Sécurité des comptes sociaux : les risques que vous sous-estimez

Les risques réels

Accès non révoqué

Le scénario le plus courant : un collaborateur, un stagiaire ou un prestataire qui avait accès à vos comptes sociaux quitte l’entreprise. Personne ne pense à révoquer ses accès. Trois mois plus tard, il peut toujours publier sur votre page Facebook.

Mot de passe partagé

“Le mot de passe du compte Instagram, c’est dans le fichier Excel sur le Drive.” Ce scénario est alarmant mais extrêmement répandu. Un seul mot de passe partagé entre 5 personnes n’est plus un mot de passe : c’est une porte ouverte.

Token API non sécurisé

Les outils tiers qui se connectent à vos comptes via API stockent des tokens d’accès. Si un outil est compromis ou si vous cessez de l’utiliser sans révoquer l’accès, vos comptes restent accessibles.

Phishing ciblé

Les responsables social media reçoivent régulièrement des messages de phishing : “Votre page Facebook va être désactivée, cliquez ici pour vérifier.” Le lien mène à une page de login factice. Les identifiants sont volés.

Conséquences possibles

• Publication de contenu non autorisé sur votre page (spam, contenu offensant)
• Suppression de contenu ou de la page entière
• Vol de données : accès aux analytics, aux audiences, aux données clients
• Usurpation d’identité : publication au nom de votre marque
• Perte d’accès : le pirate change le mot de passe et vous êtes enfermé dehors

Pour une entreprise, la perte d’accès à une page Facebook ou LinkedIn avec des milliers de followers peut représenter des mois de travail perdus.

Les bonnes pratiques essentielles

1. Activez l’authentification à deux facteurs (2FA)

Sur chaque plateforme, sans exception :
- Facebook/Instagram : Paramètres > Sécurité > Authentification à deux facteurs
- LinkedIn : Paramètres > Connexion > Vérification en deux étapes
- Pinterest : Paramètres > Sécurité > Authentification à deux facteurs
- YouTube/Google : myaccount.google.com > Sécurité > 2FA

Utilisez une application d’authentification (Google Authenticator, Authy) plutôt que le SMS, qui est vulnérable au SIM swapping.

2. Utilisez les rôles natifs des plateformes

Facebook, LinkedIn et YouTube permettent d’attribuer des rôles (admin, éditeur, modérateur, analyste) à différents utilisateurs sans partager de mot de passe.

• Facebook Business Suite : Paramètres > Personnes > Attribuer des rôles
• LinkedIn : Page > Paramètres admin > Gérer les admins
• YouTube : YouTube Studio > Paramètres > Autorisations

Chaque personne utilise son propre compte pour accéder à la page avec des permissions limitées à son rôle.

3. Auditez les accès régulièrement

Tous les 3 mois, vérifiez :
- Qui a accès à chaque compte/page
- Quelles applications tierces ont des tokens actifs
- Si des ex-collaborateurs ont encore des accès

Sur Facebook : Paramètres > Sécurité > Apps et sites web
Sur Google : myaccount.google.com/permissions
Sur LinkedIn : Paramètres > Confidentialité > Services autorisés

4. Révoquez immédiatement quand quelqu’un quitte

Le jour où un collaborateur quitte, révoquez ses accès le jour même. Pas la semaine prochaine.

Incluez la révocation des accès social media dans votre checklist de départ.

5. Mots de passe uniques et gestionnaire

Si vous devez utiliser un mot de passe partagé (certaines plateformes ne supportent pas les rôles), utilisez un gestionnaire de mots de passe d’équipe (1Password Teams, Bitwarden Organization) qui permet de partager l’accès sans révéler le mot de passe en clair.

L’approche BYO de PlannerDesk

PlannerDesk utilise un modèle BYO (Bring Your Own App). Vous configurez votre propre application développeur sur chaque plateforme. Les tokens sont chiffrés (AES-256) et stockés sur le serveur. Vous gardez le contrôle total : vous pouvez révoquer l’accès à tout moment depuis le tableau de bord de votre application développeur, indépendamment de PlannerDesk.

Cette approche est plus sûre qu’un modèle où un outil tiers partage ses propres clés API entre des milliers d’utilisateurs : si l’outil est compromis, tous les comptes le sont.