Construisez votre première matrice d'accès en une après-midi

L'étape la plus simple de la gestion des accès est aussi la plus importante : notez qui a accès à quoi. Voici la recette pour obtenir une première version opérationnelle en quatre heures.

Beaucoup de PME abordent la gestion des accès en comparant d'emblée des outils. C'est la mauvaise première étape. Commencez par une matrice : une grille simple qui vous montre en un coup d'œil qui a accès à quoi. Temps de construction : une après-midi, si vous suivez la recette ci-dessous.

Étape 1 : Liste des personnes (20 minutes)

Ouvrez un tableur. Placez en colonne A toutes les personnes figurant sur la fiche de paie. Ajoutez une colonne « type » : employee, contractor ou external (par exemple un comptable ayant accès à Exact). Ajoutez ensuite un statut : actif, planifié, inactif.

Conseil : partez de votre système RH ou — si vous n'en avez pas — de la liste issue de votre logiciel de comptabilité. N'oubliez pas les anciens collaborateurs de l'année écoulée. Ils réapparaîtront plus tard sous forme d'« accès orphelins ».

Étape 2 : Liste des systèmes (30 minutes)

Passons maintenant à l'autre axe : quels systèmes traitent des données sensibles ou critiques pour l'entreprise ? Ne cherchez pas à tout lister. Commencez par les éléments suivants :

• E-mail / Microsoft 365 / Google Workspace
• Votre CRM (Salesforce, Pipedrive, HubSpot)
• Comptabilité (Exact, Moneybird, Twinfield, TeamLeader)
• Infrastructure cloud (AWS, Azure, GCP)
• Dépôts de code (GitHub, GitLab, Bitbucket)
• Gestionnaire de mots de passe (1Password, Bitwarden)
• Communication (Slack, Teams)
• Stockage de fichiers (Dropbox, OneDrive, Google Drive)

Vous étendrez ensuite la liste aux systèmes de niveau 2 (outils de design, outils marketing, SaaS spécifiques). Voir aussi : Établir un inventaire SaaS.

Étape 3 : Remplissez les cellules (2 heures)

Pour chaque combinaison personne × système, saisissez l'une des quatre valeurs suivantes :

• has_access — a accès, vous en êtes certain
• no_access — n'a pas accès, vous en êtes certain
• needs_review — cas douteux, à vérifier
• unknown — jamais envisagé

Commencez par remplir de mémoire. Vérifiez ensuite système par système ce qu'indique l'interface d'administration (voir gouvernance M365 pour la procédure dans Entra). Lorsque vous n'êtes pas sûr : needs_review. Cela vous occupera facilement une autre après-midi.

Étape 4 : Identifiez les anomalies (30 minutes)

Parcourez la matrice une fois horizontalement. Demandez-vous pour chaque ligne : « cette personne a-t-elle accès à des systèmes qui me semblent suspects ? » Découvertes typiques lors d'une première matrice :

• Un collaborateur parti depuis 8 mois apparaît encore en has_access sur Dropbox — faille d'offboarding
• Le responsable marketing est Global Admin dans M365 « parce que c'était plus simple » — voir principe du moindre privilège
• Votre comptable externe a accès à une boîte mail RH qui ne devrait pas être dans son périmètre — classifiez ceci comme accès privilégié

Du tableur à l'outil dédié

Au bout de quelques mois, vous constaterez que le tableur devient incontrôlable : versions éparpillées dans les e-mails, onglets par année, personne ne sait lequel est le bon. C'est le moment de passer à un outil. Choisissez-en un qui repose sur la même structure (personne × système × statut + note) — comme AccessGuard — pour ne pas repartir de zéro.

Vous pouvez voir votre première matrice en action dans la démo publique, avec 6 collaborateurs × 6 systèmes et 2 risques automatiquement signalés.