Qui a accès à quoi ? La méthode simple pour reprendre la main en 2 heures

L’objectif

En PME, le sujet n’est pas “la cybersécurité” au sens abstrait. Le sujet est :

• Qui peut accéder à quoi ?
• Est-ce justifié ?
• Est-ce maîtrisé quand quelqu’un part ?

En 2 heures, tu peux déjà remettre de l’ordre et voir où sont les trous.

Chiffre clé : 61 % des violations de données en PME impliquent des identifiants compromis ou mal gérés (source : Verizon DBIR 2023). La gestion des accès est le premier levier de réduction du risque.

Étape 1 — Lister les systèmes essentiels (15 min)

Note tous les outils qui contiennent de la donnée utile ou sensible :

• Email (Microsoft 365 / Google Workspace)
• Stockage (Drive / SharePoint / Dropbox)
• CRM / ERP / Facturation
• Banque / paiements
• Outils RH / paie
• Outils de support (ticketing)
• Outils de mots de passe (ou… tableur)

Étape 2 — Lister les “rôles” (20 min)

Oublie les noms, pense en rôles :

• Dirigeant
• Assistante / office manager
• Commercial
• Comptable
• Tech / admin
• Prestataires externes

Étape 3 — Faire une matrice accès (30 min)

Sur un tableau simple :

• Colonne = outils
• Ligne = rôles
• Valeur = Lecture / Écriture / Admin

Étape 4 — Chasser les 4 gros anti-patterns (30 min)

1) Comptes partagés

Ex: "contact@", "admin@", "support@" utilisés par plusieurs personnes.

2) Accès “admin” attribués par habitude

Le rôle admin doit être rare et justifié.

3) Prestataires avec accès permanent

Un prestataire doit avoir un accès borné (scope + durée) et traçable.

4) Personne ne sait “qui administre”

Si personne ne sait qui administre, personne ne peut sécuriser.

Étape 5 — Définir une règle simple (25 min)

• 1 responsable par outil (owner)
• 1 back-up (remplaçant)
• 0 compte partagé (ou strictement encadré)
• retrait d’accès systématique à chaque départ

Le résultat attendu

Tu n’as pas “tout sécurisé” en 2 heures, mais tu as :

• Une vision claire
• Une liste de risques évidents
• Les 5 actions prioritaires

Et surtout : tu as rendu le sujet pilotable.