Symptômes
Comment reconnaître le problème.
La personne clé répond à toutes les questions
Nom de domaine, hébergement, WordPress, sauvegardes, prestataire : tout passe par une seule mémoire humaine.
Les accès sont personnels
Comptes créés avec une adresse privée, mots de passe envoyés par message ou droits administrateurs non revus.
Aucune procédure écrite
Changer un texte, restaurer une sauvegarde, renouveler un domaine ou couper un compte demande d’appeler la même personne.
Passation repoussée
Tout le monde sait qu’il faudrait documenter, mais la tâche reste floue et revient toujours “plus tard”.
Risques concrets
Ce qui finit par coûter du temps, de l’argent ou de l’énergie.
- Perte d’accès après départ, conflit, indisponibilité ou changement de bénévole.
- Renouvellement de domaine raté parce que l’email de notification part au mauvais endroit.
- Blocage complet en cas de panne, faute de procédure ou de droits disponibles.
- Difficulté à changer de prestataire ou à faire auditer le site.
- Décisions techniques prises sans visibilité sur les conséquences.
Ce qui est exploité
Ce qu’une panne, une erreur humaine ou un attaquant opportuniste utilise.
Une panne ou une erreur humaine exploite les zones grises : compte personnel devenu inaccessible, mot de passe unique, documentation absente, sauvegarde connue d’une seule personne. Ce n’est pas spectaculaire. C’est juste fragile.
Le but n’est pas de fournir une recette offensive. Le but est de rendre visibles les points faibles simples, fréquents et corrigeables.
Checklist
Ce qu’il faut vérifier avant de décider.
- Lister les accès : domaine, DNS, hébergement, CMS, email, sauvegardes, analytics et outils tiers.
- Identifier le propriétaire réel de chaque compte et l’adresse email associée.
- Supprimer ou réduire les accès des personnes qui ne doivent plus administrer.
- Mettre en place un gestionnaire de mots de passe adapté à la structure.
- Documenter les procédures minimales : mise à jour, sauvegarde, restauration, renouvellement.
- Définir qui décide et qui exécute en cas d’urgence.
- Prévoir une passation quand un bénévole, salarié ou prestataire quitte le rôle.
Accompagnement
Ce que PixelProwlers peut faire.
Cartographie des accès
Inventaire clair des comptes, droits, propriétaires, risques et dépendances humaines.
Remise à plat progressive
On ne casse pas tout pour faire propre. On sécurise les accès critiques d’abord.
Documentation minimale
Comprendre assez pour décider, documenter assez pour ne pas dépendre.
Transmission à l’équipe
Explications concrètes, procédures courtes et responsabilités compréhensibles.
Limites raisonnables
Ce qu’il ne faut pas promettre.
- Sans accès initial, certaines récupérations peuvent dépendre des hébergeurs ou prestataires.
- Une documentation doit être tenue à jour quand les personnes changent.
- PixelProwlers ne contourne pas les contrôles d’accès légitimes.
- Une cartographie ne remplace pas une politique interne, elle la rend possible.
- La réduction de dépendance demande une implication minimale de la structure.