Go DSI
DSI Externalisé à Temps Partagé pour TPE/PME
Secrets
My GO DSI

Comment je sécurise et je gère les accès IT pour mes différents clients PME ?

Ma méthodologie pour gérer les accès sensibles repose sur trois piliers : centralisation, usage contrôlé et transparence totale avec mes clients et leurs prestataires.
coffre-fort électronique
Patrice Bonhomme
août 11, 2025
DSI à Temps Partagé Sarthe Le Mans

Introduction – La confiance passe aussi par la gestion des accès

Dans mon rôle de DSI à Temps Partagé, j’accède régulièrement à des infrastructures critiques, à des applications métiers, à des environnements cloud et SaaS et parfois à des données particulièrement sensibles. Ces accès ne sont pas anodins : Un mot de passe administrateur ou un compte à privilèges mal protégé peut devenir une faille ouverte à des risques majeurs pour l’entreprise.

Pour mes clients, la confiance repose aussi sur ma capacité à garantir que ces accès sont protégés, centralisés, tracés et utilisés uniquement dans le cadre strict de ma mission. C’est pourquoi j’ai mis en place un protocole clair et transparent, qui repose sur des outils éprouvés, des pratiques rigoureuses et des engagements contractuels.

1. Les enjeux d’une gestion rigoureuse des accès sensibles

La gestion des accès sensibles ne se limite pas à savoir qui possède tel ou tel mot de passe. Elle touche directement à la sécurité, à la conformité et à la pérennité de l’entreprise.
Dans un contexte où les menaces informatiques augmentent et où les systèmes sont de plus en plus interconnectés, la moindre faiblesse peut avoir des conséquences majeures.

1.1. Des accès qui ouvrent toutes les portes

Dans une PME, un accès administrateur ou à privilèges élevés ne donne pas seulement accès à une application : Il ouvre souvent la porte à un ensemble d’outils interconnectés.
Par exemple :

  • Un compte Microsoft 365 administrateur donne accès à la messagerie, à OneDrive, à SharePoint et aux groupes Teams.
  • Un accès administrateur ERP peut permettre de manipuler les données clients, fournisseurs, commandes et facturations.
  • Un compte root sur un serveur ou un firewall peut permettre de modifier ou désactiver les règles de sécurité, voire de déconnecter complètement l’entreprise d’Internet.

En d’autres termes : Un seul compte mal protégé peut devenir la clé de l’ensemble du système d’information.

1.2. Les risques concrets d’une mauvaise gestion

Sans gestion rigoureuse, les risques sont multiples et souvent sous-estimés :

  • Intrusions malveillantes :
    Un identifiant compromis peut être utilisé par un cybercriminel pour voler, chiffrer ou effacer des données.
    Exemple : Un mot de passe administrateur réutilisé sur plusieurs services et exposé dans une fuite de données publique.
  • Comptes orphelins :
    Des anciens prestataires ou collaborateurs conservent des accès actifs, parfois pendant des années, faute de processus de révocation clair.
  • Perte de traçabilité :
    Si plusieurs personnes utilisent le même compte, il devient impossible de savoir qui a réalisé telle action, rendant les audits compliqués.
  • Facturation abusive :
    Des accès non surveillés à des environnements cloud peuvent être utilisés pour déployer des ressources coûteuses (machines virtuelles, stockage), générant des surcoûts imprévus.

1.3. Un enjeu réglementaire et contractuel

La question des accès sensibles n’est pas qu’une problématique technique :

  • RGPD : Les entreprises doivent être en mesure de prouver qu’elles protègent les données personnelles, ce qui inclut le contrôle des accès.
  • Directive NIS2 (pour certains secteurs) : Obligation de sécuriser et de contrôler l’accès aux systèmes critiques.
  • Exigences contractuelles : Certains donneurs d’ordre imposent une gestion documentée des accès pour autoriser la sous-traitance.

Une gestion laxiste des accès peut donc mener non seulement à des failles de sécurité, mais aussi à des sanctions financières ou contractuelles.

1.4. Une problématique souvent négligée par les PME

Beaucoup de PME pensent que ce sujet ne les concerne pas directement, jusqu’à ce qu’un incident survienne. Les raisons les plus fréquentes :

  • Accès gérés « à la bonne franquette » (Excel, Post-it, e-mails).
  • Pas de politique claire de création, modification et suppression des accès.
  • Confiance implicite envers tous les prestataires, sans vérification régulière.

Pourtant, un dirigeant de PME ne laisserait jamais la clé de son coffre-fort à une personne qui n’est plus dans l’entreprise. Les accès informatiques devraient être gérés avec la même vigilance.

A retenir
Une gestion rigoureuse des accès sensibles, c’est protéger l’entreprise contre les intrusions, éviter les fuites de données, assurer la conformité réglementaire et gagner en sérénité. C’est aussi une marque de professionnalisme et de transparence vis-à-vis des clients, partenaires et prestataires.

2. Centralisation et traçabilité via Passbolt

Une gestion sécurisée des accès commence par une centralisation. Sans un point unique où tous les identifiants sont stockés, protégés et organisés, les accès finissent dispersés entre différents outils, fichiers ou e-mails, augmentant mécaniquement le risque d’oubli ou de fuite.

Pour éviter cela, j’ai fait le choix d’utiliser Passbolt, un gestionnaire de mots de passe collaboratif, open source et conçu pour les équipes. Cet outil me permet d’allier sécurité, organisation et transparence dans la gestion des accès de mes clients.

2.1. Un coffre-fort sécurisé et chiffré

Passbolt repose sur un chiffrement de bout en bout :

  • Les mots de passe sont chiffrés localement avant même d’être envoyés sur le serveur.
  • Seules les personnes autorisées et équipées de leur clé personnelle peuvent les déchiffrer.
  • Même l’administrateur de la plateforme (moi) ne peut pas lire un mot de passe sans y avoir été explicitement ajouté.

Ce niveau de sécurité empêche quiconque – interne ou externe – d’accéder aux identifiants sans autorisation.

2.2. Organisation par client et par périmètre

Chaque client dispose d’un espace dédié dans Passbolt, organisé en groupes pour séparer les environnements et limiter les droits d’accès.

Exemple d’organisation :

  • Groupe “Informatique” → Accès aux serveurs, routeurs, firewalls, sauvegardes.
  • Groupe “ERP” → Comptes administrateurs et techniques de l’ERP.
  • Groupe “Cloud” → Accès aux environnements Microsoft 365, Google Workspace, AWS, etc.

Cet ordonnancement permet :

  • D’éviter qu’un utilisateur voie des accès qui ne le concernent pas.
  • De segmenter les privilèges et de limiter l’exposition des informations sensibles.

2.3. Gestion des partages avec les clients et prestataires

Passbolt facilite un partage contrôlé :

  • Lorsqu’un prestataire a besoin d’un accès, je peux l’ajouter à un groupe spécifique temporairement.
  • Une fois sa mission terminée, l’accès est retiré immédiatement, sans laisser de compte dormant.
  • Les clients peuvent également accéder aux identifiants qui les concernent directement, pour garder la main sur leurs ressources.

Ce mode de fonctionnement garantit que personne n’a plus d’accès que nécessaire, ni plus longtemps que nécessaire.

2.4. Historique et traçabilité des modifications

Chaque action dans Passbolt est journalisée :

  • Qui a créé un accès.
  • Qui l’a consulté.
  • Qui l’a modifié ou supprimé.

En cas d’incident, il est donc possible de retracer précisément l’historique des accès et de comprendre qui a fait quoi, et à quel moment.
C’est un élément clé pour la gestion des incidents et pour répondre aux audits de conformité.

En résumé
Passbolt n’est pas qu’un simple coffre-fort à mots de passe : c’est un système de gestion et de gouvernance des accès qui apporte sécurité, visibilité et maîtrise, tout en restant flexible pour travailler avec plusieurs acteurs autour d’un même SI.

3. Des règles strictes d’utilisation des accès

Centraliser les identifiants et en garder la traçabilité est une base solide mais cela ne suffit pas. La sécurité repose aussi sur des règles claires d’utilisation appliquées systématiquement, quels que soient le client, le contexte ou le type d’accès. Ces règles sont à la fois des engagements personnels et des bonnes pratiques que je mets en place pour protéger le système d’information de mes clients.

Règle n°1 : Utilisation uniquement pendant la mission

Chaque accès que je reçois est utilisé exclusivement dans le cadre de la mission pour laquelle il m’a été confié. Cela signifie concrètement :

  • Aucune connexion en dehors des périodes de travail prévues ou des interventions planifiées.
  • Aucun usage pour des actions non liées à ma mission, même si techniquement cela serait possible.
  • Révocation ou suppression des accès dès la fin du projet, afin qu’ils ne restent pas actifs inutilement.
    Cette discipline évite que des comptes inactifs ou inutilisés deviennent une porte d’entrée pour des personnes mal intentionnées.

Règle n°2 : Authentification à double facteur systématique

Dès qu’une solution le permet, j’active l’authentification à double facteur (2FA). Cette couche supplémentaire de protection réduit considérablement le risque qu’un accès soit compromis, même si un mot de passe venait à être divulgué.
Pour cela, j’utilise :

  • Des applications comme Google Authenticator, Microsoft Authenticator ou Authy.
  • Des clés physiques de type YubiKey pour les systèmes critiques.
    En sensibilisant également mes clients et leurs prestataires à l’importance du 2FA, on renforce collectivement la sécurité des environnements.

Règle n°3 : Identité claire et traçable

Je me connecte toujours avec une adresse e-mail professionnelle fournie par le client, généralement rattachée à un groupe spécifique comme « informatique » ou « dsi ».
Les bénéfices sont multiples :

  • Chaque action effectuée est enregistrée dans les journaux systèmes sous cette identité dédiée.
  • Le client peut savoir exactement quelles opérations ont été réalisées par moi, sans confusion avec d’autres utilisateurs.
  • En cas d’audit ou d’incident, la traçabilité est immédiate.
    C’est un principe simple mais essentiel pour la transparence et la responsabilité.

Ces règles ne sont pas négociables : Elles font partie intégrante de mon mode de fonctionnement et de mon engagement auprès des dirigeants de PME. Elles garantissent que mes interventions se déroulent dans un cadre sûr, transparent et conforme aux bonnes pratiques de cybersécurité.

4. Collaboration fluide avec le client et ses partenaires

La gestion des accès sensibles ne se fait pas en vase clos. Pour être efficace, elle doit s’intégrer dans un fonctionnement fluide entre le client, ses prestataires techniques et moi-même. Mon rôle, en tant que DSI à Temps Partagé, est justement de faciliter ces échanges tout en maintenant un haut niveau de sécurité et de contrôle.

4.1. Un processus transparent et partagé

Dès le départ, le client sait exactement comment les accès sont gérés et peut à tout moment vérifier :

  • Qui dispose de quel accès.
  • Dans quel cadre cet accès est utilisé.
  • Quand il a été attribué et quand il sera révoqué.
    Chaque demande d’accès est validée et documentée. Cette transparence crée un climat de confiance et permet au dirigeant de rester maître de son système d’information.

4.2. Coordination optimisée avec les prestataires

En tant que point de contact technique central, je coordonne la gestion des accès pour éviter les échanges de mots de passe non sécurisés par e-mail ou téléphone. Les prestataires gagnent en efficacité :

  • Les identifiants sont prêts et sécurisés.
  • Les permissions sont précisément ajustées à leurs besoins.
  • La durée de validité des accès est connue dès le départ.
    Cela limite les interventions d’urgence liées à des problèmes de connexion ou d’autorisations manquantes.

4.3. Gestion des accès en mode projet

Lors de projets impliquant plusieurs acteurs (migration d’ERP, déploiement d’un nouvel outil, refonte réseau…), je crée des groupes d’accès spécifiques au projet.
Par exemple :

  • Groupe « ERP Migration » contenant les accès aux environnements de test et, temporairement, à la production.
  • Groupe « Infra Rénovation » pour les interventions sur les serveurs, pare-feu et sauvegardes.
    Ces groupes sont dissous dès la fin du projet, supprimant d’un coup tous les accès associés. Cette approche évite les oublis et les comptes dormants, tout en facilitant la collaboration pendant les phases critiques.

En agissant comme interface entre le client et ses partenaires techniques, je garantis un équilibre entre fluidité opérationnelle et rigueur sécuritaire. Personne n’a plus d’accès que nécessaire mais tout le monde a ce qu’il faut pour travailler efficacement et sereinement.

5. Bénéfices pour le client

Mettre en place une gestion centralisée, contrôlée et transparente des accès sensibles ne profite pas seulement à la sécurité informatique : Cela a un impact direct sur la sérénité du dirigeant, la conformité réglementaire et l’efficacité des opérations. Les bénéfices sont tangibles, mesurables et durables.

Bénéfice n°1 : Une sécurité renforcée au quotidien

En appliquant systématiquement la centralisation, la segmentation des accès, l’authentification à double facteur et la révocation rapide, on réduit drastiquement les risques de compromission. Les scénarios les plus fréquents de faille – comptes orphelins, mots de passe réutilisés, accès non maîtrisés – disparaissent quasiment.
Résultat :

  • Moins d’alertes de sécurité.
  • Moins d’incidents liés à des intrusions ou à des erreurs humaines.
  • Un système d’information globalement plus résilient.

Bénéfice n°2 : Une conformité réglementaire facilitée

Pour les PME, prouver qu’elles maîtrisent les accès sensibles est un enjeu croissant, notamment face aux exigences :

  • RGPD pour la protection des données personnelles.
  • Directive NIS2 pour les secteurs critiques.
  • Normes ISO (27001, 9001) ou exigences clients dans les appels d’offres.
    Avec une gestion rigoureuse et documentée, le client peut répondre facilement à un audit ou à un questionnaire de conformité, en produisant un historique complet et des preuves de sécurisation.

Bénéfice n°3 : Un gain de temps et de productivité

En éliminant les pertes de temps liées aux recherches de mots de passe, aux blocages d’accès ou aux demandes urgentes de réinitialisation, les équipes et les prestataires peuvent se concentrer sur leur travail.

La gestion anticipée des droits évite les interruptions lors de projets critiques, et les procédures claires réduisent les frictions entre les intervenants.

Le dirigeant, lui, gagne en sérénité : Il sait que la gestion des accès ne repose pas sur des pratiques improvisées, mais sur un système fiable et éprouvé.

Bénéfice n°4 : Une relation de confiance renforcée

En montrant que les accès sont gérés avec rigueur, traçabilité et transparence, on renforce la relation entre le dirigeant, ses prestataires et ses partenaires. Cette confiance est précieuse : elle facilite les échanges, accélère les prises de décision et améliore la collaboration globale autour du système d’information.

En résumé
Une gestion rigoureuse des accès sensibles ne se limite pas à « faire de l’informatique en sécurité » : C’est un investissement dans la continuité de l’activité, la crédibilité de l’entreprise et la fluidité des opérations.

Pour conclure : Sécurité, transparence et efficacité au service du client

La gestion des accès sensibles est souvent perçue comme un détail technique, mais c’est en réalité un pilier de la sécurité et de la continuité d’activité.

En centralisant les identifiants dans un outil sécurisé comme Passbolt, en appliquant des règles strictes d’utilisation, en activant le 2FA et en collaborant de manière fluide avec les clients et leurs prestataires, j’assure que chaque intervention se déroule dans un cadre sécurisé, transparent et maîtrisé.

Ce fonctionnement protège non seulement les données et les systèmes, mais il renforce aussi la confiance entre tous les acteurs impliqués : Dirigeants, équipes internes et partenaires externes. Pour une PME, c’est la garantie que son système d’information reste entre de bonnes mains, même lorsque plusieurs intervenants techniques travaillent dessus.

Mon engagement est simple : Des accès gérés avec rigueur, utilisés uniquement dans le cadre de la mission, et révoqués dès qu’ils ne sont plus nécessaires. C’est un gage de sérénité pour le dirigeant… et une assurance que la clé de son système d’information n’est jamais laissée sans surveillance.

Et enfin, de manière très égoïste, c'est aussi une vrai tranquillité et une facilité pour ma propre organisation dans un contexte multi-clients.

📌 Prêt à mettre de l’ordre dans la gestion de vos accès sensibles ?
Contactez-moi pour un diagnostic rapide et découvrez comment sécuriser vos accès tout en simplifiant la collaboration avec vos prestataires. Réservez en ligne votre créneau pour un appel découverte de 30mn gratuit et sans engagement.

Partager l'article sur :

Facebook
Email