La gestion des droits d’accès n’est pas un sujet très vendeur.
Personne ne se lève le matin avec l’envie folle de vérifier les comptes utilisateurs, les droits administrateurs, les accès prestataires et les comptes techniques oubliés.
- Et pourtant, c’est souvent là que se joue la sécurité réelle d’une PME.
- Pas dans une grande théorie.
- Pas dans un outil magique.
- Pas dans un tableau de bord rempli de termes compliqués.
- Mais dans une question très simple :
qui peut accéder à quoi ?
Et surtout :
qui peut encore accéder à quelque chose alors qu’il ne devrait plus ?
Le compte oublié : petit détail, gros risque
Dans une PME, les accès se créent vite.
- Un salarié arrive.
- Un stagiaire aide pendant deux mois.
- Un prestataire intervient sur le site web.
- Un technicien configure une sauvegarde.
- Un compte “admin” est partagé pour aller plus vite.
- Un compte technique est créé pour connecter deux outils.
- Puis le temps passe.
- Le salarié part.
- Le prestataire change.
- Le projet se termine.
- Le mot de passe reste.
- Le compte reste.
- Les droits restent.
Et un jour, ce petit oubli devient une porte ouverte.
France Num rappelle qu’une gestion rigoureuse des accès et des droits utilisateurs est indispensable pour protéger les TPE-PME, car maîtriser qui accède à quelles informations et ressources constitue une étape essentielle pour préserver l’intégrité et la confidentialité des données. (francenum.gouv.fr)
Pourquoi les attaquants aiment les accès mal gérés
Un attaquant n’a pas toujours besoin de chercher une faille compliquée.
- Parfois, il lui suffit d’un compte encore actif.
- Un compte d’ancien salarié.
- Un compte prestataire.
- Un compte partagé.
- Un compte administrateur utilisé par plusieurs personnes.
- Un mot de passe réutilisé.
- Un accès sans double authentification.
Cybermalveillance.gouv.fr indique qu’en 2025, le piratage de compte est la première menace pour les entreprises et associations, avec 21 % des parcours d’assistance et une croissance de 52 %. (CYBERMALVEILLANCE.GOUV.FR)
Ce chiffre est important parce qu’il montre que le risque n’est pas abstrait.
Le compte utilisateur est devenu une cible centrale.
La cybersécurité moderne ne consiste donc pas seulement à protéger les serveurs.
Elle consiste aussi à protéger les identités.
Le faux confort du compte partagé
Dans beaucoup de petites structures, le compte partagé semble pratique.
Un compte pour la comptabilité.
Un compte admin pour plusieurs personnes.
Un mot de passe connu de l’équipe.
Un accès fournisseur conservé “au cas où”.
Sur le moment, cela simplifie la vie.
Mais en cas de problème, cela complique tout.
- Qui s’est connecté ?
- Qui a modifié le fichier ?
- Qui a supprimé la donnée ?
- Qui a lancé l’action ?
- Qui a transmis l’accès ?
- Qui est responsable ?
Un compte partagé supprime la traçabilité.
Et sans traçabilité, l’entreprise devient aveugle.
Le jour où un incident arrive, elle ne sait plus si l’action vient d’un salarié, d’un ancien prestataire, d’un pirate ou d’une erreur interne.
Le départ salarié : le moment que l’on sous-estime
Le départ d’un salarié est un moment sensible.
On pense souvent au matériel : ordinateur, badge, téléphone, clés.
Mais les accès numériques sont parfois beaucoup plus nombreux :
- messagerie,
- cloud,
- CRM,
- comptabilité,
- logiciel métier,
- VPN,
- gestionnaire de mots de passe,
- réseaux sociaux,
- site web,
- plateforme fournisseur,
- tableaux partagés,
- outils de ticketing.
Si l’entreprise n’a pas de liste claire, elle ne sait pas ce qu’elle doit couper.
Et ce qu’elle ne coupe pas reste potentiellement utilisable.
Ce n’est pas forcément une question de mauvaise intention. C’est simplement une question de risque.
Un compte oublié peut être piraté.
Un mot de passe réutilisé peut fuiter.
Un accès prestataire peut être compromis.
Un ancien compte peut servir de point d’entrée.
Les comptes techniques : les fantômes du système d’information
Les comptes techniques sont encore plus difficiles à surveiller.
Ils ne correspondent pas toujours à une personne.
Ils servent parfois à connecter un site web, une imprimante, un scanner, une sauvegarde, une application ou un service automatisé.
Le problème, c’est qu’ils sont souvent créés pour résoudre un besoin immédiat, puis oubliés.
France Num cite les comptes techniques créés pour un projet ou une configuration, puis oubliés mais toujours actifs, parfois avec des droits élevés, comme un exemple de mauvaise gestion des accès. (francenum.gouv.fr)
Pour une PME, c’est un vrai sujet.
Parce qu’un compte technique mal géré peut avoir beaucoup de droits et très peu de surveillance.
Ce qu’une PME doit faire concrètement
La première étape n’est pas d’acheter un outil compliqué.
La première étape est de faire l’inventaire.
- Qui a accès à la messagerie ?
- Qui a accès aux fichiers ?
- Qui a accès à la comptabilité ?
- Qui peut modifier les coordonnées bancaires ?
- Qui peut administrer le site web ?
- Qui peut se connecter à distance ?
- Quels prestataires ont encore un accès ?
- Quels comptes ne sont rattachés à personne ?
- Quels comptes n’ont pas de MFA ?
Ensuite, il faut classer les accès.
Tous les comptes n’ont pas le même niveau de risque.
Un compte lecture seule n’a pas le même impact qu’un compte administrateur.
Un accès au site vitrine n’a pas le même impact qu’un accès à la facturation.
Un compte personnel nominatif n’a pas le même risque qu’un compte partagé.
La troisième étape consiste à supprimer ce qui ne sert plus.
C’est souvent le meilleur correctif.
Moins de comptes.
Moins de droits.
Moins de portes ouvertes.
Moins de confusion.
La règle simple : pas de droit sans propriétaire
Une PME peut retenir une règle très simple :
chaque accès doit avoir un propriétaire, une raison et une date de revue.
Un accès sans propriétaire est un risque.
Un accès sans raison est un risque.
Un accès jamais revu est un risque.
Cela ne demande pas forcément une grande organisation.
Même un tableau simple peut suffire au départ.
L’important est d’arrêter de gérer les accès “dans la tête” ou “par habitude”.
Où Cyberhack Platform aide
Cyberhack Platform n’a pas pour but de remplacer l’organisation interne de l’entreprise.
Elle aide à rendre les risques visibles et suivables.
Dans le cas de la gestion des accès, cela peut aider à suivre :
- les comptes critiques ;
- les actions de correction ;
- les services exposés liés aux accès ;
- les preuves de MFA ;
- les risques associés à la messagerie ;
- les points à vérifier chaque mois ;
- les recommandations compréhensibles par la direction.
Le but n’est pas de faire peur avec une longue liste.
Le but est de dire :
voici les accès qui méritent votre attention maintenant.
C’est exactement ce dont beaucoup de PME ont besoin : moins de bruit, plus de priorité.
Le sujet est ennuyeux, donc il est dangereux
Les cybercriminels aiment les sujets que personne ne vérifie.
Un vieux compte.
Un mot de passe partagé.
Un accès prestataire oublié.
Un compte technique avec trop de droits.
Un utilisateur sans MFA.
Ce ne sont pas des sujets spectaculaires.
Mais ce sont des chemins très pratiques.
Et dans une PME, un seul mauvais accès peut suffire à créer un vrai incident.
Conclusion
La gestion des droits d’accès n’est pas la partie la plus glamour de la cybersécurité.
Mais c’est l’une des plus utiles.
Parce qu’elle répond à une question fondamentale :
qui peut faire quoi dans l’entreprise ?
Tant que la réponse n’est pas claire, le risque reste flou.
La bonne question n’est donc pas :
“Avons-nous des mots de passe ?”
La vraie question est :
“Savons-nous vraiment qui peut accéder à nos données, nos outils et nos paiements aujourd’hui ?”
C’est souvent par là qu’une PME passe d’une cybersécurité théorique à une protection concrète.
