Lorsqu’on travaille avec des outils en ligne, il y a très souvent besoin d’attribuer des droits aux différents utilisateurs. Lorsqu’on travaille avec plusieurs entreprises, il faut accorder des droits en interne mais aussi aux prestataires. C’est le cas avec les outils d’analyse, de gestion de tags, les régies publicitaires et les différents outils en accès SAAS.
Au fil du temps, avec le partage des accès et les mauvaises habitudes en matière de sécurité informatique, on arrive à des situations potentiellement dangereuses.
Quels droits devez-vous avoir sur les outils partagés ? Quels accès faut-il accorder aux tiers ?
Gestion des droits webmarketing en entreprise : bonnes pratiques
Quel que soit l’outil, la bonne attitude vis à vis des droits d’accès est la suivante :
- L’entreprise doit être propriétaire de ses comptes. Même si c’est plus simple de laisser faire son prestataire, le propriétaire et le super-admin doivent toujours être l’entreprise utilisatrice ;
- Toujours donner uniquement le bon niveau de droit aux différents utilisateurs. Il faut simplement donner le minimum de droits permettant de bien travailler à chaque utilisateur. Forcément, tout le monde n’est pas « admin » et chaque utilisateur à son propre compte ;
- En cas de changement notoire (départ d’un collaborateur, changement de prestataire…), revoir la pertinence des droits accordés et questionner les accès ;
- Ne pas partager les comptes et stocker les accès et mots de passe de façon sécurisée en respectant les bonnes pratiques liées aux mots de passe. Il y a beaucoup à dire sur ce dernier point mais ça sort un peu du contexte de cet article.
Exemples de problèmes avec les droits d’accès sur les outils webmarketing
C’est tellement facile de partager les accès que la situation que l’on rencontre la plupart du temps c’est « open bar ». Voici quelques exemples rencontrés ces derniers mois :
- Des accès à des anciens outils SAAS webmarketing qui ne sont pas coupés (par oubli). Ainsi, on a chez Tyseo, toujours accès à des outils payés par d’anciens clients alors que nous ne travaillons plus avec eux.
- Des accès à d’anciens compte sur les régies publicitaires ou sur des outils d’analyses qui sont toujours actifs. Potentiellement embêtant si nous signons avec des concurrents, nous pourrions facilement aller jeter un œil sur les anciens comptes…
- Une agence web qui a partagé par mégarde non pas le compte du client mais l’accès à tous ses comptes clients dans Google Analytics. C’est arrivé 2 fois cette année déjà !
- Une agence web qui utilise l’hébergement d’un client pour stocker les sites web d’un autre client. Pas gênant, tant que les clients ne demandent pas l’accès à leur hébergement…
- Une licence prise au nom d’un client et appliquée sur un autre client par une agence web. Tout va bien jusqu’à ce qu’il faille renouveler la licence et qu’on se rend compte que celui qui paye n’est pas celui qui utilise.
- Des accès administrateurs accordés à des prestataires qui coupent les accès des autres agences pour « faire le ménage ».
- Un prestataire qui créé les comptes des clients via son compte personnel au lieu du compte de son agence. Concrètement, l’agence ne maîtrise plus rien si la personne décide de quitter l’entreprise.
- Une agence web qui créé les compte de ses clients en son nom (parce que c’est plus simple) et qui dépose le bilan. Galère assurée pour retrouver l’historique et les accès. Cerise sur le gâteau, dans cet exemple, le prestataire avait laissé une belle ardoise chez certaines régies pub. Devinez quel a été le deal ? Si vous voulez votre compte, vous payez. En l’occurrence, il fallait payer 2 fois car le client avait déjà payé à son agence la prestation publicitaire mais l’agence n’avait pas payé la régie pub…
- Le pixel de remarketing de Facebook avait été créé par l’agence publicitaire. Le client y avait seulement un droit d’accès limité (le pixel n’était pas sur son compte). À la fin de la prestation, l’agence a gardé le pixel. Cas similaires avec un Google Tag Manager configuré par une agence qui n’avait ouvert que les droits en lecture au client final.
Outils webmarketing ou on rencontre ces fonctionnalités et donc ces problèmes
Ce ne sont pas les outils qui sont mal pensés. Ce sont les utilisateurs qui les utilisent mal. À partir du moment ou un outil propose des fonctionnalités de partage et de droits d’utilisateurs à gérer, il faut être vigilant. En webmarketing, c’est le cas notamment avec les grands classiques qui suivent :
- Tous les outils en mode SAAS (gestion de projet, partage de documents, plateformes d’échange) ;
- Outils sociaux (Facebook pour les pages, les comptes publicitaires et toutes les fonctionnalités avancées mais aussi LinkedIn) ;
- Amazon Ads ;
- Bing Ads ;
- Outils Google (Google Analytics, Google Ads, Google Search Console, Google Tag Manager, Google Drive, Youtube, Google My Business, Google Data Studio, Google Merchant Center).
La question à se poser pour tous les accès
Tout cela est bien compliqué et beaucoup de clients n’ont pas conscience des implications. Pour se protéger, le plus simple est d’exiger de son prestataire (ou à son responsable en interne) la propriété des comptes.
Concrètement, que se passe-t-il lorsque le contrat arrivera à son terme ? À qui appartiennent les accès ? Est-ce que l’on pourra partir avec tout ce qui a été construit ? Pourra-t-on confier facilement l’existant à un nouveau prestataire ? Pourra-t-on couper l’accès aux personnes ayant accès aujourd’hui ?
Bonus RGPD
La réglementation sur les données personnelles a, elle aussi, son mot à dire. On ne « partage » pas les données entre utilisateurs sans avoir bien vérifié que c’est OK avec la politique de données personnelles de l’entreprise.
Côté prestataire, on ne valide pas les contrats du client les yeux fermés (je pense notamment aux fonctionnalités de Google Analytics, Google Ads, Google Data Studio ou Facebook Ads qui permettent d’identifier des utilisateurs ou de constituer des groupes d’utilisateurs pour un meilleur ciblage ou encore aux déclaration des contacts DPA – RGPD).