Le mot de passe du serveur principal est dans la tête de votre responsable IT. Ou sur un Post-it collé sous son clavier. Ou dans un fichier Excel partagé par email il y a deux ans. Quand il part en vacances - ou qu'il quitte l'entreprise - vous réalisez que l'accès à votre infrastructure repose sur une information que personne d'autre ne détient formellement. Ce scénario se répète dans des centaines de PME marocaines. Il existe des solutions simples pour ne plus y être exposé.

Le vrai problème avec les accès informatiques partagés

Dans une PME, les accès informatiques se multiplient rapidement : mot de passe WiFi, accès VPN, compte administrateur serveur, identifiants base de données, accès applications métier, panneau d'administration du site web, portail opérateur télécom... Chacun de ces accès représente une porte d'entrée dans votre infrastructure.

Les pratiques courantes pour les gérer créent des risques concrets :

  • Post-it et papiers : lisibles par n'importe qui dans l'open space, perdus lors d'un réaménagement
  • Fichier Excel partagé : non chiffré, copié sur plusieurs postes, envoyé par email - une fuite de données potentielle
  • Transmission orale : "le mot de passe du serveur, c'est Gestit2024" - mémorisé par certains, oublié par d'autres, jamais mis à jour
  • Un seul détenteur : le responsable IT "sait tout" - jusqu'à ce qu'il soit absent au mauvais moment
💡 Situation réelle : Un prestataire IT externe intervient sur votre serveur. Vous lui communiquez le mot de passe administrateur par SMS. Ce mot de passe n'a jamais été changé depuis. Vous ne savez pas s'il a d'autres copies. Il n'a jamais été révoqué après la fin de sa mission.

Les types d'accès IT à gérer dans une PME

Avant de sécuriser quoi que ce soit, il faut savoir ce qu'on a à protéger. Dans une PME de taille moyenne, la liste est plus longue qu'on ne le croit :

  • Réseau : WiFi entreprise (clé WPA2/WPA3), WiFi invité, accès switch/routeur, VLAN
  • Accès distants : VPN (credentials + certificats), RDP, SSH serveurs
  • Serveurs et systèmes : comptes administrateurs Windows Server, Linux root, NAS, hyperviseur
  • Bases de données : MySQL, PostgreSQL, SQL Server - comptes applicatifs et comptes admin
  • Applications métier : ERP, CRM, logiciels de comptabilité - comptes super admin distincts des comptes utilisateurs
  • Autres : hébergeur web, registrar de domaine, portail opérateur, boîtes mail génériques (contact@, info@)

Chacun de ces accès devrait être documenté avec : l'identifiant, le mot de passe, l'URL ou l'adresse d'accès, et l'équipement ou service concerné.

Ce qui se passe lors d'un départ de salarié

Le départ d'un responsable IT ou d'un technicien informatique expose souvent une réalité inconfortable : personne d'autre dans l'entreprise ne connaît certains accès critiques. Cas typiques :

  • Le seul salarié qui connaissait le mot de passe root du serveur Linux part le vendredi
  • Une panne survient le lundi suivant
  • Récupérer l'accès nécessite une intervention d'urgence facturée plusieurs milliers de dirhams, ou une remise à zéro partielle du système

Inversement, sans inventaire formalisé, il est impossible de savoir quels accès révoquer lors d'un départ. Un ancien salarié peut techniquement conserver l'accès au VPN ou aux applications cloud pendant des semaines après son départ - simplement parce que personne n'a pensé à désactiver son compte.

⚠️ Obligation légale : En cas d'incident de sécurité, vous devrez démontrer que les accès ex-salariés ont été révoqués rapidement. L'absence de traçabilité expose l'entreprise à des responsabilités. La question n'est pas "si" un incident survient, mais "quand" - et comment vous vous en protégez.

Le chiffrement : pourquoi c'est indispensable

Stocker des mots de passe en clair - dans un fichier texte, un tableau Excel ou une note partagée - revient à laisser les clés de votre entreprise sur le rebord de la fenêtre. Si le fichier est accessible depuis le réseau interne, n'importe quel salarié ou prestataire peut y accéder.

Un coffre-fort numérique professionnel chiffre les données avant de les stocker. Cela signifie que même si la base de données était compromise, les mots de passe seraient illisibles sans la clé de déchiffrement. Le standard AES-256, utilisé par les applications bancaires et les administrations, rend un déchiffrement par force brute pratiquement impossible.

La différence concrète pour votre PME : le mot de passe du serveur n'est jamais lisible "en clair" dans la base de données - il ne l'est que dans l'interface sécurisée, par l'utilisateur autorisé, au moment où il en a besoin.

Bonnes pratiques pour structurer vos accès IT

Un seul endroit, accessible à plusieurs. Le coffre-fort numérique doit être accessible à au moins deux personnes de confiance - pas seulement à une. L'objectif est de supprimer les points de défaillance uniques.

Lier les accès aux équipements. Un accès VPN est lié à votre firewall. Un compte administrateur est lié à votre serveur. Cette association permet de retrouver rapidement tous les accès d'un équipement donné lors d'une intervention - ou lors d'un remplacement.

Changer les mots de passe partagés après chaque départ. Tout accès connu d'un salarié qui quitte l'entreprise doit être modifié. Pas dans les semaines suivantes - dans les jours qui suivent le départ.

Ne pas confondre coffre-fort IT et gestionnaire de mots de passe personnel. Les outils comme LastPass ou Bitwarden sont conçus pour un usage individuel. La gestion des accès IT partagés d'une PME nécessite un outil qui lie les credentials aux équipements, gère les accès par rôle, et conserve un historique.

Reprendre le contrôle de vos accès

Constituer un inventaire des accès IT prend une demi-journée. Le tenir à jour, c'est une autre histoire : ça ne marche que si le réflexe entre dans vos habitudes. Un nouvel accès se crée ? On l'enregistre dans la foulée. Un salarié part ? On passe en revue ce qu'il connaissait avant son dernier jour.

GestIT intègre un coffre-fort numérique chiffré AES-256 directement dans votre gestion de parc informatique. Chaque credential est lié à l'équipement ou au service correspondant, accessible uniquement aux utilisateurs autorisés, et jamais stocké en clair. Quand votre prochain responsable IT prend son poste, ou quand un prestataire intervient à 22h sur votre serveur, les accès sont disponibles en quelques secondes - sans passer par le téléphone de quelqu'un d'autre.