Les accès administrateurs sont souvent le point le plus sensible d'une petite entreprise. Ce sont eux qui permettent de modifier le site, de lire les emails, de changer les mots de passe, de gérer les paiements, de consulter les fichiers clients, de configurer le domaine ou d'administrer un serveur. Quand un accès de ce type est compromis, le problème dépasse largement le compte lui-même. C'est parfois toute l'activité qui peut être modifiée, bloquée ou détournée.
Pour un dirigeant de TPE ou PME, le sujet peut sembler technique. On parle parfois de SSH, VPN, SSO, MFA, comptes privilégiés, bastion ou journalisation. Mais derrière ces mots, la question est simple : qui peut entrer dans les endroits importants de l'entreprise, et comment être sûr que cette personne est bien légitime ? Une stratégie de sécurisation des accès doit répondre à cette question sans complexifier inutilement le quotidien.
Commencer par les comptes qui contrôlent l'activité
Il ne sert à rien de vouloir tout sécuriser au même niveau dès le premier jour. Il faut commencer par les comptes qui ont le plus de pouvoir. Le compte qui gère le nom de domaine peut rediriger le site ou les emails. Le compte d'hébergement peut modifier l'application ou couper un service. Le compte email principal peut réinitialiser beaucoup d'autres accès. Le compte cloud peut contenir les documents internes. Le compte de paiement peut toucher directement le chiffre d'affaires.
La première étape consiste donc à lister ces comptes. Qui les possède ? Qui les utilise ? Sont-ils associés à une adresse personnelle ou professionnelle ? Est-ce qu'un ancien prestataire y a encore accès ? Est-ce qu'un mot de passe est partagé dans un document ? Est-ce qu'une double authentification est activée ? Ce sont des questions très concrètes, mais elles révèlent souvent les risques les plus importants.
Mettre la double authentification là où elle compte
La double authentification n'est pas une option de confort pour les comptes critiques. Elle réduit fortement le risque qu'un mot de passe volé suffise à prendre le contrôle. Elle doit être activée sur la messagerie, l'hébergement, le registrar du domaine, les outils de paiement, les espaces cloud, le gestionnaire de mots de passe, les comptes publicitaires importants et les outils métiers qui contiennent des données sensibles.
Il faut cependant la mettre en place proprement. Si la double authentification dépend uniquement du téléphone d'une seule personne, l'entreprise peut se retrouver bloquée. Il faut prévoir des codes de récupération, un compte de secours maîtrisé, une procédure de transmission et une manière de retirer l'accès si une personne part. La sécurité ne doit pas créer une dépendance fragile à un individu.
Supprimer les accès oubliés
Les accès oubliés sont fréquents dans les petites structures. Un développeur a créé le site il y a trois ans. Un consultant a eu un accès au cloud. Un alternant a reçu un compte admin temporaire. Un ancien salarié reste dans un outil parce que personne n'a pensé à le retirer. Ces situations ne sont pas forcément dues à une négligence grave. Elles viennent souvent de la vitesse, des changements de prestataires et du manque de procédure simple.
Le risque est pourtant réel. Un compte oublié peut être compromis sans que personne ne le remarque. Il peut aussi permettre une erreur involontaire. La correction est simple : faire l'inventaire des utilisateurs dans les outils importants, supprimer ce qui n'a plus de raison d'exister, réduire les droits trop larges, et noter qui valide les nouveaux accès. Une heure de rangement peut parfois réduire plus de risque qu'un outil complexe.
Limiter les accès distants
Les accès distants sont pratiques : VPN, bureau à distance, panneau serveur, console cloud, interface NAS, administration d'un site. Mais tout ce qui permet d'administrer à distance doit être limité. Si un outil n'a pas besoin d'être accessible depuis Internet, il ne devrait pas l'être. Si un prestataire doit intervenir, son accès doit être temporaire, identifié et retiré après usage. Si une interface est indispensable, elle doit être protégée correctement.
Pour une PME, le principe est simple : moins il y a de portes, plus il est facile de les surveiller. Une porte utile peut rester ouverte si elle est solide. Une porte inutile doit être fermée. L'audit des accès sert précisément à distinguer les deux. Il ne s'agit pas de bloquer le travail, mais d'éviter que des outils sensibles soient exposés par habitude.
Éviter les comptes partagés
Le compte partagé est une facilité qui devient vite un problème. Quand plusieurs personnes utilisent le même identifiant administrateur, il devient impossible de savoir qui a fait quoi. Il devient aussi difficile de retirer l'accès à une seule personne. Si le mot de passe fuite, toute l'entreprise doit changer son fonctionnement dans l'urgence. Les comptes partagés doivent donc être remplacés progressivement par des comptes nominatifs.
Quand le partage est nécessaire, il doit passer par un gestionnaire de mots de passe et non par un message ou un fichier. Le gestionnaire permet de donner accès sans révéler partout le secret, de retirer une personne, et de repérer les mots de passe faibles ou réutilisés. C'est une mesure simple, compréhensible et très efficace.
Protéger les prestataires sans les bloquer
Les petites entreprises travaillent souvent avec des prestataires : agence web, développeur, hébergeur, consultant, infogérant, freelance marketing. Ces personnes ont parfois besoin d'accès importants. Le problème n'est pas de leur faire confiance ou non. Le problème est de cadrer l'accès : pourquoi, pour combien de temps, avec quels droits, et comment le retirer ensuite.
Un prestataire ne devrait pas conserver indéfiniment un accès administrateur complet s'il n'en a plus besoin. Un accès temporaire, limité et nommé est préférable. L'entreprise doit aussi conserver la propriété des comptes essentiels : domaine, hébergement, paiement, messagerie. Un prestataire peut aider à gérer, mais l'entreprise ne devrait pas dépendre entièrement d'un compte qu'elle ne maîtrise pas.
Surveiller les connexions importantes
La journalisation peut sembler technique, mais son objectif est très simple : savoir si quelque chose d'anormal s'est produit. Une connexion depuis un pays inhabituel, un changement de mot de passe non prévu, une invitation d'utilisateur, une modification de paiement ou une suppression de fichiers sont des événements qui doivent pouvoir être retrouvés.
Il n'est pas toujours nécessaire de déployer un outil lourd. Beaucoup de services conservent déjà des journaux de connexion ou envoient des alertes. L'important est de savoir où les consulter et qui les reçoit. Une alerte envoyée à une boîte jamais lue ne protège personne. Un audit peut vérifier ces points et proposer une organisation simple.
Prévoir les départs et les absences
Un accès sécurisé doit aussi survivre aux changements humains. Si le dirigeant est absent, si un salarié part, si un prestataire disparaît, si un téléphone est perdu, l'entreprise doit pouvoir reprendre la main. Cela demande peu de choses : une liste des comptes critiques, des procédures de récupération, des contacts prestataires, des codes de secours stockés correctement et une règle claire pour fermer les accès lors d'un départ.
Cette préparation évite des blocages très concrets. Une entreprise peut être en difficulté non pas parce qu'elle a été attaquée, mais parce qu'elle ne sait plus qui contrôle un compte ou comment récupérer un accès. La sécurité des accès est donc aussi un sujet de continuité d'activité.
Prioriser sans rendre le quotidien impossible
La sécurisation des accès doit rester utilisable. Si chaque action devient trop compliquée, les équipes cherchent des contournements. Le bon équilibre consiste à protéger fortement les comptes critiques, à simplifier les comptes ordinaires, et à documenter les règles. Tout n'a pas besoin du même niveau de contrôle. Mais les comptes qui peuvent arrêter l'activité ou exposer des données doivent être traités sérieusement.
La priorité est souvent la suivante : double authentification sur les comptes importants, suppression des comptes inutiles, fin des mots de passe partagés, limitation des accès distants, reprise de propriété des comptes essentiels, puis surveillance minimale. C'est une base solide, réaliste et adaptée à une TPE ou PME.
Ce qu'un audit des accès doit livrer
Un audit des accès ne doit pas seulement dire que tel service utilise tel protocole. Il doit expliquer ce que cela signifie pour l'entreprise. Qui peut modifier le site ? Qui peut lire les emails ? Qui peut accéder aux fichiers clients ? Qui peut désactiver une sauvegarde ? Qui peut ajouter un nouvel administrateur ? Qui peut recevoir les codes de récupération ? Ces questions parlent directement au risque métier.
Le livrable doit ensuite proposer des actions classées. Certaines corrections sont rapides : activer une double authentification, retirer un ancien compte, changer un mot de passe partagé. D'autres demandent un peu plus de coordination : migrer vers des comptes nominatifs, réduire les droits d'un prestataire, revoir l'accès distant, documenter les comptes critiques. L'intérêt de l'audit est de donner un chemin praticable.
Le bénéfice réel pour le dirigeant
Quand les accès sont maîtrisés, le dirigeant dort mieux parce qu'il sait qui peut toucher aux choses importantes. Il sait que les anciens accès ont été retirés, que les comptes critiques ne reposent pas sur un mot de passe faible, que les prestataires sont cadrés, et que l'entreprise peut reprendre la main. Ce n'est pas spectaculaire, mais c'est souvent ce qui réduit le plus le risque.
Sécuriser les accès administrateurs, c'est fermer les portes les plus évidentes avant qu'elles ne servent contre l'entreprise. C'est aussi reprendre le contrôle d'un patrimoine numérique qui s'est construit avec le temps : domaine, site, emails, fichiers, paiements, cloud, outils métiers. Pour une TPE ou PME, c'est l'un des meilleurs premiers chantiers cyber.
Ressources utiles sur les accès sensibles
La sécurité des accès touche à la fois l'organisation, les prestataires et les outils. Ces ressources aident à cadrer le sujet sans le transformer en jargon technique.
- ANSSI : guide d'hygiène informatiqueRéférence utile pour les comptes, les droits, les mots de passe, les sauvegardes et l'administration.
- Cybermalveillance.gouv.frFiches pratiques pour comprendre le phishing, les mots de passe, les comptes piratés et les bons réflexes.
- 17CyberÀ utiliser si un compte important semble déjà compromis ou si une intrusion est suspectée.
- Checklist cyber TPE PMEPour replacer les accès dans une vision plus large : site, fichiers, emails, paiements et sauvegardes.
- Audit cyber TPE PMEPour vérifier les accès dans le contexte complet de l'entreprise, pas seulement outil par outil.
- Entreprise rançonnéeÀ lire si un compte compromis a déjà servi à bloquer ou chiffrer des données.