Chaque connexion à l’Espace Client Progéliance Net donne accès à des données comptables et fiscales sensibles. Il est donc indispensable de contrôler qui peut se connecter, comment les identifiants sont récupérés et protégés, et quelles procédures sont appliquées en cas d’incident. Cet article détaille le parcours d’accès, la récupération du code client, la gestion des rôles et permissions, ainsi que les mesures de sécurisation à mettre en place immédiatement pour réduire les risques.

Où trouver la page de connexion et comment récupérer rapidement le code client

La page de connexion de Progéliance Net est accessible via le portail client officiel. Vérifiez systématiquement la présence du protocole HTTPS et l’authenticité du certificat avant toute saisie d’identifiants. Lors de l’activation, votre entreprise reçoit un courriel d’activation contenant le code client et un code secret ou un lien de première connexion. Si ce courriel n’a pas été reçu ou a été perdu, il est possible de récupérer le code client via la procédure de réinitialisation indiquée sur la page de connexion ou en contactant le support officiel.

En cas d’urgence (compte bloqué, suspicion de compromission), contactez le support pour demander la réinitialisation du code client et un contrôle des connexions récentes. Demandez la traçabilité des opérations effectuées depuis les comptes concernés afin d’évaluer l’impact potentiel.

Rôles et permissions : définir des profils clairs

Pour limiter les risques, segmentez les accès par rôles avec le principe du moindre privilège. Les profils recommandés sont les suivants :

• Administrateur : gestion des droits, activation et révocation de MFA, délégation des accès. Réservé aux personnes formellement mandatées et identifiées.
• Contributeur : dépôt et consultation de documents, opérations courantes sans modification des droits ni accès aux configurations sensibles.
• Auditeur / Lecture seule : accès limité à la consultation pour revue et contrôle, sans possibilité d’édition ni d’exportation non autorisée.

Formalisez la procédure de création et de suppression de comptes : qui valide une demande, quels justificatifs sont requis, et comment consigner chaque changement dans un journal d’accès interne. Planifiez des revues trimestrielles des droits pour supprimer les comptes inactifs et corriger les permissions inappropriées.

Authentification forte et politique de mot de passe

L’authentification multifacteur (MFA) est la mesure la plus efficace pour réduire les risques d’accès non autorisé. Rendre le MFA obligatoire pour tous les administrateurs et fortement recommandé pour les contributeurs est une bonne pratique minimale. Préférez les méthodes suivantes :

• Applications d’authentification (Authenticator, OTP) plutôt que les SMS, qui sont vulnérables au SIM swap.
• Clés physiques (FIDO2, YubiKey) pour les comptes à haut privilège afin d’ajouter une barrière physique contre la compromission.
• Gestionnaires de mots de passe d’entreprise pour centraliser et protéger les identifiants, en évitant les partages par courriel ou fichiers non chiffrés.

Adoptez une politique de mots de passe fondée sur les recommandations d’experts : longueur minimale élevée, vérification contre des listes de mots de passe compromis, rotation adaptée sans pousser à des changements inutiles, et verrouillage après plusieurs tentatives échouées.

Surveillance, journalisation et récupération après incident

La journalisation doit enregistrer les connexions réussies et échouées, les changements de mot de passe, les modifications de rôle et les opérations sensibles. Conservez ces logs pendant une durée conforme aux exigences internes et réglementaires. Mettez en place des alertes pour :

• Connexions depuis des géolocalisations ou adresses IP inhabituelles.
• Multiples tentatives de connexion échouées indiquant une attaque par force brute.
• Changements de paramètres de sécurité (désactivation du MFA, ajout d’un administrateur).

Prévoyez un plan d’incident documenté : étapes de confinement, contacts internes et externes (support Progéliance, RSSI, équipe juridique), procédures de communication, et restauration des comptes. Testez ce plan au moins une fois par an avec des scénarios réalistes pour valider les temps de réponse et les procédures de reprise.

Checklist de priorités immédiates

• Vérifier la page de connexion et le certificat HTTPS avant toute opération.
• Activer le MFA pour tous les administrateurs et le promouvoir pour tous les comptes.
• Formaliser la gestion des comptes (création, délégation, suppression) et maintenir un journal d’accès.
• Mettre en place la journalisation centralisée et les alertes critiques.
• Former les utilisateurs aux risques (phishing, partage d’identifiants) et organiser des revues périodiques des droits.

En suivant ces recommandations, votre entreprise réduira significativement la surface d’attaque autour de l’Espace Client Progéliance Net. Pour aller plus loin, consultez les bonnes pratiques et guides de l’ANSSI concernant l’authentification, le chiffrement des échanges et la gouvernance des accès. Une combinaison de mesures techniques, d’organisation et de sensibilisation constitue la meilleure défense contre les menaces actuelles.

Aide supplémentaire