Prestataire web et accès administrateur — Comment éviter les dépendances dangereuses
GouvernanceAccèsPME

Prestataire web et accès administrateur
Comment éviter les dépendances dangereuses

Un site professionnel ne doit jamais dépendre d’un seul prestataire ou d’un seul compte administrateur. Nom de domaine, hébergement, DNS, WordPress, sauvegardes, licences, emails, Search Console : une PME doit savoir qui possède quoi, qui peut intervenir, et comment récupérer ses accès.

⏱ Lecture ≈ 11 minGuide dirigeant PMEJuillet 2026

Étude informative : les règles, sources et pratiques citées peuvent évoluer et doivent être vérifiées avant toute décision.

L’essentiel en 2 minutes

Le risque n’est pas de déléguer, c’est de perdre la maîtrise

La dépendance à un prestataire web ne vient pas seulement d’un contrat. Elle vient surtout des accès : qui possède le nom de domaine, qui contrôle le DNS, qui détient l’hébergement, qui a le compte administrateur WordPress, qui reçoit les alertes, qui possède les licences premium, qui peut restaurer une sauvegarde.

Pour une PME, le risque est opérationnel, commercial, juridique et parfois stratégique. Si un seul prestataire détient tous les accès, l’entreprise peut se retrouver bloquée en cas de conflit, d’indisponibilité, de changement d’agence, de fin de contrat, de cyberattaque ou de simple urgence.

Le bon objectif n’est pas de donner tous les accès à tout le monde. C’est l’inverse : organiser les accès avec méthode. L’entreprise doit rester propriétaire de ses actifs critiques, tout en permettant au prestataire d’intervenir efficacement.

Introduction

Quand le site appartient techniquement à quelqu’un d’autre

Beaucoup de PME pensent posséder leur site parce qu’elles l’ont payé. En pratique, la question est plus subtile : elles possèdent peut-être le design, les contenus ou le nom commercial, mais pas toujours les accès qui permettent de piloter le site.

Le nom de domaine peut avoir été enregistré sur le compte du prestataire. L’hébergement peut être dans un compte agence. Le DNS peut être géré dans un Cloudflare que le client ne voit pas. Les licences Elementor, sauvegarde, sécurité ou formulaire peuvent appartenir au prestataire. La Search Console peut être au nom d’un ancien freelance.

Tant que tout se passe bien, cette organisation paraît confortable. Le prestataire s’occupe de tout, le client n’a pas à gérer la technique. Mais le jour où il faut intervenir vite, changer d’agence, restaurer le site, transférer le domaine, corriger le DNS ou récupérer les sauvegardes, cette dépendance devient un risque.

Cadre central

Le bon modèle n’est pas “tout garder” ni “tout déléguer” : l’entreprise conserve la propriété et la maîtrise, le prestataire reçoit les accès nécessaires pour administrer.

NotionQuestion à poser
PropriétéÀ qui appartient officiellement l’actif : domaine, compte, licence, hébergement ?
AccèsQui peut se connecter, avec quel rôle, et jusqu’à quand ?
AdministrationQui gère techniquement l’actif au quotidien ?
1. Actifs critiques

Les actifs critiques à ne jamais perdre de vue

Avant de parler d’accès, il faut identifier ce qui a de la valeur. Le prestataire peut administrer ces éléments, mais l’entreprise doit savoir où ils sont, qui les possède, et comment y accéder.

ActifPourquoi c’est critique
Nom de domaineC’est l’adresse officielle du site et souvent des emails.
DNSIl dirige le site, les emails, SPF/DKIM/DMARC, redirections et sous-domaines.
HébergementIl contient les fichiers, bases de données, logs et parfois les sauvegardes.
WordPressIl permet de gérer contenus, comptes, extensions, thèmes et paramètres.
Base de donnéesElle contient les contenus dynamiques, réglages, utilisateurs, commandes.
SauvegardesElles permettent la reprise après erreur, panne ou attaque.
EmailsIls servent à recevoir demandes clients, alertes, réinitialisations et notifications.
Search ConsoleElle signale indexation, erreurs, spam SEO et problèmes de sécurité.
Analytics / Tag ManagerIls contiennent l’historique de mesure et les balises du site.
Licences premiumElles conditionnent mises à jour, support et sécurité de certains plugins.
Comptes publicitaires et réseaux sociauxIls portent campagnes, audiences, facturation, pixels et historique.
2. Gouvernance

Propriété, accès, administration : trois notions à distinguer

Une confusion fréquente consiste à mélanger propriété et accès. La propriété désigne qui détient officiellement l’actif : titulaire du nom de domaine, propriétaire du compte Google, client de l’hébergeur, détenteur de la licence.

L’accès désigne la capacité à se connecter à un outil. Un prestataire peut avoir un accès administrateur sans être propriétaire du compte. C’est souvent le bon modèle : le client reste propriétaire, le prestataire est invité avec un rôle adapté.

L’administration désigne l’action de gérer au quotidien : mises à jour, configuration, support, sécurité, supervision. Une entreprise peut déléguer l’administration sans perdre la propriété.

Phrase à retenir : le prestataire peut administrer, mais l’entreprise doit conserver la maîtrise.
3. Dépendances

Les mauvais schémas qui créent une dépendance

Certaines organisations semblent pratiques au départ, mais deviennent dangereuses. Le problème n’est pas la délégation. Le problème est la délégation sans réversibilité.

SituationRisque
Domaine enregistré sur le compte personnel du prestatairetransfert difficile, dépendance juridique et opérationnelle
DNS dans un compte que le client ne connaît pasimpossibilité de modifier site, emails ou authentification email
Un seul compte admin WordPress partagétraçabilité impossible, risque sécurité accru
Licences premium toutes détenues par l’agenceperte de mises à jour ou fonctionnalités en fin de contrat
Sauvegardes stockées uniquement chez le prestatairereprise bloquée en cas de rupture ou indisponibilité
Search Console au nom d’un ancien intervenantperte d’alertes SEO et sécurité
Hébergement sans accès clientimpossible d’ouvrir un ticket ou d’exporter le site
Pas de procédure de sortiechangement de prestataire conflictuel ou lent
Mots de passe envoyés par emailrisque de compromission et absence de gouvernance
Comptes créés avec une adresse personnelleperte d’accès si la personne quitte l’entreprise
4. Propriété

Ce que l’entreprise doit posséder directement

Pour une PME, certains actifs devraient être au nom de l’entreprise ou dans un compte contrôlé par elle. Ce modèle n’empêche pas le prestataire de travailler. Il évite simplement qu’il soit le seul point de contrôle.

ActifRecommandation
Nom de domainetitulaire et contact administratif au nom de l’entreprise
Registrarcompte accessible par l’entreprise ou procédure de délégation claire
DNS / Cloudflarecompte entreprise, avec prestataire invité si possible
Hébergementcontrat au nom de l’entreprise ou mandat clairement documenté
Search Consolepropriété validée par un compte entreprise
Analytics / Tag Managerpropriété ou accès administrateur entreprise
Adresses emails principalescomptes internes, pas adresses personnelles du prestataire
Sauvegardes stratégiquescopie récupérable par l’entreprise
Licences clésmodèle clarifié : client propriétaire ou licence agence documentée
Comptes publicitairespropriété entreprise, prestataire invité comme partenaire
Réseaux sociauxcomptes et pages au nom de l’entreprise
5. WordPress

Comptes administrateurs WordPress : les bonnes pratiques

WordPress est souvent le cœur opérationnel du site. Les comptes administrateurs doivent donc être gérés avec rigueur. La documentation officielle WordPress rappelle que les rôles définissent ce que chaque utilisateur peut faire dans le site, et qu’il faut donc adapter le rôle au besoin réel.

Bonne pratiquePourquoi
Un compte par personnetraçabilité des actions
Pas de compte partagé “admin”impossible de savoir qui a fait quoi
Supprimer les anciens accèséviter les comptes oubliés
Rôle adapté au besointous les intervenants n’ont pas besoin d’être administrateurs
2FA pour les comptes sensiblesréduire le risque de compromission
Email de récupération maîtrisééviter qu’un ancien prestataire récupère le compte
Journalisation si possibleutile en cas d’incident
Revue périodique des comptesvérifier qui a encore accès

Les rôles WordPress à connaître

WordPress propose par défaut plusieurs rôles. Un prestataire chargé de la maintenance technique peut avoir besoin d’un accès administrateur. Un rédacteur, un partenaire éditorial ou un intervenant contenu n’en a généralement pas besoin.

Rôle WordPressUsage recommandé
Super Adminuniquement pour un réseau multisite WordPress ; très rarement nécessaire pour un prestataire classique
Administrateurmaintenance technique, plugins, thème, réglages, utilisateurs ; à réserver aux intervenants de confiance
Éditeurgestion éditoriale complète : publier, modifier et gérer les contenus, sans accès technique complet
Auteurrédaction et publication de ses propres articles
Contributeurrédaction de brouillons sans publication
Abonnéaccès simple à un espace privé ou à un profil utilisateur
6. Domaine & DNS

DNS, domaine et emails : le trio à protéger en priorité

Le nom de domaine et le DNS sont souvent plus critiques que le site lui-même. Si le domaine expire, le site et les emails peuvent tomber. Si le DNS est mal modifié, le site peut pointer au mauvais endroit. Si les enregistrements emails sont cassés, les messages peuvent ne plus arriver ou partir en spam.

ÉlémentÀ vérifier
Titulaire du domaineentreprise, pas prestataire ou personne physique externe
Contact administratifadresse contrôlée par l’entreprise
Renouvellementautomatique, moyen de paiement, alerte
Accès registrardisponible, protégé par 2FA
Accès DNSpropriétaire identifié, prestataire invité si possible
SPF/DKIM/DMARCresponsables identifiés pour les emails
Sous-domainescartographie des usages : site, app, tracking, formulaires
Redirectionsdocumentées pour éviter les suppressions accidentelles
Point de vigilance ICANNSelon les règles applicables aux domaines génériques, un registrar peut refuser le transfert vers un autre registrar dans les 60 jours suivant un changement de titulaire ou de certaines informations du titulaire. Certains registrars proposent une option de renonciation à ce verrou, mais pas tous. C’est une raison supplémentaire pour que le domaine soit correctement enregistré au nom de l’entreprise dès le départ.
7. Licences

Licences premium : attention aux licences “agence”

De nombreux sites WordPress utilisent des extensions premium : Elementor Pro, formulaires, SEO, sécurité, sauvegarde, traduction, WooCommerce, cache, galerie, réservation, paiement, etc.

ModèleAvantageRisque
Licence clientle client possède la licencecoût et renouvellement à gérer
Licence agence / développeurle prestataire mutualise une licence multisitedépendance en fin de contrat

Les licences agence ne sont pas mauvaises en soi. Elles permettent parfois au client de bénéficier d’outils professionnels à moindre coût. Mais le contrat doit préciser ce qui se passe si la relation se termine : maintien temporaire, transfert vers une licence client, remplacement de l’outil, ou perte des mises à jour premium.

Un site ne doit pas découvrir au moment du départ que plusieurs fonctions critiques dépendaient de licences détenues par l’ancien prestataire.

8. Sauvegardes

Sauvegardes : l’accès de dernier recours

La sauvegarde est l’assurance opérationnelle du site. Mais elle ne sert à rien si l’entreprise ne peut pas l’obtenir. Le contrat ou la procédure doit préciser les conditions de restauration et de restitution.

QuestionRisque si flou
Où sont stockées les sauvegardes ?impossible de les récupérer en urgence
Qui peut restaurer ?dépendance à un seul prestataire
Le client peut-il obtenir une copie ?difficulté à changer d’agence
Quelle fréquence et rétention ?perte de données ou point trop ancien
Les sauvegardes sont-elles testées ?restauration incertaine
Les sauvegardes incluent-elles base et fichiers ?site partiellement restaurable
Que se passe-t-il en fin de contrat ?perte de l’historique de reprise
9. Comptes tiers

Search Console, Analytics et comptes tiers

Les comptes tiers sont souvent oubliés lors d’un changement de prestataire. Pourtant, ils portent une partie importante de l’historique du site. Le bon modèle est de créer les comptes au nom de l’entreprise, puis d’ajouter le prestataire comme utilisateur ou partenaire.

ComptePourquoi il compte
Search Consoleindexation, erreurs, sécurité, spam SEO
Google Analyticshistorique de trafic, objectifs, sources
Tag Managerpixels, conversions, scripts tiers
Google Ads / Meta Adscampagnes, audiences, facturation
Brevo / Mailchimp / Mailjetnewsletters, contacts, réputation d’envoi
Stripe / PayPalpaiements, rapprochements, litiges
Outils de supporttickets, demandes clients, historique
CDN / CloudflareDNS, cache, sécurité, performance
Outils anti-spam / SMTPformulaires, délivrabilité, emails transactionnels
10. RGPD

Accès prestataire et sous-traitance

Un prestataire web peut accéder à des données personnelles : formulaires, emails, comptes utilisateurs, commandes WooCommerce, logs, sauvegardes, exports CRM, analytics, support client.

Dès lors que le prestataire traite ces données pour le compte de l’entreprise, il est généralement sous-traitant au sens du RGPD. L’article 28 impose un contrat écrit entre le responsable de traitement et le sous-traitant, précisant notamment l’objet, la durée, la nature et la finalité du traitement, les types de données, les catégories de personnes concernées, les obligations de confidentialité, les mesures de sécurité, l’assistance, les sous-traitants ultérieurs et le sort des données en fin de prestation.

Le contrat doit aussi cadrer les sous-traitants ultérieurs. Si le prestataire web utilise lui-même un hébergeur, un CDN, un outil de sauvegarde cloud, une solution SMTP ou un service de sécurité qui traite des données personnelles, il doit respecter les conditions prévues par l’article 28. Le sous-traitant ne peut pas recruter un autre sous-traitant sans autorisation écrite préalable, spécifique ou générale, du responsable de traitement, et il doit l’informer des changements prévus afin de lui permettre d’émettre des objections.

À retenir

Un accès administrateur WordPress peut donner accès à beaucoup plus de données qu’on ne l’imagine. Le sujet RGPD doit donc être traité dans le contrat, pas seulement dans une politique de confidentialité.

11. Sécuriser

Sécuriser sans bloquer le prestataire

L’objectif n’est pas de compliquer le travail du prestataire. Un prestataire doit pouvoir intervenir vite et correctement. Mais les accès doivent être organisés.

  • créer un compte nominatif pour chaque intervenant ;
  • utiliser le rôle minimal nécessaire ;
  • activer l’authentification à deux facteurs sur les comptes sensibles ;
  • éviter les mots de passe transmis par email ;
  • utiliser un gestionnaire de mots de passe partagé ;
  • documenter les accès critiques hors du site ;
  • limiter les accès temporaires dans le temps ;
  • supprimer les comptes à la fin de l’intervention ;
  • conserver un accès administrateur client ;
  • tester la récupération des comptes stratégiques.
Accès temporaires

WordPress ne propose pas nativement une expiration automatique des comptes temporaires. Pour créer des accès limités dans le temps, il faut généralement utiliser un plugin dédié ou une procédure interne stricte : date de création, date de suppression prévue, responsable du contrôle.

La sécurité ne consiste pas à refuser les accès. Elle consiste à savoir qui a accès, à quoi, pourquoi, et jusqu’à quand.

12. Réversibilité

Changement de prestataire : la clause de réversibilité

La réversibilité est la capacité à sortir proprement d’un contrat ou à changer de prestataire sans perdre le contrôle du site. Elle doit être prévue avant le conflit, pas après.

Élément à restituerExemple
Accès WordPresscomptes administrateurs, rôles, emails associés
Accès hébergementpanel, SFTP ou SSH si applicable ; FTP non chiffré à éviter
Accès DNS / domaineregistrar, Cloudflare, zones DNS
Sauvegardesdernière sauvegarde complète fichiers + base
Licencesétat des licences, modèle de propriété, renouvellements
Documentationplugins critiques, thème, spécificités, cron, intégrations
Comptes tiersSearch Console, Analytics, SMTP, newsletter, paiement
Code spécifiquethème enfant, snippets, développements sur mesure
État techniqueversions, alertes, risques connus, tâches en cours

Une clause de sortie claire protège autant le client que le prestataire. Elle évite les accusations, les blocages et les départs désorganisés.

13. Erreurs fréquentes

Les erreurs fréquentes

ErreurConséquence
Le domaine est au nom du prestatairel’entreprise ne maîtrise pas son actif principal
Un seul compte admin partagéaucune traçabilité
Aucun accès hébergement côté clientdépendance totale pour restaurer ou migrer
Licences agence non documentéesperte de mises à jour en fin de contrat
Pas de copie de sauvegarde récupérablechangement de prestataire difficile
Search Console chez un ancien freelanceperte d’alertes critiques
Mots de passe envoyés par emailrisque sécurité et absence de gouvernance
Accès anciens jamais suppriméssurface d’attaque inutile
Pas de clause de réversibilitéblocage ou conflit en sortie
Contrat sans article RGPD / DPAaccès aux données personnelles mal encadré
14. Checklist

Checklist dirigeant : que vérifier maintenant ?

QuestionSi la réponse est floue
Le domaine est-il bien au nom de l’entreprise ?l’actif principal peut être difficile à récupérer
L’entreprise a-t-elle accès au registrar ?impossible de gérer renouvellement ou transfert
Qui contrôle le DNS ?site et emails peuvent être bloqués
Existe-t-il un compte WordPress administrateur client ?dépendance totale au prestataire
Les comptes admin sont-ils nominatifs ?aucune traçabilité des actions
Les anciens accès sont-ils supprimés ?risque de sécurité inutile
Les sauvegardes sont-elles récupérables ?reprise ou migration incertaine
Les licences premium sont-elles documentées ?perte possible des mises à jour
Search Console et Analytics appartiennent-ils à l’entreprise ?perte de données et d’alertes
Un DPA / accord RGPD existe-t-il avec le prestataire ?sous-traitance mal encadrée
Une clause de sortie est-elle prévue ?changement de prestataire risqué
Le plan d’accès est-il stocké hors du site ?inutilisable si WordPress est inaccessible
15. Méthode

Méthode simple pour reprendre la maîtrise

  1. 01
    Lister les actifs

    Domaine, DNS, hébergement, WordPress, sauvegardes, emails, licences, Search Console, Analytics, outils tiers.

  2. 02
    Identifier les propriétaires

    Pour chaque actif : entreprise, prestataire, ancien prestataire, salarié, compte personnel, compte agence.

  3. 03
    Identifier les accès

    Qui peut se connecter ? Avec quel rôle ? Avec quelle adresse email ? Avec ou sans double authentification ?

  4. 04
    Corriger les actifs critiques

    Priorité au domaine, DNS, hébergement, sauvegardes et comptes administrateurs.

  5. 05
    Documenter

    Créer une fiche d’accès hors WordPress : où sont les accès, qui les détient, comment les révoquer, qui contacter.

  6. 06
    Sécuriser

    2FA, gestionnaire de mots de passe, comptes nominatifs, suppression des anciens accès, rôles adaptés.

  7. 07
    Prévoir la sortie

    Ajouter une clause de réversibilité, une procédure de restitution et un état technique en fin de contrat.

16. FAQ

Questions fréquentes

Déléguer oui, perdre la maîtrise non

Une PME peut parfaitement déléguer la gestion technique de son site web. C’est même souvent nécessaire. Mais déléguer ne doit pas signifier abandonner la maîtrise de ses actifs numériques.

Le domaine, le DNS, l’hébergement, les comptes administrateurs, les sauvegardes, les licences et les outils tiers doivent être connus, documentés et récupérables. Les accès doivent être suffisamment ouverts pour permettre au prestataire de travailler, mais suffisamment organisés pour éviter la dépendance, la perte de traçabilité ou le blocage en cas de changement.

La bonne question n’est donc pas : faut-il faire confiance au prestataire ?
La bonne question est : avons-nous organisé cette confiance avec des accès clairs, sécurisés et réversibles ?

Sources et références

  1. ANSSI — Maîtriser les risques de l’infogérance : perte de maîtrise, sécurité, responsabilités, sous-traitance et réversibilité.
  2. CNIL — Sous-traitant : la CNIL publie un guide RGPD : encadrement contractuel de la sous-traitance.
  3. CNIL — RGPD, chapitre IV, article 28 : obligations du sous-traitant et sous-traitants ultérieurs.
  4. WordPress.org — Roles and Capabilities : rôles utilisateurs par défaut et capacités associées.
  5. WordPress Developer Resources — Hardening WordPress : sécurité des accès, permissions, configuration, plugins et thèmes.
  6. ICANN — Name Holder FAQs : transfert de noms de domaine, changement de titulaire et verrou de transfert.
  7. Cybermalveillance.gouv.fr : bonnes pratiques, sensibilisation et assistance aux entreprises en cas d’incident cyber.

Laisser un commentaire

Secret Link

Message envoyé

Votre message a été envoyé.
Il sera traité dans les meilleurs délais