Cybersécurité

Guide pratique : Gérer les droits d’accès dans votre entreprise

13 min de lecture

Pourquoi la gestion des accès est le guide général silencieux de la sécurité ?

Toutes les enquêtes (Verizon DBIR, IBM Cost of Breach) convergent : 70 à 80 % des breaches PME impliquent un mauvais paramétrage d’accès — comptes inactifs jamais désactivés, mots de passe admin partagés, OAuth oubliés. Bien gérée, l’IAM (Identity and Access Management) ne coûte rien (groupes Google Workspace + Bitwarden Teams) et ferme la majorité des vecteurs d’attaque internes. Au Sénégal, où la rotation du personnel est rapide, c’est la première brique à formaliser avant tout autre investissement sécurité.

Ce que vous saurez faire à la fin

  • Mettre en place une matrice des droits d’accès conforme au principe du moindre privilège
  • Déployer Google Workspace ou Microsoft 365 pour gérer les rôles sans dépendre de fichiers Excel partagés
  • Gérer proprement les arrivées, mouvements internes et départs (onboarding/offboarding)
  • Auditer les accès tous les 3 mois pour détecter les comptes dormants et les partages dangereux
  • Réduire de 80 % le risque de fuite de données due à un mauvais paramétrage

Prérequis

  • Un compte administrateur Google Workspace ou Microsoft 365 Admin
  • La liste à jour des employés, leur poste et leur responsable
  • Un outil de mot de passe partagé (1Password Business, Bitwarden Teams)
  • 1 à 2 journées de mise en place initiale + 2 heures/mois de maintenance

Étape 1 — Définir vos 4 niveaux de rôles

Commencez simple. Ne créez pas 15 rôles dès le départ.

Niveau Qui Accès type
1 – Admin Direction + DSI Tout
2 – Responsable Chefs d’équipe Dossier équipe + rapports financiers consolidés
3 – Collaborateur Employés Dossier personnel + dossier équipe en lecture/écriture
4 – Externe Prestataires Dossier projet précis, avec expiration

Étape 2 — Matrice RACI détaillée par application

Créez un Google Sheet « Matrice accès » avec colonnes : Application, Rôle, Niveau d’accès, Responsable. Exemples :

  • Gmail/Outlook : chacun sa boîte. Alias partagés (contact@) en délégation, pas en mot de passe commun.
  • Comptabilité Sage/QuickBooks : accès total = CFO + expert-comptable. Lecture = gérant. Saisie = assistant.
  • Facebook Ads / Google Ads : jamais partager le compte personnel. Créer des Business Manager avec rôles granulaires.
  • Serveurs / VPS : clés SSH individuelles, jamais de mot de passe root partagé.
  • Banking Orange/Wave Business : comptes à signature multiple pour les transferts > 500 000 FCFA.

Étape 3 — Implémenter dans Google Workspace

  1. Admin Console → Directory → Groups → créez : direction@, marketing@, ventes@, tech@
  2. Ajoutez les membres via le bouton Add Members
  3. Drive → clic droit sur un dossier → Share → donner accès au groupe, pas aux individus
  4. Résultat : quand quelqu’un change d’équipe, vous ne modifiez que son groupe, pas tous les dossiers

Étape 4 — Activer l’authentification à 2 facteurs obligatoire

Non-négociable. 80 % des piratages PME sont dus à un mot de passe faible sans 2FA.

  1. Admin Console → Security → 2-Step Verification → Enforcement : On for all users
  2. Laisser 14 jours aux utilisateurs pour s’enrôler (Google Authenticator, Authy, YubiKey)
  3. Passer à On strict après la période de grâce
  4. Interdire SMS 2FA (contournable par SIM swap)

Étape 5 — Procédure d’arrivée (onboarding) en 30 minutes

  1. Créer le compte Google Workspace et l’ajouter aux groupes métier concernés
  2. Inviter dans 1Password Teams avec accès aux vaults nécessaires
  3. Créer l’accès au CRM, Slack, outils métier selon la fiche de poste
  4. Envoyer par email chiffré le mot de passe temporaire (changement obligatoire à la 1ère connexion)
  5. Formation sécurité 30 min obligatoire : phishing, mot de passe, 2FA, BYOD

Étape 6 — Procédure de départ (offboarding) en 15 minutes

Un ex-employé avec des accès est le pire risque. Checklist :

  • Désactiver (pas supprimer) le compte Google le dernier jour à 17h00
  • Retirer de tous les groupes et de 1Password
  • Révoquer les tokens OAuth : tokens GitHub, Slack, Notion, etc.
  • Changer les mots de passe partagés auxquels il avait accès
  • Forward automatique de ses emails pendant 30 jours vers son responsable
  • Archive ses données, transfert de propriété Drive à son remplaçant
  • Attendre 90 jours puis supprimer définitivement (conformité)

Étape 7 — Audit trimestriel des accès

Tous les 3 mois, 2 heures avec votre DSI ou RSSI :

  1. Export des utilisateurs actifs Google Workspace
  2. Comparer à la liste RH : repérer les écarts (ex-employés oubliés, comptes tests)
  3. Voir le rapport de connexion : comptes sans activité depuis 90 jours → suspendre
  4. Rapport partages externes : identifier les dossiers ouverts « n’importe qui avec le lien », les fermer
  5. Vérifier les apps tierces autorisées (OAuth) : révoquer celles non utilisées

Étape 8 — Les 5 signes d’un mauvais paramétrage

  • Mot de passe partagé sur un post-it ou dans un fichier Excel
  • Dossier Drive partagé « Toute personne avec le lien peut modifier »
  • Compte générique admin@ utilisé par plusieurs personnes
  • Pas de 2FA activée
  • Ex-employés encore dans Slack ou WhatsApp groupe

Prochaines étapes

  • SSO centralisé (Okta, JumpCloud) si vous dépassez 30 employés
  • Classification des données : public, interne, confidentiel, secret — étiquetage automatique
  • Formation phishing mensuelle avec simulations (KnowBe4, Sosafe)
  • Audit externe annuel avec prestataire certifié ISO 27001

Pour creuser ce sujet

Où héberger votre projet web ?

Hostinger propose des plans dimensionnés pour les freelances et PME. Lien d’affiliation — pas de surcoût pour vous.

Comparer les plans →

Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.

Étape 1 : cartographier les ressources sensibles avant tout déploiement IAM

Avant d’ouvrir un seul outil de gestion de droits, listez sur une feuille les ressources qui justifient un contrôle d’accès. À Dakar, Abidjan ou Lomé, une PME mélange souvent un Google Workspace, un NAS Synology hébergé au bureau, un Odoo facturation et deux comptes Wave Business. Sans inventaire, vous protégerez des broutilles et oublierez le compte qui signe les virements.

Ouvrez un tableur et créez cinq colonnes : ressource, propriétaire métier, criticité (1 à 3), nature des données, mode d’authentification actuel. Remplissez une ligne par application, partage réseau, base de données, dossier comptable, boîte mail générique. Comptez large : un seul compte « contact@entreprise.sn » partagé entre cinq personnes est une faille majeure.

Le résultat attendu : un fichier CSV de 30 à 80 lignes pour une PME de 10 à 50 personnes. Tant que ce document n’existe pas, ne configurez ni Active Directory, ni Microsoft Entra ID, ni Keycloak. Vous bâtiriez sur du sable.

Étape 2 : définir les rôles métiers (RBAC) avant d’attribuer les droits

Le piège classique : créer les utilisateurs un par un et leur cocher des droits à la volée. Au bout de 12 mois, plus personne ne sait pourquoi le stagiaire de juin 2025 a accès au dossier paie. Préférez le RBAC (Role-Based Access Control) : on définit d’abord les rôles métiers, puis on rattache les personnes aux rôles.

Pour une PME de services à Dakar, six rôles suffisent généralement : direction, comptabilité, commercial, technique, support client, prestataire externe. Pour chaque rôle, écrivez en une phrase ce qu’il doit pouvoir faire et ce qu’il ne doit jamais voir. Exemple : « Commercial → lit le CRM, modifie ses fiches, ne voit pas les marges achats ».

# Exemple de matrice rôles × ressources (extrait CSV)
Role,GoogleDrive_Compta,Odoo_Ventes,NAS_Photos,Wave_Admin
Direction,RW,RW,RW,RW
Comptabilite,RW,R,-,R
Commercial,-,RW,-,-
Technique,-,-,RW,-
Support,-,R,-,-
Prestataire_ext,-,R(scopé),-,-

R = lecture, W = écriture, RW = lecture+écriture, « – » = aucun accès. Cette matrice devient votre référence opposable. Toute demande d’accès hors matrice doit faire l’objet d’une décision écrite du dirigeant.

Étape 3 : choisir l’outil d’identité adapté à la taille

Trois options réalistes en 2026 selon votre taille et votre budget. En dessous de 10 personnes, Google Workspace Business Starter (env. 4 200 FCFA/utilisateur/mois) suffit : groupes Google, partages Drive scopés, vérification en 2 étapes obligatoire. Pour 10 à 100 personnes mixant SaaS et applications internes, Microsoft Entra ID (ex-Azure AD) plan P1 reste le standard, environ 4 EUR/utilisateur/mois soit 2 624 FCFA, avec SSO sur 1 800+ applications.

Pour une équipe technique qui veut tout auto-héberger, Keycloak 26 LTS reste open source, gratuit, et tient sur un VPS 4 Go. C’est plus exigeant à opérer mais zéro coût de licence. Le coût total de possession se rattrape au-delà de 30 utilisateurs.

Évitez d’empiler trois solutions partielles. Une seule source d’identité, c’est la règle. Tout le reste se branche dessus en SSO ou SCIM.

Étape 4 : appliquer le moindre privilège à l’embauche

Le principe du moindre privilège (PoLP) signifie qu’un nouveau salarié reçoit le strict minimum pour démarrer, jamais l’addition de tous les droits « au cas où ». Préparez un script ou une checklist d’onboarding signée par le dirigeant.

# Checklist onboarding J-0 (extrait)
1. Création du compte dans l'IdP (Entra/Google/Keycloak)
2. Affectation au groupe correspondant à UN seul rôle métier
3. MFA obligatoire activé avant la première connexion
4. Licence SaaS attribuée (et seulement celles utiles au rôle)
5. Mot de passe initial à usage unique, expiration 24h
6. Email de bienvenue avec procédure de récupération de compte

Ce que vous devez voir : un compte créé en moins de 10 minutes, MFA actif dès la première session, aucun accès non documenté. Si le manager demande « ajoute-le aussi au dossier compta pour dépanner », refusez et créez un ticket de demande d’accès tracé.

Étape 5 : imposer le MFA et bannir les mots de passe partagés

En 2026, le MFA n’est plus optionnel. Les attaques par credential stuffing sur les comptes Microsoft 365 et Google Workspace de PME ouest-africaines explosent depuis 2024. Activez le MFA pour 100 % des comptes humains. Les facteurs acceptables : application authenticator (Microsoft Authenticator, Google Authenticator, Aegis sur Android), clé FIDO2 (YubiKey 5C NFC vendue ~35 EUR soit ~22 950 FCFA importée), ou passkey synchronisée.

Bannissez le SMS comme facteur principal au Sénégal et en Côte d’Ivoire : SIM swap reste trivial chez certains opérateurs et les frais de roaming peuvent bloquer la réception en déplacement. Le SMS reste tolérable comme facteur de secours uniquement.

Interdisez par écrit les mots de passe partagés. Pour les comptes techniques (compte SMTP, compte FTP), utilisez un coffre d’équipe (Bitwarden Teams, Vaultwarden auto-hébergé, 1Password Business). Chaque accès est tracé, chaque secret est rotatif.

Étape 6 : automatiser l’attribution via groupes et SCIM

Cliquer manuellement pour donner accès à chaque application ne tient pas au-delà de 15 personnes. Activez SCIM (System for Cross-domain Identity Management) entre votre IdP et vos SaaS principaux. Quand vous ajoutez un utilisateur au groupe « Commercial » dans Entra ID, il reçoit automatiquement la licence Salesforce, l’accès au CRM Odoo et au dossier Drive « Ventes » dans la minute.

# Test rapide de provisioning SCIM (Entra ID)
# Dans Entra ID → Enterprise applications → [votre app] → Provisioning
# Mettre en On Demand puis sélectionner un utilisateur test
# Vérifier dans l'app cible que le compte apparaît avec les bons attributs

Test concluant : ajoutez ou retirez un utilisateur d’un groupe, vérifiez dans l’application cible que l’accès apparaît ou disparaît dans les 5 minutes. Si la synchro met une heure, vérifiez l’intervalle de provisioning et passez en SCIM 2.0 push si l’application le supporte.

Étape 7 : revoir les accès tous les trimestres (access review)

Sans revue régulière, les droits s’accumulent. Programmez une revue trimestrielle obligatoire. Exportez la liste des comptes par rôle, envoyez-la aux managers, exigez une validation explicite par ligne. Toute case non validée = accès retiré.

# Exemple de requête PowerShell pour Entra ID
Connect-MgGraph -Scopes "User.Read.All","GroupMember.Read.All"
Get-MgGroupMember -GroupId <ID-groupe-Compta> | 
  Select-Object DisplayName, UserPrincipalName, AccountEnabled |
  Export-Csv -Path .
evue-T1-2026-compta.csv -NoTypeInformation

Le CSV obtenu est envoyé au responsable comptable qui annote « OK » ou « retirer ». Vous appliquez ensuite les retraits dans la semaine. Documentez chaque revue dans un dossier daté : c’est votre preuve d’audit en cas de contrôle ou d’incident.

Étape 8 : préparer le départ d’un salarié (offboarding) en 15 minutes

Un départ mal géré, c’est un compte actif qui rôde pendant des mois. Préparez une checklist offboarding aussi rigoureuse que l’onboarding, déclenchée le jour J par le service RH ou le dirigeant.

# Checklist offboarding J+0 (à exécuter dans l'ordre)
1. Désactiver le compte dans l'IdP (NE PAS supprimer immédiatement)
2. Révoquer toutes les sessions actives (Sign-out everywhere)
3. Retirer des groupes métiers, conserver dans un groupe Archive
4. Transférer la propriété des fichiers Drive/SharePoint au manager
5. Mettre l'email en réponse automatique vers une boîte générique
6. Récupérer les jetons MFA physiques (YubiKey)
7. Révoquer les certificats VPN, clés SSH personnelles
8. À J+30 : supprimer définitivement le compte si aucune réclamation

Ce que vous devez voir : 15 minutes top chrono entre l’annonce du départ et la coupure effective de tous les accès. La désactivation différée à J+30 protège contre la perte de données métier oubliées dans la boîte mail.

Étape 9 : tracer, alerter et auditer en continu

Les logs ne servent à rien s’ils dorment dans un coin. Activez la journalisation centralisée des connexions IdP. Sur Entra ID, activez les Sign-in logs et exportez-les vers Microsoft Sentinel ou un Log Analytics workspace. Sur Google Workspace, activez l’export BigQuery des Audit Logs (gratuit jusqu’à 10 Go/mois).

Configurez trois alertes minimales : connexion depuis un pays inhabituel (hors Sénégal/zone CEDEAO selon votre cas), 5 échecs de MFA en moins d’une heure, élévation de privilèges hors heures ouvrables. Recevez ces alertes sur un canal dédié (Slack #securite, Mattermost, ou simplement un email à deux personnes).

Conservez les logs 12 mois minimum. En cas d’incident, vous pourrez reconstituer la chaîne d’événements. Sans logs, vous bricolez à l’aveugle et vous ne pouvez ni alerter vos clients ni améliorer votre dispositif.

Étape 10 : documenter, former, et tester deux fois par an

Un dispositif IAM qui n’est pas documenté meurt avec son administrateur. Rédigez un document court (5 à 10 pages) qui décrit : la matrice des rôles, le workflow d’onboarding, le workflow d’offboarding, la procédure de demande d’accès exceptionnel, les contacts en cas d’incident. Stockez-le dans le dossier RH et révisez-le chaque semestre.

Formez les managers : ce sont eux qui valident les accès, ils doivent comprendre la matrice. 30 minutes de session collective tous les six mois suffisent. Sur un angle proche sur les fondamentaux de gouvernance, consultez le checklist cybersécurité PME au Sénégal et le tutoriel SSO Keycloak pour PME.

Enfin, testez votre dispositif deux fois par an : simulez un départ d’urgence, vérifiez qu’aucun accès orphelin ne subsiste 24 h plus tard. Demandez à un collaborateur de tenter d’accéder à une ressource hors de son rôle : l’accès doit être refusé et l’événement doit apparaître dans les logs. Si l’un des deux tests échoue, corrigez avant la fin du mois.

Partager
#accès #droits #iam

Articles Similaires