrets ? Que déléguez-vous à la communauté de l'open source pour atteindre cette productivité ?

M.C : Bitwarden suit une philosophie d'ingénierie et de produit ciblée, construite autour de la clarté, de pratiques de sécurité bien définies et d'un mode de développement transparent. Nous disposons d'un cadre open source mature et stable qui soutient les audits externes et la qualité de code, tout en rationalisant le développement et en minimisant la complexité inutile.

Nous avons aussi une équipe mondiale en pleine croissance qui maintient des cycles de décision rapides et met l'accent sur l'impact d'ingénierie plutôt que sur les couches de processus. Il y a des méthodes de travail éprouvées pour effectuer des tests, développer les versions multi-appareils et assurer la fiabilité au global. Les examens de la communauté permettent de renforcer la discussion ainsi que la qualité. Les responsabilités de développement et de sécurité restent centralisées en interne.

Cette structure permet de concevoir une gestion d'identifiants sécurisée, stable et scalable sans étendre les frais généraux opérationnels au-delà de ce qui est nécessaire pour maintenir la fiabilité.

Vous opérez dans 180 pays mais la majorité de vos revenus provient certainement d'Amérique du Nord, d'Europe et d'APAC. Quelle est votre stratégie pour les marchés émergents (Afrique, Amérique latine, Asie du Sud-Est) où les entreprises ont des budgets IT limités mais des besoins de sécurité croissants ?

M.C : Le modèle Bitwarden est construit pour une portée mondiale. Entre la sécurité du modèle open source, la flexibilité sur la méthode de déploiement et la couverture multi-plateforme, il peut s'adapter aux régions avec des infrastructures, des environnements réglementaires et des contraintes budgétaires variés. Nous avons aussi la prise en charge de plus de 50 langues et sommes alignés avec les attentes régionales de protection des données pour pouvoir encore mieux nous adapter.

Notre approche consiste à proposer une solution de sécurité d'identité fiable sans pour autant qu'elle nécessite de grands budgets, ni des écosystèmes complexes. Les organisations peuvent choisir des déploiements cloud ou auto-hébergés en fonction des exigences locales et des réalités opérationnelles.

D'ailleurs, nos relations avec les partenaires d'intégration et les fournisseurs de technologie permettent d'étendre cette flexibilité et, par la même occasion, cela contribue à accélérer l'adoption de notre solution sécurisée sur les marchés divers. Les défis de sécurité dans les régions émergentes reflètent ceux des marchés plus établis. L'objectif est de livrer une protection fiable et évolutive qui s'adapte aux contextes locaux sans introduire de barrières.

En 2025, vous avez renforcé votre présence en EMEA, Asie, Australie et Amérique du Sud. Pourtant, chaque région a des régulations différentes (RGPD en Europe, LGPD au Brésil, lois de localisation de données en Chine). Comment structurez-vous vos opérations sur le plan technique et légal ?

M.C : Bitwarden aborde l'expansion mondiale avec un modèle technique et opérationnel conçu pour s'aligner sur les exigences strictes de confidentialité et de sécurité des données dès le départ. Le chiffrement zéro-connaissance et de bout en bout, la transparence open source digne de confiance et la minimisation des données garantissent que les informations sensibles du coffre-fort sont chiffrées et visibles uniquement pour les utilisateurs finaux.

Ces principes s'alignent clairement sur les cadres largement reconnus comme le RGPD, SOC 2, ISO 27001 et le Data Privacy Framework. Les fonctionnalités offrent également un soutien aux organisations qui cherchent à se préparer à la directive NIS2, en renforçant la protection des identifiants et en consolidant les bonnes pratiques d’authentification.

Notre approche repose sur des contrôles globaux plutôt que sur des reconstructions spécifiques à chaque région. Les audits indépendants, la documentation, les évaluations de confidentialité et les pratiques de gestion des données cohérentes forment une base de conformité. Les différences régionales sont abordées par un examen juridique ciblé et les ajustements nécessaires, mais cela se fait sans fragmenter l'architecture.

Vous avez lancé Bitwarden Authenticator en 2024 en tant qu'application autonome gratuite pour les codes TOTP. Comment positionnez-vous ce produit par rapport aux alternatives gratuites comme Google Authenticator ? Quel est votre modèle commercial à long terme pour monétiser cette application ?

M.C : Bitwarden Authenticator renforce l'authentification sécurisée en donnant aux individus et aux organisations une option digne de confiance pour générer des codes TOTP sur les appareils. Il simplifie l'authentification multi-facteurs (MFA) en s'alignant sur les mêmes principes qui protègent les mots de passe et les passkeys dans l'écosystème Bitwarden.

L'authentificateur évite la fragmentation et soutient la génération TOTP cohérente et chiffrée dans tous les environnements sans lier les utilisateurs à du matériel, des systèmes d'exploitation ou des fournisseurs spécifiques. L'accent est clair : augmenter l'adoption de la MFA et aider les utilisateurs à développer des habitudes de connexion sécurisée partout où l'authentification est requise.

Vous avez acquis Passwordless.dev en 2023. Trois ans plus tard, où en est-on ? Avez-vous observé une adoption réelle par les développeurs, ou Passwordless.dev reste-t-il un produit de niche utilisé principalement par les clients Bitwarden existants ?

M.C : Le but de Passwordless.dev est plus large et vise à aider la migration vers l'authentification sans mot de passe en donnant aux développeurs des outils directs et basés sur les normes pour les flux de passkeys et WebAuthn. Il améliore l'écosystème global en réduisant les frictions d'implémentation et en aidant les développeurs à introduire des modèles d'authentification forte dans leurs applications.

Ici nous mettons l'accent sur l'adoption et le renforcement des expériences sans mot de passe dans toute l'industrie.

Vous avez signé des partenariats avec Microsoft pour l'intégration des passkeys dans Windows 11 et avec la FIDO Alliance. Ces alliances avec les géants de la tech renforcent-elles votre crédibilité auprès des entreprises, ou au contraire, affectent-elles votre positionnement "alternative open source" ?

M.C : Les partenariats avec des organisations comme Microsoft et la FIDO Alliance renforcent un engagement envers l'authentification sécurisée et interopérable sur les systèmes d'exploitation et les appareils. Les équipes professionnelles attendent une intégration nette avec les environnements natifs, et la collaboration avec les fournisseurs de technologie établis nous aide à assurer un comportement cohérent et prévisible des passkeys et WebAuthn partout où les utilisateurs se connectent.

La base open source reste centrale, avec un examen indépendant, un développement transparent et des implémentations auditées. Ces collaborations font avancer les objectifs partagés : élargir l'adoption des passkeys, renforcer les standards d'authentification par défaut et améliorer la cohérence dans les écosystèmes.

Votre rapport Security Impact montre que 96% des clients disent que Bitwarden améliore leur posture de sécurité, et 81% ont réduit les mots de passe réutilisés. La perception du marché a-t-elle évolué ? Observez-vous une accélération des contrats en entreprise suite à la publication de ce rapport ?

M.C : Le rapport fournit des preuves tangibles que la gestion efficace des identifiants améliore les résultats de sécurité. La baisse de la réutilisation de mots de passe et les meilleures habitudes de sécurité s'alignent sur ce que beaucoup d'équipes observent déjà en pratique. Cela permet aux organisations de valider les améliorations avec des données mesurables.

Cela permet aussi de mieux comprendre la manière dont une gestion sécurisée des identifiants influence le comportement à grande échelle.

1Password domine toujours les recherches « gestionnaire de mots de passe » sur Google. Envisagez-vous de développer votre image pour augmenter la notoriété de la marque auprès des décideurs informatiques qui ne connaissent pas encore Bitwarden ?

M.C : Les tendances de recherche autour du « gestionnaire de mots de passe » reflètent les comportements des consommateurs grand public, non les critères d'évaluation des responsables IT et sécurité. Les audiences techniques se concentrent sur l'architecture de sécurité, la profondeur d'intégration, les résultats validés par la recherche et la prise en cahrge des normes d'authentification émergentes.

Bitwarden met l'accent directement sur ces priorités. Un développement open source de confiance, une documentation claire, une prise en charge étendue des standards, et des capacités telles que les clés d'accès, la protection contre le phishing et l'analyse des risques de credentials… Tout cela contribue à construire la notoriété parmi les décideurs techniques. La valeur se crée par les résultats réels plutôt que par la poursuite des mots-clés les mieux classés dans la catégorie.

Vos concurrents commencent à copier votre modèle open source doublé d'une tarification agressive. À long terme, qu'est-ce qui vous différencie vraiment ?

M.C : À ce jour, Bitwarden se distingue en offrant la combinaison unique d'une architecture open source digne de confiance, d'une approche conviviale, d'une solution abordable et d'une architecture qui s'adapte aux plus grandes organisations du monde.