RBAC : définir des rôles dans une PME sans bureaucratie

Le Role-Based Access Control peut sembler réservé aux grandes architectures IT, mais en PME c'est simple : notez les 4 à 6 rôles types que vous avez et quels systèmes chaque rôle reçoit par défaut.

Après avoir créé votre première matrice d'accès, vous remarquez quelque chose : chaque nouveau collaborateur commercial reçoit exactement les 6 mêmes systèmes. Idem pour chaque nouveau développeur. Ce schéma récurrent se capture dans un rôle. C'est ce qu'on appelle le RBAC — Role-Based Access Control. En PME, pas besoin d'en faire quelque chose de compliqué.

Combien de rôles vous faut-il ?

Moins que vous ne le pensez. Pour une PME de 20 à 60 personnes, on dépasse rarement 8 rôles :

1. Sales (AE + SDR)
2. Engineering / Developer
3. Operations / Support
4. Finance / Comptabilité
5. Marketing
6. HR / People Ops
7. Management / Leadership
8. External / Consultant (accès souvent restreint)

Conseil : calquez vos rôles sur votre structure de départements existante, et non sur des catégories IAM abstraites. Si en interne vous parlez de « Sales », appelez-le aussi Sales dans votre gestion des accès.

Que contient un rôle ?

Pour chaque rôle, vous définissez :

• Accès de base (birthright) : les systèmes que toute personne dans ce rôle reçoit par défaut. Voir aussi la politique d'accès de base.
• Accès optionnel : les systèmes souvent nécessaires mais pas attribués automatiquement. Demandés au cas par cas.
• Accès interdit : les systèmes auxquels ce rôle ne doit explicitement pas avoir accès (ex. : le Sales n'a pas accès à la boîte mail RH).

Un exemple : le rôle « Sales »

Accès de base : M365 E3, Slack, Salesforce, LinkedIn Sales Nav, 1Password, Calendly. Optionnel : HubSpot (contenu), Loom (vidéos). Interdit : Exact (comptabilité), AWS.

C'est tout. Notez-le, intégrez-le dans votre outil de gestion des accès, et chaque nouvelle recrue commerciale reçoit le bon accès en 10 minutes via un seul clic.

Le piège : le role creep

Au bout de deux ans, vous vous retrouvez parfois avec 18 rôles dont 11 ont été créés pour une seule exception. Pour l'éviter :

• Passez chaque rôle en revue chaque année : y a-t-il plus d'une personne avec ce rôle ? Non → supprimez-le.
• Ne créez PAS de nouveau rôle pour les exceptions : enregistrez-les comme ajustements individuels.
• Gardez les noms de rôles courts et génériques (Sales, pas « Sales-Team-NL-Q4-2025 »).

Qu'en est-il des groupes de sécurité M365 ?

Une excellente combinaison. En pratique, vous définissez vos rôles comme des groupes de sécurité dans Entra ID ; notre guide de gouvernance M365 montre comment les importer automatiquement en tant qu'AccessProfiles via la synchronisation d'annuaire. Les définitions de rôles et les appartenances constituent alors un seul et même système.

Pour en savoir plus sur l'interaction entre les rôles et les processus d'onboarding, consultez la checklist IT d'onboarding.