Sécurité des intranets d’entreprise : bonnes pratiques et vecteurs d’attaque négligés

1 avril 2026

Les intranets et plateformes collaboratives sont perçus comme des environnements « internes » et donc naturellement protégés. C’est précisément ce sentiment de sécurité qui en fait des cibles privilégiées.

Bonnes pratiques de sécurité : 3 vecteurs souvent sous-estimés

Les comptes orphelins

Un collaborateur quitte l’entreprise, son compte reste actif. Un prestataire termine sa mission, ses accès ne sont pas révoqués. Ces comptes orphelins sont une porte d’entrée silencieuse : ils ne déclenchent aucune alerte, leurs connexions semblent légitimes. Selon plusieurs études sectorielles, une part significative des incidents de sécurité internes implique des comptes non désactivés à temps. La revue régulière des accès n’est pas une option, mais doit devenir une mesure de base.

Les droits mal configurés

Sur les plateformes collaboratives, la gestion des droits s’accumule dans le temps : espaces créés, rôles attribués au fil des projets, permissions jamais révisées. Un utilisateur standard peut ainsi se retrouver avec des droits d’administration sur des espaces sensibles, sans que personne ne l’ait décidé explicitement. Un audit de droits annuel, couplé à une politique de principe du moindre privilège, réduit significativement cette surface d’attaque. Il ne faut pas se laisser dépasser, et ne pas avoir peur de remettre de l’ordre dans les groupes. Une bonne projection et une création attentive des groupes et leur droit, vous facilitera ensuite grandement la distribution des droits utilisateurs.

Les APIs exposées sans contrôle suffisant

Les intranets modernes exposent de plus en plus de web services pour s’intégrer aux outils métier. Et ces APIs sont rarement auditées avec le même niveau d’exigence que les interfaces utilisateur.

Retrouvez, plus d’information technique sur ce point dans cet article de F5 qui a produit une liste de contrôle pour la sécurité des API [Meilleures pratiques, tests et NIST] : https://www.f5.com/fr_fr/company/blog/api-security-checklist

Concrètement, voici quelques bonnes pratiques à mettre en place avec votre plateforme Silverpeas

Définir une politique de mots de passe

Nombreux de nos clients, ne sont pas concernés par ce choix au cœur de Silverpeas car ils utilisent une connexion SSO . Mais si ce n’est pas le cas, vous êtes-vous penché sur la politique des mots de passe de votre plateforme.

La politique que nous préconisons, c’est déjà que ce soit l’utilisateur lui même qui le définisse lors de sa première connexion. Et que le mot de passe valide les règles suivantes :

Une taille minimale : 8 caractères
En mixant au moins une lettre, un chiffre et un symbole
Une fréquence de changement est imposée, toutes les 100 connexions
Avec impossibilité de réutilisation le dernier mot de passe
Et verrouillage du compte après 3 tentatives avec le même login

Mais il ne tient qu’à vous de définir des règles plus ou moins complexe. Avec par exemple 12 caractères et un verrouillage au bout de 4 tentatives…Prenez le temps de personnaliser cela via le fichier de configuration password.properties pour les règles de validités du mot de passe et le fichier authenticationSettings.properties pour les autres aspects.

Sensibiliser les utilisateurs aux bonnes pratiques de sécurité

Utilisez votre plateforme pour informer, former, sensibiliser vos utilisateurs. Le facteur humain reste l’une des principales failles de sécurité. C’est un sujet est important, et il est pertinent que le service informatique et l’équipe de communication travaillent main dans la main pour sensibiliser ces utilisateurs. Afin de pousser régulièrement des petites piqures de rappel. Surtout que nous avons tous besoin d’être formé sur ces nouveaux sujets, que ce soit pour le pro comme pour le perso.

Identifier nommément chaque personne et distinguer les rôles

Oubliez les comptes génériques aux accès partagés. Et encore plus pour les accès administrateurs et gestionnaires. On s’imagine simplifier les choses, mais pour des raisons de traçabilités, chaque utilisateur doit avoir son propre compte. De plus nous vous rappelons que la gestion des droits sur Silverpeas est très fine. Elle vous permet de répondre à la complexité de votre organisation.

Anticiper et planifer la maintenance des logiciels et systèmes

Silverpeas étant en perpétuelle évolution. La grande partie de nos versions correctives comme majeures contiennent des correctifs dédiés à la sécurité de la plateforme. La notoriété de notre plateforme Open Source, avec son image Docker officielle, nous propulse en tête des cibles scrutées par la communauté sécurité. Nous bénéficions ainsi d’un flux régulier de retours de chercheurs et de white hats qui nous signalent les vulnérabilités découvertes — une forme d’audit continu, gratuit et bienveillant, que seuls les projets open source d’envergure attirent.

Cookie	Durée	Description
_GRECAPTCHA	5 months 27 days	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes. This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité". Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics". Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	Le cookie est défini par le plugin GDPR Cookie Consent pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Fonctionnel". The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire". Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Défini par le plug-in GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Autres". Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance". Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il fonctionne uniquement en coordination avec le cookie principal.
rc::a	never	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
rc::b	session	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
rc::c	session	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
rc::f	never	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.

Cookie	Durée	Description
cb-enabled	1 year	Ce cookie est associé au consentement au cookie. Ce cookie enregistre la préférence de l'utilisateur sur le consentement des cookies. Il enregistre si un utilisateur a rejeté l'avis pour éviter qu'il ne réapparaisse lors de la nouvelle visite du site Web. This cookie is associated with the cookie consent. This cookie saves the user preference on cookie consent. It saves whether a user has dismissed the notice to prevent it re-appearing on the re-visit to the website.
yt-player-headers-readable	never	The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience.
yt-remote-cast-installed	session	The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video.
yt-remote-fast-check-period	session	The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos.
yt-remote-session-app	session	The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player.
yt-remote-session-name	session	The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

Cookie	Durée	Description
_pk_id.1.ea11	13 months	(utilisé pour stocker des informations sur l’utilisateur, telles que l’identifiant unique du visiteur)
_pk_ses.1.ea11	1 hour	utilisé pour stocker les informations d’attribution, le référent initialement utilisé pour visiter le site Web
mtm_consent	never	Désactivé via : https://www.silverpeas.com/mentions-legales/

Cookie	Durée	Description
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies. The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur. A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 mois	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube. YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur à l'aide de la vidéo YouTube intégrée. YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur à l'aide de la vidéo YouTube intégrée. YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.