E-commerce
25 mars 2025
Marketing, support, logistique, finance : plus votre équipe grandit, plus l'admin Shopify concentre d'actions sensibles (commandes, clients, paiements, applications). Les rôles et les autorisations permettent d'appliquer le principe du moindre privilège sans micro-ger chaque case à cocher par personne. Ce guide s'appuie sur la documentation officielle : Gestion des utilisateurs, Autorisations, Gestion des rôles, Autorisations sensibles, les paramètres de sécurité et la fiche OWASP Authorization Cheat Sheet pour le cadre « qui peut faire quoi » côté sécurité applicative. Pour un autre angle pas à pas, voyez aussi RBAC dans l'admin Shopify.
L'objectif n'est pas de citer des moyennes globales de coûts de fuite : il s'agit de structurer les accès, de documenter les rôles, et de réviser les permissions lorsque l'organisation change.
Sommaire
RBAC et vocabulaire Shopify
Le contrôle d'accès par rôles (RBAC) regroupe des autorisations dans des rôles réutilisables. Dans Shopify, un rôle porte un nom, une description et un ensemble d'autorisations ; vous l'attribuez ensuite aux comptes qui en ont besoin. La gestion des utilisateurs indique que rôles et autorisations servent à octroyer le niveau d'accès nécessaire tout en limitant ce qui n'est pas indispensable au travail.
« Les autorisations octroient ou restreignent l'accès à des zones spécifiques de votre entreprise pour un contexte donné. Vous pouvez attribuer des autorisations à des rôles pour accorder à un utilisateur des niveaux d'accès granulaires en fonction de la catégorie de rôle. »
Centre d'aide Shopify, page Autorisations (traduction et citation libres)
Point d'entrée courant : Paramètres > Utilisateurs > onglets Utilisateurs et Rôles, selon votre contexte boutique seule ou organisation. L'interface exacte peut varier si vous êtes sur une organisation multi-boutiques.
Le RBAC ne remplace pas la politique de sécurité interne : il l'opérationnalise. Dès que plus d'une personne se connecte à l'admin, fixez des règles sur les comptes partagés (à proscrire sauf cas exceptionnel documenté), la rotation des mots de passe pour les comptes techniques, et le recours aux comptes nominatifs pour toute action traçable sur les commandes ou les données clients.
Types d'autorisations : boutique, organisation, POS
Shopify distingue plusieurs familles d'autorisations :
Boutique : pour les rôles de catégorie « Rôle de la boutique ».
Organisation : pour les rôles de catégorie « Rôle de l'organisation » (contexte multi-boutiques).
Shopify POS : pour les rôles POS lorsque le point de vente est utilisé.
Certaines tâches (gestion fine des utilisateurs et des rôles) ne sont pas exposées comme de simples cases à cocher : elles sont réservées aux profils autorisés, comme expliqué dans les exigences en matière de gestion des utilisateurs.
Catégories de rôles et forfaits
La page Gestion des rôles précise que les types de rôles disponibles dépendent du forfait, de l'appartenance à une organisation, de Shopify Plus pour certains rôles d'organisation personnalisés, et de la présence de POS Pro pour les rôles POS. Les rôles gérés par Shopify ne sont pas modifiables : vous dupliquez ou créez des rôles personnalisés à côté d'eux.
Question | Piste de réponse |
|---|---|
Puis-je créer des rôles sur Basic ou Starter ? | La doc lie les rôles personnalisés de boutique aux forfaits au-delà de Basic/Starter ; vérifiez votre écran et la page d'aide à jour. |
Plus et organisation | Les rôles d'organisation personnalisés concernent notamment le contexte Plus et multi-boutiques. |
POS | Rôles POS et employés POS si canal POS + emplacement avec POS Pro. |
Autorisations sensibles et données clients
Les autorisations sensibles donnent accès à des données privées : finances, moyens de paiement de facturation, demandes de données clients, ou informations sensibles d'entité commerciale en organisation. Les octroyer permet de déléguer des flux (par ex. aspects RGPD ou paramètres de paiement) tout en répartissant les tâches entre plusieurs personnes plutôt que de concentrer tous les accès sur un seul compte.
Du point de vue conformité, reliez chaque autorisation sensible à une procédure interne : qui peut approuver une exportation, qui peut modifier un moyen de paiement, et comment vous tracez l'action dans vos outils (tickets, notes internes). Le site de la CNIL rappelle les droits des personnes sur leurs données : vos rôles doivent être cohérents avec qui est habilité à répondre aux demandes.
Créer, dupliquer et modifier un rôle
La création suit le chemin documenté : Paramètres > Utilisateurs > Rôles > Ajouter un rôle, choix de la catégorie, nom, description, puis sélection des autorisations et éventuellement des applications accessibles. La duplication copie un rôle existant non géré par Shopify pour accélérer un rôle voisin (par ex. « Support Niveau 1 » à partir de « Support Niveau 2 » avec moins de cases).
Si vous devez changer de catégorie de rôle après coup, la documentation indique qu'il faut créer un nouveau rôle : la catégorie n'est pas modifiable après création. Prévoyez un nommage stable (support_tier1_v2 interne) pour éviter la prolifération de rôles morts.
Attribuer des rôles et accès multi-boutiques
La page Gestion des rôles indique explicitement que un ou plusieurs rôles peuvent être attribués à un utilisateur (ou à un membre du personnel POS), afin d'affiner les permissions de façon uniforme et de limiter les accès accidentels. Pour les organisations, vous pouvez ensuite ajuster les boutiques auxquelles l'utilisateur a accès après attribution d'un rôle de boutique.
En pratique, évitez d'empiler des rôles sans carte claire : chaque combinaison devrait correspondre à un intitulé de poste ou à un cas d'usage nommé, sinon les audits deviennent opaques.
Rôles POS et personnel en magasin
Si vous vendez en magasin, les autorisations POS déterminent ce que le personnel peut faire en caisse : remises, remboursements, ouverture de tiroir, rapports. Elles dépendent de la présence du canal POS et de POS Pro sur au moins un emplacement, comme rappelé dans la rubrique sur les critères d'admissibilité. Alignez les rôles POS sur vos procédures anti-fraude : séparer la personne qui valide un remboursement élevé de celle qui encaisse le jour même si l'outil le permet.
Comptes collaborateur et partenaires
Les comptes collaborateur permettent à des partenaires Shopify d'intervenir sur votre boutique avec des autorisations contrôlées. Distinguez-les des comptes staff internes : la gouvernance (qui invite qui, durée, périmètre d'apps) doit être aussi claire que pour un employé.
Pour chaque prestataire, listez les applications concernées, les accès thématiques (thème, catalogue, facturation) et la date de fin de mission. Lorsque le projet se termine, révoquez l'accès collaborateur avant de clôturer le contrat : un délai trop long entre la fin de mission et la désactivation est une source fréquente d'exposition inutile.
Groupes d'utilisateurs
Shopify permet aussi de structurer les utilisateurs via des groupes dans les contextes où cette fonctionnalité est disponible. Les groupes complètent les rôles lorsque vous devez appliquer des politiques communes à des équipes entières (par ex. accès à un ensemble de boutiques ou segments d'organisation). Vérifiez dans votre admin si votre abonnement et votre structure exposent les groupes : l'interface évolue avec les forfaits organisation et Plus.
En pratique, un groupe peut servir de « balise » RH pour l'audit : « tous les employés du magasin de Lyon » sans remplacer le rôle métier qui définit les autorisations fines. Évitez de multiplier les groupes redondants avec les rôles : gardez une règle simple, par exemple rôle = permissions, groupe = périmètre organisationnel.
Autorisations et page Paramètres
Certaines actions dans Paramètres (facturation, moyens de paiement, utilisateurs) exigent des autorisations spécifiques. La page sur les autorisations requises pour les options sur la page Paramètres détaille ces dépendances : utile lorsqu'un membre d'équipe voit un menu grisé sans comprendre pourquoi. En cas de blocage, commencez par vérifier le rôle, puis les autorisations sensibles, puis l'appartenance à une organisation multi-boutiques.
Documentez en interne qui peut inviter de nouveaux utilisateurs : sur les boutiques non Plus, la documentation restreint souvent la gestion des utilisateurs au propriétaire et aux administrateurs de boutique ; dans une organisation, d'autres rôles d'organisation peuvent entrer en ligne de compte. Reportez-vous aux tableaux de la page exigences en matière de gestion des utilisateurs pour votre cas.
Invitations, export CSV et revues
Le processus d'invitation d'utilisateurs doit être standardisé : email professionnel, nom du rôle attribué avant l'envoi, et vérification que le collaborateur a bien accepté l'invitation. Les comptes en attente représentent un risque si l'email a été saisi incorrectement : un domaine mal orthographié envoie une invitation à l'extérieur.
Lorsque votre organisation le permet, l'export CSV des informations de gestion des utilisateurs facilite les revues périodiques : croisez la liste avec votre annuaire RH pour repérer les comptes orphelins. Planifiez une revue trimestrielle des rôles : les équipes changent plus vite que la documentation interne.
Moindre privilège, audit et 2FA
L'OWASP recommande de concevoir des systèmes où les utilisateurs n'obtiennent que les droits nécessaires à leur fonction et de réviser régulièrement ces droits. C'est l'esprit du Authorization Cheat Sheet, transposable à votre matrice Shopify : moins de comptes « admin de la boutique » au quotidien, plus de rôles métier explicites.
Shopify relie aussi les autorisations sensibles à la confiance dans l'authentification à deux facteurs : la page sur les autorisations sensibles mentionne l'intérêt de la 2FA pour réduire le risque sur les comptes qui manipulent des données critiques. Exigez la 2FA pour les propriétaires et administrateurs, et formez les équipes au phishing ciblé sur les accès e-commerce.
Exemples de matrices par métier
Les tableaux ci-dessous sont des modèles de départ : adaptez-les à votre plan, vos apps et vos exigences légales.
Rôle métier | Permissions typiques | À éviter |
|---|---|---|
Service client | Commandes (voir, modifier), clients, création de bons de commande | Paramètres de paiement globaux sans nécessité |
Logistique | Commandes (traitement), produits (vue), stocks | Suppression d'apps ou facturation |
Marketing contenu | Produits, collections, contenus, campagnes selon périmètre | Export massif de données clients sans cadre |
Pour les opérations sur le catalogue détaillées, gardez le lien avec l'ajout de produits et les règles de qualité de données.
Les équipes finance ont souvent besoin d'exporter des rapports sans pour autant modifier les moyens de paiement : séparez « voir les paiements » et « modifier les paramètres de facturation » lorsque l'interface le permet, plutôt que de donner un rôle administrateur complet. Les équipes juridique / conformité peuvent nécessiter des autorisations liées aux demandes de données clients : reliez ce périmètre à votre registre des traitements et à vos procédures internes RGPD.
Applications tierces et périmètre d'accès
Lors de la création ou de l'édition d'un rôle, la section Autorisations d'application permet de limiter quelles apps un utilisateur voit dans l'admin. C'est utile lorsqu'une équipe n'utilise qu'un outil d'emailing ou qu'un connecteur ERP : réduire la liste limite les risques de mauvaise manipulation et clarifie l'interface. Croisez avec votre politique d'achat d'apps : chaque nouvelle installation ne devrait pas impliquer « accès complet pour tout le monde » par défaut.
Les apps peuvent aussi demander des scopes API étendus côté développeur : du point de vue gouvernance, tenez une liste des intégrations approuvées et désactivez les accès staff aux apps obsolètes lorsque vous changez d'outil. Pour une vue d'ensemble des intégrations, voir intégrations Shopify.
Erreurs fréquentes
Erreur | Risque | Correctif |
|---|---|---|
Trop de profils « administrateur » | Surface d'attaque large | Rôles intermédiaires documentés |
Rôles dupliqués sans maintenance | Permissions obsolètes | Revue trimestrielle, suppression des rôles inutilisés |
Oublier le retrait d'accès à un départ | Comptes orphelins | Checklist offboarding + désactivation |
Partenaires avec trop de périmètre | Exposition prolongée | Collaborateur limité dans le temps et par app |
Checklist rapide à l'arrivée d'un collaborateur
Définir le rôle ou la combinaison de rôles avant l'invitation.
Inviter l'utilisateur et vérifier l'accès aux bonnes boutiques.
Valider une action test (voir une commande, ajuster un stock) dans le périmètre prévu.
Documenter le rattachement dans votre référentiel interne RH / IT.
Chatbot et surface d'exposition
Un chatbot comme Qstomy traite les questions visiteurs sur la boutique publique : il ne remplace pas la gouvernance des comptes staff, mais il réduit le besoin de donner des accès admin à des équipes qui n'avaient accès qu'à des réponses FAQ. Moins de comptes sensibles, moins de risque, à condition de garder le bot à jour avec vos politiques.
Résumé
Les contrôles d'accès par rôle dans Shopify s'appuient sur des autorisations regroupées dans des rôles personnalisables, avec des règles différentes selon forfait, organisation, Plus et POS. Identifiez les autorisations sensibles, limitez les comptes à privilèges élevés, dupliquez les rôles pour itérer vite, et révisez les combinaisons lors des changements d'équipe. Appuyez-vous sur la documentation Shopify et sur les bonnes pratiques OWASP pour structurer vos revues d'accès.
Pensez aussi aux collaborateurs externes, aux exports utilisateurs et aux apps : chaque canal d'accès doit avoir un propriétaire et une date de revue. Un admin propre réduit les erreurs humaines sur les commandes et les données clients, et facilite la croissance de l'équipe sans multiplier les comptes « super-admin » par défaut.
FAQ
Un utilisateur peut-il avoir plusieurs rôles ?
Oui. La documentation sur la gestion des rôles indique qu'un ou plusieurs rôles peuvent être attribués à un même utilisateur afin d'affiner les permissions de manière uniforme.
Combien de rôles personnalisés puis-je créer ?
Cela dépend de votre forfait et des limites affichées dans l'admin ; vérifiez aussi la page nombre maximal d'utilisateurs par forfait.
Puis-je modifier un rôle géré par Shopify ?
Non. Les rôles gérés par Shopify ne sont pas modifiables ; dupliquez-les ou créez un rôle personnalisé, comme indiqué dans la page sur la gestion des rôles.
Que se passe-t-il si je modifie un rôle existant ?
Les changements s'appliquent aux utilisateurs qui ont ce rôle : planifiez la communication et testez sur un compte pilote si le périmètre est large.
Faut-il se baser sur des études de coût de fuite pour décider des rôles ?
Les rapports sectoriels peuvent sensibiliser, mais vos décisions doivent reposer sur votre surface réelle (nombre d'admins, apps, partenaires) et sur la documentation Shopify, pas sur des chiffres moyens déconnectés de votre contexte.
Comment révoquer l'accès rapidement ?
Retirez les rôles, désactivez le compte ou supprimez l'utilisateur selon votre procédure ; documentez l'action dans votre ticket interne. Pour les organisations multi-boutiques, vérifiez aussi l'accès aux boutiques afin de ne laisser aucun magasin accessible par erreur.
Obliger la 2FA pour les équipes
Shopify propose des paramètres de sécurité pour renforcer les comptes ; combinez exigence de mot de passe fort, 2FA et revue des autorisations sensibles pour les profils qui voient des données financières ou des exports clients.
Aller plus loin
25 mars 2025
