Lundi matin, 9h00. Jean-Marc a allumé le PC de la mairie. Il y avait un fond d’écran Windows. C’est tout.
La gestion des mots de passe en entreprise et la transmission des accès numériques sont rarement prioritaires – jusqu’au jour où elles deviennent urgentes. L’histoire de Jean-Marc en est l’illustration parfaite.
Lundi, 9h00. Jean-Marc pousse la porte de son nouveau bureau. Il a gagné les élections dimanche soir – 65 % contre 35 %. Son prédécesseur, maire depuis six ans, est parti sans un mot. Jean-Marc pose sa veste, s’installe dans le fauteuil encore chaud, et appuie sur le bouton du PC.
L’écran s’allume. Fond d’écran Windows, version par défaut – les collines vertes, le ciel bleu. Aucune icône. Aucun fichier. Aucun dossier. La machine a été réinitialisée. Proprement. Méthodiquement.
Six ans d’archives municipales. Des comptes rendus de conseil, des conventions avec les associations, des échanges avec la préfecture, des appels d’offres, des données de terrain. Disparus. Pas effacés par accident – effacés.
Ce qui manque concrètement
Jean-Marc comprend vite l’étendue du problème. Les identifiants des portails administratifs de l’État – plateforme des marchés publics, espace préfectoral, services en ligne – sont soit perdus, soit encore enregistrés dans le navigateur de l’ancien maire, sur un téléphone qu’il a gardé. La secrétaire de mairie a les siens, mais elle n’avait pas accès à tout. Personne n’a jamais fait l’inventaire. Il n’existe aucun plan de sauvegarde, aucun document listant qui a accès à quoi.
Jean-Marc gouverne dans le noir. Sans carte. Sans rétroviseur. Il doit appeler la préfecture pour récupérer des identifiants temporaires, reconstituer des archives à partir de copies papier dispersées, et espérer que les fournisseurs auront gardé trace des échanges.
C’est une commune. Mais ce pourrait être n’importe quelle organisation.
Cette histoire n’est pas réservée aux mairies
Remplacez « maire sortant » par « associé qui claque la porte » – vous obtenez exactement le même scénario. Remplacez-le par « comptable qui démissionne du jour au lendemain », par « gérant qui part à la retraite sans passer la main », par « responsable informatique qui ne laisse rien par rancœur » – c’est la même histoire, jouée dans des dizaines de TPE et PME chaque année.
La donnée critique ne disparaît pas parce qu’un système a failli. Elle disparaît parce qu’elle était dans la tête – ou dans le PC – d’une seule personne. Et que personne n’avait pensé à ce moment-là, jusqu’à ce qu’il arrive.
Pourquoi ce problème touche toutes les structures
Dans une TPE ou une PME, les accès numériques sont souvent concentrés sur une ou deux personnes. Le dirigeant qui gère tout. L’assistante qui « sait où sont les trucs ». Le freelance qui a configuré le site il y a trois ans et dont personne n’a gardé les codes. C’est pratique, jusqu’au jour où ce n’est plus pratique du tout.
Les départs précipités sont rares, mais ils arrivent. Les accidents aussi. Une maladie soudaine, un conflit qui dégénère – et soudain, personne ne sait comment accéder à la messagerie professionnelle, au logiciel de facturation, au NAS qui contient cinq ans de fichiers clients. La cybersécurité ne se résume pas à se protéger des attaquants extérieurs. Elle comprend aussi se protéger de sa propre désorganisation interne.
L’ANSSI rappelle que la perte d’accès aux systèmes d’information lors d’une transition est l’un des incidents les plus fréquents et les plus coûteux pour les petites structures. Pas un ransomware. Pas un pirate. Juste un départ non préparé.
La vraie question, c’est celle-ci
Si votre comptable partait demain matin, qui aurait les mots de passe des accès bancaires ? Si votre associé fondateur quittait l’entreprise ce soir, où sont les identifiants de votre hébergeur, de votre logiciel de facturation, de votre espace impots.gouv ? Si le seul salarié qui « s’occupe de l’informatique » ne revenait pas lundi – combien de temps avant que tout s’arrête ?
Ce n’est pas une question de confiance. C’est une question d’organisation. C’est une question de cybersécurité.
3 réflexes pour une gestion des mots de passe entreprise efficace
- Un inventaire des accès : listez, service par service, qui a accès à quoi. Un tableur suffit pour commencer. L’essentiel, c’est que ça existe quelque part en dehors d’un seul cerveau.
- Un gestionnaire de mots de passe d’entreprise : des outils comme Lockpass de chez LockSelf permettent de partager des accès de façon sécurisée, avec des droits différenciés. Si quelqu’un part, on lui retire les droits – sans changer tous les mots de passe un par un.
- Un plan de sauvegarde documenté : pas juste « on sauvegarde sur le NAS », encore moins sur une clé USB. Un document écrit, daté, testé, qui dit quoi est sauvegardé, où, à quelle fréquence, et comment on restaure. Parce que la sauvegarde dont on ne s’est jamais servi n’existe peut-être pas vraiment.
Ce que ça représente concrètement en temps et en argent
Faire un inventaire des accès prend une après-midi. Le déploiement d’un gestionnaire de mots de passe entreprise comme Lockpass prend une journée, accompagnement compris. Un plan de sauvegarde testé et documenté se met en place en moins d’une semaine.
En face, les coûts d’une transition ratée : des semaines de reconstitution d’archives, des accès perdus à des plateformes critiques, des retards de facturation. Et dans les cas les plus graves, une obligation de notifier la CNIL si des données personnelles ont été perdues dans le chaos de la transition.
La prévention coûte quelques heures. L’absence de prévention coûte des semaines – et parfois bien plus.
Questions fréquentes sur la gestion des mots de passe en entreprise
Faut-il stocker les mots de passe dans un fichier Excel partagé ?
- Non. Un fichier Excel n’est pas chiffré, peut être copié ou envoyé par erreur, et ne trace pas qui a consulté quoi. Un gestionnaire de mots de passe d’entreprise offre le même confort avec une sécurité incomparablement supérieure : accès chiffrés, droits différenciés, traçabilité complète.
Comment anticiper le départ d’un collaborateur clé ?
- Idéalement, au moins un mois avant : faire l’inventaire de tous les accès détenus, créer des comptes de substitution ou transférer les droits, révoquer les accès le jour J. Une session de Cyber Coaching Eur’Net d’une heure suffit souvent à structurer cette transmission proprement.
Le diagnostic MonAideCyber couvre-t-il la gestion des mots de passe entreprise ?
- Oui. Le diagnostic MonAideCyber – porté par l’ANSSI – analyse la gestion des accès, les procédures de départ, et l’état des sauvegardes. Gratuit, anonyme, deux heures.
Vous voulez savoir où vous en êtes ?
Le diagnostic MonAideCyber permet de faire le point sur qui a accès à quoi, ce qui est sauvegardé, ce qui ne l’est pas. Gratuit, anonyme, réalisé sous le contrôle de l’ANSSI – l’agence nationale de l’État qui s’occupe de la cybersécurité en France. Je fais le point maintenant, en plus c’est gratuit.
Un collaborateur clé part bientôt ? Une session de Cyber Coaching Eur’Net permet de sécuriser la transmission des accès et des données avant que la porte ne claque – en une heure, avec un expert. Prendre rendez-vous (150 € HT / 1h).
Eur’Net vous accompagne aussi sur les projets plus larges – inventaire des accès, déploiement d’un gestionnaire de mots de passe entreprise, plan de sauvegarde documenté. Contactez-nous.
✅ Une idée claire chaque mardi
✅ Une pause utile dans votre journée
✅ Un format court pour tous les niveaux
✅ Un ton pédagogique jamais moralisateur
Une URL à retenir : le1313
Aidant cyber accrédité ANSSI, ambassadeur innovation ANSSI, activateur France Num. Mon credo : un sinistre cyber, ce n'est plus "si" mais "quand". La question c'est : vous regardez le tsunami arriver depuis la plage, ou vous apprenez à surfer et vous préparez vos plans A, B, C ?
Entre deux diagnostics, j'élève aussi des IA bio au grand air.
