La fuite Wave de novembre
Un soir de novembre 2025, le fondateur d'une startup logistique dakaroise nous écrit : "Mohamed, on a poussé un commit avec nos clés Wave Business dans un repo GitHub public il y a 6 heures." Audit immédiat : la clé donnait accès à l'émission de remboursements jusqu'à 2 millions FCFA par transaction. Heureusement, nous attrapons la fuite avant qu'un bot scanneur ne l'exploite. Wave régénère les clés en 2 heures. Perte évitée estimée : 14 millions FCFA.
C'était la 11e fois en 18 mois qu'on intervenait sur ce type d'incident chez un client. Le pattern est toujours le même : pas de secrets manager, les clés vivent en '.env' local, partagées sur Slack, commitées par accident, oubliées dans un dump Sentry, embarquées dans une image Docker.
Pourquoi un secrets manager change tout
Un secrets manager centralise vos clés API, mots de passe DB, tokens OAuth, certificats. À la place de fichiers '.env' dispersés, vos applis demandent à l'exécution leurs secrets à un service authentifié, qui logge chaque accès, fait tourner les valeurs automatiquement, et révoque en un clic en cas de compromission.
Concrètement, sans secrets manager : un dev quitte l'équipe = 6 heures de rotation manuelle de 30 clés, plus risque d'oubli. Avec : 30 secondes pour révoquer son rôle.
Les trois options réelles pour un SaaS africain
| Solution | Modèle | Prix mensuel | Profil idéal |
|---|---|---|---|
| HashiCorp Vault self-host | Open source, infra à toi | ~50-150 USD (VPS + ops) | Équipes 10+ avec un DevOps |
| HashiCorp Vault Cloud (HCP) | SaaS managé | 0,03 USD/secret/h ~ 200-800 USD/mois | Équipes sans DevOps fort |
| AWS Secrets Manager | Cloud natif AWS | 0,40 USD / secret / mois | Stack 100% AWS |
| Doppler | SaaS dev-friendly | 7 USD / seat / mois | Petites équipes, multi-cloud |
| Infisical (open source) | Self-host ou cloud | 0 self / 6 USD seat cloud | Alternative budget à Doppler |
En FCFA, pour une équipe de 8 personnes : Doppler ~34 000 FCFA/mois, AWS Secrets Manager (50 secrets) ~12 000 FCFA/mois, Vault HCP ~150 000 à 480 000 FCFA/mois, Vault self-host ~30 000 à 90 000 FCFA/mois de VPS.
La règle Kolonell par stade
Pre-seed / MVP (0-3 personnes tech) : Doppler ou Infisical Cloud. Vous configurez en 1 heure, le CLI remplace vos '.env', vos environnements sont synchronisés sans douleur. ~22 000 FCFA/mois pour 3 seats. Pas de Vault, ne perdez pas de temps là-dessus tant que vous n'avez pas un DevOps.
Seed (4-10 personnes tech, levée < 2 ans) : si vous êtes 100% AWS, allez sur AWS Secrets Manager + un wrapper applicatif. Sinon Doppler reste le bon choix jusqu'à 15-20 personnes. ~50 000 à 80 000 FCFA/mois.
Série A (10+ tech, multi-cloud, conformité SOC2/ISO) : HashiCorp Vault, idéalement HCP (cloud managé) pour éviter le coût ops. La rotation automatique, l'identité dynamique, et l'audit trail sont nécessaires pour passer SOC2 Type II. ~200 000 à 500 000 FCFA/mois.
L'erreur du self-host trop tôt
Vault self-host est gratuit en licence, mais cher en temps humain. Une mauvaise config (cluster non scellé, auto-unseal cassé, snapshots non testés) et vous perdez l'accès à tous vos secrets en pleine nuit. Une fintech béninoise nous a appelés à 3h du matin avec ce problème : 8 heures de production down, 2 millions FCFA de revenus perdus.
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Si vous n'avez pas un DevOps dédié à 30%+ de son temps sur l'infra sécurité, restez sur du managé (HCP, AWS, Doppler, Infisical Cloud). Le calcul est presque toujours en faveur du managé jusqu'à 20+ personnes tech.
Scan de secrets sur le repo, obligatoire
Quelle que soit la solution, branchez Gitleaks ou TruffleHog en pre-commit hook et en CI. C'est gratuit, ça attrape les fuites avant qu'elles ne quittent la machine du dev. Pour 1 heure de setup, vous évitez 80% des incidents type "clé Wave dans un repo public".
Couplez avec le secret scanning natif de GitHub (gratuit sur repos publics, payant sur privés via Advanced Security ~21 USD/user/mois). Les éditeurs reconnus (Stripe, AWS, Google) ont des partenariats : leurs clés détectées dans un push sont automatiquement révoquées par eux.
FAQ
.env.local suffit-il vraiment pour un MVP solo ?
Tant que vous êtes seul, oui, à condition que '.env*' soit dans '.gitignore', que vous ayez Gitleaks en pre-commit, et que vos clés de prod ne soient JAMAIS sur votre laptop. Dès qu'un 2e dev arrive, migrez sur Doppler.
Vault peut-il remplacer 1Password ou Bitwarden ?
Non. Vault est pour les secrets applicatifs (clés API, DB). 1Password / Bitwarden sont pour les identifiants humains (logins SaaS). Vous avez besoin des deux.
Combien coûte une migration vers Vault depuis du '.env' ?
Pour un SaaS 5-15 services : 3 à 8 jours / homme. Comptez 1,5 à 4 M FCFA en mission externe, ou 2 sprints internes.
Mon hébergement local Sénégalais supporte-t-il Vault ?
Oui sur n'importe quel VPS Linux à 4 Go RAM. Hébergeurs locaux (Sonatel, Orange Cloud, providers Maurice) compatibles. Vault HCP n'a pas de région Afrique, latence Europe ~80-120 ms acceptable.
Auditez vos secrets
Vous voulez un diagnostic en 1 journée : où vivent vos secrets, qui peut les lire, combien sont commitées dans Git ? On le fait avec vous, livraison rapport + plan de migration. WhatsApp +221 77 596 93 33 ou /fr/devis-gratuit.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.