14/02/2026
🔹 CyberSeconds #08 — Quand le mot de passe du stagiaire devient la clé du royaume
Dans une petite structure, la gestion des accès se révèle souvent hasardeuse : un mot de passe pour tout le monde, un compte créé “en vitesse” ou un fichier partagé sans trop se poser de questions.
Ces pratiques qui permettent de "gagner du temps" sont en réalité autant de dangers potentiels pour l'entreprise, et plusieurs scénarios affectant la D.I.C.T (vous vous souvenez 👀) peuvent survenir facilement.
D, comme "dommage…"
Un stagiaire ou collaborateur vient de quitter son poste. Il avait les accès à certains documents avec un compte lié à son adresse personnelle. Ces documents sont maintenant inaccessibles sans le bon vouloir de l'ex-employé.*
👉 C'est une atteinte à la disponibilité de la donnée et potentiellement à la continuité d'activité de l'entreprise.
PS : j'espère qu'il est parti en bons termes…
I, comme "Il a le droit ?!"
Ce même employé qui vient de partir, et qui a encore accès à des comptes et documents trouve que son nom devrait figurer en bas du document sur lequel il travaillait avant de partir, et puis "oh, il y a quelques erreurs dans les données et dans les tournures, je vais le mettre à jour pour leur rendre service !" (ou pas…).
👉 C'est une atteinte à l'intégrité des données, si elles peuvent être modifiées par des acteurs illégitimes, toute information est susceptible d'être fausse.
C, comme "C'était secret !"
Un contrat juteux vient d'être signé, et la nouvelle est partagée avec enthousiasme sur la messagerie instantanée interne. Si seulement la révocation des accès avait été faite… il va falloir expliquer au client pourquoi ce concurrent est au fait de la signature et propose la même solution moitié-prix !
👉 C'est une atteinte à la confidentialité des données, elle peut être catastrophique pour l'activité mais aussi pour la réputation, un partenaire qui laisse fuiter nos données n'est pas souvent recontacté…
"Chef, j'ai quelqu'un au téléphone pour vous…"
T, comme "T'es sûr ?"
Un fichier modifié, une info erronée, mais impossible d’identifier l’auteur : le log indique “[email protected]”.
Un compte partagé pour "aller plus vite", impossible d'identifier l'origine de la modification.
👉 Cette traçabilité est essentielle pour des investigations en cas de compromission, mais également pour le cœur de métier.
Ce sont des exemples basiques, infiniment déclinables, mais tous bien réels, et plus communs qu'il n'y parait !
C’est également un excellent résumé des risques liés à une gestion des accès “à la bonne franquette”.
1️⃣ Un petit tour d'horizon.
Pas besoin d’un service IT ou d’un annuaire géant.
Commencez par lister les outils essentiels : messagerie, stockage, compta, réseaux sociaux, logiciels métiers…
Notez simplement qui a accès à quoi, avec quelle adresse, et corrigez ou supprimez au besoin. Même si ce n'est pas parfait, chaque porte fermée est bonne à prendre.
💡 Ce seul inventaire met souvent en lumière des comptes oubliés ou des accès personnels à des outils pro.
2️⃣ Un compte pour les gouverner tous.
Une personne = un compte : c’est la règle d’or. Le principe "d'identité" est très important en cybersécurité, comme dans le quotidien.
Chaque collaborateur (même temporaire) doit avoir son propre compte, relié à une adresse pro.
💡 Plus simple pour révoquer un accès sans tout casser et pour garder une traçabilité.
💡 Pour les comptes de service : identifiants stockés de manière sécurisée (3) + seul les administrateurs du service qui y ont accès (4) + utilisation du compte uniquement pour les actions liées au service, cela permet une traçabilité et une détection plus rapide en cas d'utilisation frauduleuse.
3️⃣ Gestionnaire ≠ post-it.
Le gestionnaire de mots de passe, c’est la version moderne du classeur qu’on ne perd pas.
💡 Bitwarden, LastPass, 1Password… tous permettent de créer des coffres partagés et de retirer l’accès en un clic quand c'est nécessaire.
Et oui : activez la double authentification dessus aussi.
4️⃣ Les privilèges : quand moins = plus.
Tout le monde n’a pas besoin d’avoir accès à tout, c'est le principe du "moindre privilège".
Tant que possible, il faut donner à chacun juste les droits nécessaires à sa mission. Moins de privilèges inutiles, plus de sécurité.
💡 Ça évite à la fois les erreurs, les suppressions malencontreuses, et les mauvaises surprises. Cela touche aux trois piliers : D.I.C.
5️⃣ Encore et toujours : formation et sensibilisation
Les erreurs sont rarement malintentionnées mais quand le mal est fait : le résultat est le même.
"Je ne savais pas, je suis désolé", "Je ne pensais pas que…", "Ah bon ? Mais on ne m'en avait jamais parlé !"
La stratégie et les outils peuvent être bons, si les comportements ne le sont pas, tout tombe à l'eau. C'est pourquoi il est important que le changement soit accompagné : 1h aujourd'hui, c'est une crise de moins avant la fin de l'année.
💡 Documentez clairement les outils et les process, ça fait une base de connaissances commune à laquelle tout le monde peut se référer.
💬 Au final, les bonnes pratiques qui peuvent sembler un peu contraignantes au début sont autant de pièges évités.
C’est une histoire d’organisation, de rigueur, de continuité, mais surtout de bon sens.
Et dans une petite structure, c’est souvent ce qui fait la différence entre un incident mineur et un véritable chaos.