🔐 SwissForts
Gestion des identités et des accès : pourquoi "un compte par utilisateur" ne suffit plus
CT
Donner un compte à chaque collaborateur, c'était la bonne pratique d'il y a dix ans. Aujourd'hui, la vraie question n'est plus qui a un compte — mais à quoi chaque compte peut réellement accéder.
16/06/2026
10:10
Le problème : l'accumulation silencieuse des droits
Dans la plupart des organisations, la gestion des accès suit une logique d'ajout, jamais de retrait. Un collaborateur change de poste : on lui donne les accès du nouveau rôle, on oublie de retirer ceux de l'ancien. Un projet temporaire nécessite un accès : il est accordé, puis jamais révoqué. Une demande urgente passe par un accès administrateur "juste pour cette fois" : il reste actif des années. Le résultat est une accumulation silencieuse. Au bout de quelques années, plus personne ne sait réellement qui a accès à quoi — ni pourquoi. Et chaque accès excédentaire est un risque : si le compte est compromis, l'attaquant hérite de tous ces droits accumulés. C'est précisément ce que le principe du moindre privilège vise à corriger : chaque utilisateur, chaque application, chaque service ne devrait disposer que des accès strictement nécessaires à sa fonction — ni plus, ni moins.
Ce qu'on observe dans les PME et communes romandes
Dans une PME de services de 50 collaborateurs, nous avons découvert que 32 comptes sur 50 disposaient de droits d'administrateur local sur leur poste — souvent hérités d'une configuration initiale jamais révisée. Un seul de ces postes compromis offrait à un attaquant un point d'appui privilégié pour se propager sur le réseau. Dans une commune vaudoise, le compte d'un stagiaire parti depuis huit mois était toujours actif — avec un accès complet au système de gestion des administrés, incluant des données personnelles sensibles. Personne n'avait pensé à le désactiver à la fin du stage. La nLPD impose le principe de minimisation des données et exige que l'accès aux données personnelles soit limité aux personnes qui en ont besoin. Un système où chacun peut accéder à tout n'est pas conforme à cet esprit. En cas d'incident, l'étendue des accès d'un compte compromis détermine directement l'ampleur de la violation — et donc de vos obligations de notification.
Les 3 points à corriger en priorité
1. Trop de comptes administrateurs Le compte administrateur ne devrait être utilisé que pour les tâches qui l'exigent réellement — et jamais pour le travail quotidien. Dans la majorité des PME, des collaborateurs travaillent en permanence avec des droits administrateur, par confort. Un poste administrateur compromis donne à l'attaquant les clés du royaume. La séparation entre compte quotidien et compte administrateur est une mesure fondamentale et souvent absente. 2. Aucune revue périodique des accès Les accès s'accumulent parce que personne ne les revoit. Une revue trimestrielle ou semestrielle — qui a accès à quoi, est-ce toujours justifié — permet de retirer les droits excédentaires avant qu'ils ne deviennent un risque. Cette revue n'a pas besoin d'être complexe : elle a besoin d'être régulière. 3. Pas de procédure d'offboarding systématique Chaque départ de collaborateur doit déclencher une révocation immédiate et complète de tous ses accès — messagerie, VPN, outils cloud, applications métier, accès physiques. Pas "quand l'IT aura le temps". Immédiatement. Les comptes orphelins d'anciens collaborateurs sont parmi les vecteurs d'intrusion les plus exploités — précisément parce que personne ne les surveille.
L'approche Computis : appliquer le moindre privilège à votre échelle
La gestion des identités et des accès n'est pas un projet de grande entreprise. C'est une discipline qui se met en place progressivement, à la taille de votre structure, avec des outils adaptés à votre environnement Microsoft 365, Google Workspace ou infrastructure on-premise. Chez Computis, notre approche fonctionne en trois temps. D'abord, un audit préliminaire : cartographie complète des comptes et des droits, identification des comptes orphelins, détection des privilèges excédentaires, revue des comptes administrateurs. Ensuite, la mise en conformité : application du moindre privilège, séparation des comptes administrateurs, mise en place des procédures d'onboarding et d'offboarding. Enfin, le suivi : revue périodique des accès, alerte sur les changements de droits sensibles, intégration dans votre routine de gestion IT.
Un collaborateur moyen a accès à 3 à 5 fois plus de ressources que son rôle ne l'exige. Le principe du moindre privilège expliqué pour les PME romandes.
FAQ
Le moindre privilège, ça ne va pas compliquer le travail de nos équipes ?
Non, si c'est bien fait. Le moindre privilège ne consiste pas à restreindre arbitrairement — il consiste à donner à chacun exactement ce dont il a besoin pour travailler. Bien configuré, il est invisible au quotidien. C'est uniquement en cas d'incident que sa valeur apparaît.
Nous sommes une petite structure — avons-nous vraiment besoin de gérer les accès aussi finement ?
Oui. Une petite structure a souvent moins de comptes, mais une plus forte concentration de droits par compte — parce que les rôles se cumulent. Le risque par compte compromis est donc plus élevé, pas moins. La gestion des accès est aussi pertinente pour 10 personnes que pour 1000.
La nLPD nous impose-t-elle de gérer les accès aux données ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe — vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.
Nous n'avons pas d'équipe IT interne — Computis peut-il gérer tout cela à notre place ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe — vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.
Comment fonctionne l'audit préliminaire Computis sur ce sujet ?
L'audit préliminaire est une prestation payante qui produit un rapport documenté : cartographie des comptes et des droits, comptes orphelins identifiés, privilèges excédentaires détectés, recommandations priorisées. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous.
Sujets abordés
IAM
Moindre privilège
Gestion des accès
SwissForts
nLPD
PME Suisse
Savez-vous exactement qui a accès à quoi dans votre organisation — et pourquoi ?
Chez Computis, nous réalisons un audit préliminaire de votre gestion des identités et des accès pour les PME et communes romandes sans équipe IT dédiée. Cartographie des droits, comptes orphelins, privilèges excédentaires — rapport documenté. Notre audit préliminaire est payant et sérieux. Son coût est intégralement déduit de la prestation si vous décidez de travailler avec nous. Cybersécurité, cloud ou réseau — un seul interlocuteur chez Computis.
