D’une manière générale, aucun code d’accès ne doit apparaître dans un fichier. Ils ne doivent également jamais être transmis aux clients et inversement.
Quelques règles sont à respecter :
- Activer l’authentification double facteur
- Utiliser toujours vos adresses professionnelles pour une utilisation professionnelle
- N’acceptez sous aucun prétexte un code client
- Loggez vous uniquement avec Google (SSO) aux plateformes
Identification par Google
La plupart des applications et autres sites internet proposent des inscriptions via l’API (SSO). Il faut privilégier ce type d’inscription et de login.
Attention, il vous sera demandé un double facteur. Il faut que l’application GMail soit téléchargée sur vos portables ou activez la double authentification via le mail ou le téléphone ou utilisez une application authenticator.
Mettez votre photo dans votre compte google. C’est important. Cela permet de différencier les comptes si vous en avez plusieurs. D’une manière générale il faut mettre vos photos (Furious, Go-visually,…) cela est plus convivial et permet encore une fois une reconnaissance plus rapide des personnes.
Utilisation du gestionnaire de mot de passe Google
L’usage d’un gestionnaire de mots de passe d’entreprise, comme celui intégré à Google Workspace, permet d’élever significativement le niveau de sécurité global sans complexifier le quotidien des collaborateurs. En centralisant et en chiffrant les identifiants, il réduit drastiquement les mauvaises pratiques (mots de passe faibles, réutilisation, post-it, fichiers Excel non sécurisés) et limite les risques de compromission des comptes, qui restent aujourd’hui l’un des premiers vecteurs d’attaque. Couplé à l’authentification forte (MFA), il constitue un socle simple mais robuste de la posture de cybersécurité.
Au-delà de la sécurité, le gestionnaire de mots de passe apporte un vrai gain opérationnel : partage contrôlé d’accès entre équipes, continuité de service lors des départs ou absences, et réduction de la dépendance à des comptes personnels non maîtrisés. Il facilite également l’onboarding et l’offboarding des collaborateurs, tout en renforçant la gouvernance IT (traçabilité, révocation rapide des accès, standardisation des pratiques). C’est un levier à la fois pragmatique et structurant pour professionnaliser la gestion des accès dans une organisation en croissance.
L’authentification double facteur
Cela vaut pour Google mais aussi pour tous les comptes pro en général. Activez l’authentification double facteur et multipliez les moyens de récupérer vos codes.
L’authentification double facteur est obligatoire lors de l’utilisation professionnelle de vos comptes. Par exemple, il n’est pas possible d’utiliser le business manager de meta sans la double authentification.
Les moyens de récupération de vos comptes doivent être complétés au maximum. Vous devez :
- Ajouter votre téléphone perso.
- Ajouter votre Email perso en deuxième adresse.
- utiliser authenticator (celui de Google)
L’utilisation d’une application “Authentificator”.
Lorsque vous multipliez les logins en vous connectant avec une double authentification vous pouvez aussi mutualiser les moyens de connexion avec une application. Il en existe de nombreuses. La plus connue étant celle de Microsoft. Étant dans un environnement Google, nous proposons d’utiliser l’application Google avec votre login professionnel. Cette application à l’avantage depuis peu d’enregistrer les comptes en ligne et donc de pouvoir les retrouver en cas de perte de votre téléphone portable.
Les codes d’accès aux sites internet
Le CMS
Lorsque l’on fait une mise à jour dans un CMS, les pages créées et modifiées sont annotées au nom de la personne qui le fait.
Cela permet de retrouver une personne qui aurait fait une bêtise sur le site et d’éviter d’être accusé par le client.
Il est donc important de créer un user client super administrateur et que l’ensemble des personnes ayant accès au site possèdent leur propre utilisateur.
Les utilisateurs créés par le client doivent avoir les droits pour les actions qu’ils ont à réaliser – pas plus. Le super administrateur pourra modifier les droits. LAISSEZ LE CLIENT LE FAIRE !
- Lorsque vous avez terminé un site et que vous le mettez en ligne. Faites le ménage dans les users. Même ceux du client ! Supprimez les comptes en trop, révisez les droits d’accès des clients.
- Laissez un Super Admin Concerto supprimez les autres comptes.
- Envoyez un mail au client pour qu’il sache qui sont les admins chez eux et lister les comptes en cours. Dites-leur que nous avons laissé un compte chez eux et supprimé les autres.
Pour la création des comptes, vous ne devez pas leur envoyer les codes d’accès. Pour qu’ils puissent les récupérer, ils doivent passer par l’option mot de passe perdu. Cela implique que leur compte possède bien un e-mail.
Les accès FTP
Les codes FTP doivent être nominatifs, attention aux droits d’accès ! En général, si nous sommes hébergeurs, nous ne donnons pas les droits d’accès à nos clients pour éviter les expérimentations. Dans le cas d’un départ, il faut créer des droits d’accès au client.
Attention : il faut régulièrement supprimer les utilisateurs des accès serveurs. Surtout les utilisateurs sur le départ. Il est important aussi de faire attention aux codes inscrits dans vos clients FTP sur vos machines. Certains virus sont capables de les trouver et de publier des fichiers sur les serveurs distants.
En cas de problème de virus sur un site, la première chose à faire et de changer les accès FTP.
Google Analytics et Autre
Afin d’intégrer les codes Analytics Google, les clients ne savent pas toujours comment vous en donner l’accès. IL vont alors essayer de vous transmettre l’adresse google qui gère le compte. N’acceptez pas !
- Si le compte n’existe pas. Vendez leur une prestation. Créez alors les accès et remettez les accès propriété à l’adresse que l’on va vous fournir. Un fois fait, soit vous gardez les accès soit vous demandez au client de vous supprimer. Si vous le faites, faites bien toute l’opération par mail en mettant Odilia et Moi en copie.
- Si le compte existe déjà. Demandez simplement à être ajouté au compte. Si le client ne sait pas le faire, transmettez lui une vidéo ou faites une visio avec partage d’écran.
Les réseaux sociaux
Vous devez avoir vos adresses professionnelles inscrites en deuxième adresse de vos réseaux sociaux persos.
L’ensemble des inscriptions doit se faire via ces adresses et non des adresses GMail ou autres perso.
Facebook et Business Manager
Pour obtenir l’accès à des éléments Facebook ou Instagram les clients doivent donner un accès partenaire. Jamais un log/password !!!
Pour cela, ils doivent avoir un Business Manager. Si ce n’est pas le cas, vendez une prestation !!!
Évitez autant que possible des accès directs aux pages.
S’ils l’ont, ils doivent entrer le code entreprise Concerto dans l’espace partenaire du BM Meta : 854777564590205 et ensuite nous attribuer les droits d’accès nécessaires : publication, modération…
Les accès distribués à nos collaborateurs doivent correspondre à leur métier, pas plus. Évitez les accès administrateurs à tout-va. Un modérateur n’a pas d’accès aux Campaign Manager par exemple.
En aucun cas le client ne doit vous envoyer de codes d’accès, le risque étant de devenir responsable de ces codes.
Remise des plateformes
À la fin des projets, nous devons nous délogger et nous supprimer de toutes les plateformes que nous gérions pour le client.
Mais avant de faire cela, il faut faire attention à plusieurs choses :
- Le client possède bien au moins 2 admins sur ces plateformes >> Nous devons envoyer un mail officiel avec la terre entière en copie pour dire qui sont ces admins.
- Nous devons nous retirer de toute plateforme lorsque l’on est sûr de la prise en main par le client, car nous risquons d’être accusés de ne pas vouloir leur remettre les codes d’accès alors que nous n’avons plus la main dessus.
- Faite un mail lorsque c’est fait
🌟 A compléter avec l’utilisation de google Password manager.
Discussion réservée aux membres
Veuillez vous connecter à l'intranet pour consulter les commentaires et participer à la discussion.
SE CONNECTER