Aller au contenu principal
Sécurité Guide pratique PME

Appliquer le principe du moindre privilège

Disposez-vous d'une politique de gestion des accès (principe du moindre privilège) ?

En bref — ce que vous devez retenir

Le moindre privilège signifie que chaque utilisateur n'accède qu'aux ressources dont il a besoin pour son travail — ni plus. Quand un compte est compromis, cette règle limite les dégâts à son périmètre d'accès plutôt qu'à toute l'entreprise.

? Nature du problème

Dans beaucoup de PME, tout le monde a accès à tout : les commerciaux voient les données RH, les stagiaires ont des droits admin, les comptes partagés permettent à n'importe qui de tout modifier. Quand un compte est compromis (phishing, mot de passe volé), l'attaquant hérite de tous ces accès.

Le principe du moindre privilège (Least Privilege) est simple : un commercial a besoin du CRM, pas du serveur de fichiers RH. Un comptable a besoin du logiciel de facturation, pas du dossier de brevets R&D. En limitant les accès, vous limitez la surface d'attaque.

Le moindre privilège s'applique aussi aux comptes de service et aux applications : une application qui n'a besoin que de lire une base de données ne devrait jamais avoir les droits d'écriture ou de suppression. Les applications mal configurées avec des droits excessifs sont exploitées lors d'injections SQL ou d'attaques sur les APIs.

La gestion des comptes de départ est souvent négligée : un employé qui quitte l'entreprise doit voir tous ses accès révoqués le jour même. Des études montrent que 30 % des anciens employés conservent des accès actifs 3 mois après leur départ — parfois utilisés intentionnellement ou exploités par des tiers.

Comment corriger — étape par étape

  1. Inventaire des accès : listez tous les systèmes et qui y a accès (tableur simple)
  2. Supprimez les droits admin locaux sur les postes de travail — seul l'IT en a besoin
  3. Segmentez par rôle : créez des groupes (commercial, RH, direction, IT) et assignez les accès par groupe
  4. Revue des accès : tous les 6 mois, vérifiez qui a accès à quoi et supprimez les accès obsolètes (personnes parties, rôles changés)
  5. Comptes de service : chaque application a son propre compte avec les droits minimum nécessaires
  6. Journalisation : activez les logs d'accès sur les ressources sensibles

! Incidents réels

Agence web — Bordeaux, 2022

Un développeur junior (stagiaire) avait reçu des droits admin sur le serveur de production "pour aller plus vite". Son poste a été compromis par un malware. L'attaquant a eu accès à toutes les bases de données clients de l'agence.

Cabinet médical — Strasbourg, 2023

"Une secrétaire médicale avait accès à tous les dossiers patients, même ceux qu'elle ne gérait pas. Quand son compte a été compromis, 3 000 dossiers sensibles ont fuité."

PME logistique — Nantes, 2023

"Un ancien employé du service IT gardait ses accès administrateurs 6 mois après son départ — personne n'avait pensé à les révoquer. Il a accédé à nos systèmes depuis l'étranger et exfiltré notre base de données clients. On l'a découvert lors d'un audit de sécurité trimestriel."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →