Avis Proton Pass for Business : vers une politique de sécurité homogène dans les PME

Avec son offre Pass for Business, le spécialiste de la sécurité Proton propose aux PME de faciliter la gestion des mots de passe complexes et uniques. Le service combine le chiffrement de bout en bout à surveillance du dark web, et propose des outils d'administration centralisée pour sécuriser les accès au sein des PME.

Disponible également en version grand public, le gestionnaire de mots de passe de Proton a été optimisé pour les petites et moyennes entreprises avec comme toujours la sécurité mise au premier plan.

Le mot de passe, ce maillon faible chez les PME

Selon la FEVAD, la fédération du e-commerce et de la vente à distance, 67% des entreprises françaises ont subi au moins une cyberattaque en 2024, avec une augmentation de plus de 50% des attaques visant les entreprises de moins de dix salariés sur les trois dernières années. Pour les cyber-criminels, les PME, souvent moins bien armées, sont des cibles de choix

Le coût financier de ces intrusions représente un enjeu majeur pour la survie des PME. En 2023, le cabinet de conseil Asterès évaluait le coût moyen d'une cyberattaque à 59 000 euros pour une entreprise, tandis que la cybercriminalité représentait globalement plus de 100 milliards d'euros de préjudice annuel en France. Et on le sait : 60% des entreprises victimes ferment définitivement dans les 18 mois suivant une attaque.

Les mots de passe constituent le maillon faible. Selon le rapport annuel de Verizon, 80% des violations de données réussies résultent de la compromission d'identifiants de connexion. Il faut dire qu'encore en 2025, 49,7% des utilisateurs emploient les mêmes 2 ou 3 mots de passe pour plusieurs comptes, tandis que les mots de passe les plus courants restent encore et toujours "123456" ou "azerty".

Contrairement aux grandes entreprises, 82% des PME confient la gestion informatique au chef d'entreprise, sans personnel dédié à la cybersécurité. Dans 53% des cas, les salariés utilisent leurs équipements personnels à des fins professionnelles, créant des zones grises sécuritaires. Et rapidement, les mots de passe sont partagés par messageries instantanées ou par emails... C'est là qu'entre en jeu un gestionnaire dédié.

Zoom sur Proton Pass for Business

Le gestionnaire de mot de passe Proton Pass for Business est disponible sur les principales plateformes : ordinateurs Windows, macOS et Linux, smartphones iOS et Android, ainsi que les extensions navigateur pour Chrome, Firefox, Safari, Edge, Brave, Opera… Notons aussi l'intégration d'un authentificateur 2FA. Ce dernier génère directement les codes TOTP (Time-based One-Time Password) dans l'interface du service. Proton Pass prend aussi en charge les clés d'accès - passkeys - basées sur les standards FIDO2 et WebAuthn. Une fois configuré, Proton Pass permet le remplissage automatique des formulaires web et applications. Au passage, il est possible de configurer le déverrouillage biométrique sur les app mobiles comme sur les extensions de navigateurs.

Une architecture chiffrée de bout en bout

Proton Pass for Business s'appuie sur une architecture sécurisée utilisant un chiffrement de bout en bout ; les données sont chiffrées sur l'appareil de l'utilisateur avant leur transmission vers les serveurs Proton. Au passage, Proton Pass est entièrement open source ; le code peut donc être audité au besoin.

Proton Pass permet de stocker de manière sécurisée l'ensemble des identifiants de l'entreprise : mots de passe, informations de cartes de crédit, notes confidentielles, et codes d'authentification à double facteur. Le générateur de mots de passe intégré produit des combinaisons robustes selon des critères prédéfinis : longueur minimale, utilisation obligatoire de caractères spéciaux, exclusion de caractères ambigus. Les règles du générateur de mots de passe peuvent être personnalisées par l'administrateur pour se conformer aux politiques de sécurité internes. Il devient donc possible d'imposer des standards homogènes au sein de l'entreprise.

Notons aussi la possibilité de joindre des fichiers jusqu’à 10 Go aux éléments stockés. Proton Pass se transforme ainsi en un coffre-fort numérique centralisé pour documents d’identité, certificats, clés SSH et autres données sensibles.

Au-delà du gestionnaire de mots de passe

En parallèle, le Dark Web Monitoring surveille en permanence les bases de données compromises circulant sur les réseaux pour détecter si des identifiants de l'entreprise y apparaissent. Environ 40 milliards d'enregistrements compromis sont passés au crible pour repérer des fuites potentielles avant leur exploitation malveillante. En cas de détection d'identifiants compromis, les administrateurs reçoivent des alertes immédiates avec des recommandations d'action précises.

Un autre outil permet également de vérifier la sécurité des mots de passe afin d'identifier ceux qui sont jugés trop faibles, réutilisés, ou trop anciens. Là encore, l'administrateur reçoit des rapports détaillés permettant de prioriser les actions à prendre.

Fonctionnalités de partage sécurisé et collaboration

Le système de partage permet de diffuser des identifiants ou des coffres-forts entiers entre collaborateurs selon des permissions granulaires. Les administrateurs peuvent définir des accès en lecture seule, en modification, ou avec droits de partage vers d'autres utilisateurs.

Les liens de partage temporaires permettent de transmettre des informations confidentielles à des partenaires externes sans compromettre la sécurité et toujours avec un chiffrement de bout en bout. Ces liens peuvent être configurés avec une durée de validité limitée ou un nombre maximal d'accès.

Système d'alias à la volée

Le système d'alias email hide-my-email, intégré via SimpleLogin, permet de créer des adresses électroniques temporaires pour les inscriptions sur des services tiers. L'idée est de masquer autant que possible l'adresse email principale de l'entreprise tout en repérant plus facilement les sources de spam ou les tentatives de phishing. En cas de problème, chaque alias peut être désactivé individuellement en un clic.

Il est également possible de générer des alias à partir d'un nom de domaine bien spécifique. L'entreprise masociete.fr pourrait ainsi configurer masociete-mail.fr pour y générer à la volée des emails d'alias de manière illimitée.

Conformité réglementaire et certifications

Proton Pass for Business respecte les principales réglementations de protection des données : RGPD, HIPAA, et PCI-DSS. L'entreprise suisse Proton AG bénéficie de la protection des lois particulièrement strictes en terme de confidentialité. Le gestionnaire de mots de passe a été audité et reçu la certification SOC 2 Type II.

Une gestion centralisée pour les administrateurs

L’activation du support multi-utilisateurs se réalise dès la connexion à l’interface de gestion sur pass.proton.me, où l’administrateur principal s’authentifie, dénomme l’organisation et obtient automatiquement tous les droits de gestion des utilisateurs, des politiques et des permissions. Il crée des certificats cryptographiques pour tous les membres/salariés de la société. La migration depuis un autre service est facilitée par des outils d’import automatisés compatibles avec les principaux gestionnaires de mots de passe et navigateurs (Chrome, Firefox, Safari, Edge).

La gestion des utilisateurs s’opère via l’onglet « Utilisateurs » du menu « Organisations », où chaque collaborateur peut être ajouté par invitation par email ou via la création directe d’un mot de passe. Les salariés peuvent être placés au sein de groupes, par exemple, en respectant l’organigramme de l'entreprise. Cela permet notamment de simplifier l’attribution en masse des permissions. Remarquons au passage que contrairement à la section admin, l'interface utilisateur de Proton Pass n'arbore pas l'identité de l'entreprise.

Notons en revanche qu'un flou subsiste sur l’intégration à venir de SSO et SCIM. Cette fonctionnalité, actuellement réservée à Proton Pass Plus, offre un provisioning et un déprovisioning entièrement automatisés en synchronisant Proton Pass avec Active Directory ou Microsoft Entra ID. Proton Pass Plus étant intégré à l'offre globale de Proton Business Suite, les administrateurs devraient logiquement pouvoir en bénéficier, mais l'option n'est pas présente.

Pour la surveillance et le contrôle, Proton Pass enregistre dans des journaux d’activité toutes les opérations (création, modification, consultation, partage, connexions et échecs d’authentification). Les rapports Pass Monitor identifient les mots de passe faibles, réutilisés ou compromis, tandis que les rapports d’utilisation mesurent l’adoption et ciblent les utilisateurs ou services nécessitant un accompagnement. Proton Sentinel ajoute une couche comportementale, détecte les activités anormales et génère des alertes en temps réel.

Relativement récent, Proton Pass est le service de l'entreprise qui évolue le plus rapidement. Et aujourd'hui, il n'a donc pas à rougir face à la concurrence.