Sécuriser votre compte : mot de passe, rôles et portées des clés API
Les vrais contrôles de sécurité : changez votre mot de passe avec vérification OTP par email, appliquez des rôles à privilège minimal, limitez étroitement les clés API, et suspendez ou retirez des membres.
- 1
Ce que vous pouvez réellement contrôler
Quatre contrôles réels existent : votre mot de passe (vérifié par OTP par email), qui a accès à quoi (rôles), jusqu'où portent les clés API (scopes), et la coupure d'accès d'un membre (suspendre/retirer). Poser ces attentes honnêtement dès le départ évite de compter sur des contrôles que l'application n'a pas.
- 2
Changez votre mot de passe (Settings → Security)
Ouvrez Change Password, cliquez sur Send Verification Code, saisissez le code à 6 chiffres envoyé par email à l'adresse de votre compte, puis définissez un nouveau mot de passe (minimum 8 caractères, confirmé). Sans code, pas de changement.

- 3
Appliquez des rôles à moindre privilège
Attribuez aux membres le rôle le plus restreint qui leur permette de faire leur travail. Les propriétaires (owners) sont protégés — ils ne peuvent pas être suspendus ni retirés depuis le menu membre. Consultez le tutoriel sur les groupes de permissions et les rôles pour la configuration complète.
- 4
Limitez précisément le périmètre des clés API
Lors de la création d'une clé API Developer, n'accordez que les scopes nécessaires — par exemple
contacts:readpour un export en lecture seule — plutôt que le scope*à accès complet. Consultez le tutoriel sur la création de clés API Developer pour le pas-à-pas. - 5
Faites tourner ou révoquez les clés
La gestion des clés API (réservée aux admins/owners) permet de révoquer une clé dès qu'elle est exposée. Préférez plusieurs clés à périmètre restreint, révocables individuellement, à une seule clé toute-puissante.
- 6
Suspendre ou retirer un membre
Dans Team, ouvrez le menu d'un membre et choisissez Suspend (coupe temporairement l'accès, réversible via Unsuspend) ou Remove (révoque immédiatement l'accès ; la personne peut être réinvitée plus tard).
- 7
Une checklist rapide de durcissement
Mot de passe fort défini via OTP, chaque membre en moindre privilège, clés API limitées à des scopes précis plutôt qu'à
*, et suspension/retrait de toute personne qui quitte l'équipe.
Astuces de pro
Des raccourcis chèrement acquis pour garder le préchauffage sur la bonne voie.
Une clé API par intégration
Créez une clé par intégration avec uniquement les scopes nécessaires — quand l'une fuite, vous révoquez cette clé sans casser les autres.
Évitez les clés à accès complet pour les tâches en lecture seule
Ne distribuez jamais une clé API * (accès complet) pour une tâche en lecture seule ; contacts:read ou campaigns:read suffit généralement à un script.
Suspendez avant de retirer
En cas de doute, suspendez d'abord — c'est instantanément réversible. Le retrait signifie devoir réinviter la personne plus tard.
Protégez l'email de votre compte
Le changement de mot de passe requiert un code envoyé à l'adresse email de votre compte — gardez l'accès à cette boîte mail, sinon impossible de changer votre mot de passe.
Questions fréquentes
FirstSales prend-il en charge la 2FA / MFA ?
Pas actuellement. Vos contrôles de compte sont un changement de mot de passe vérifié par OTP email, des rôles à moindre privilège, des clés API limitées par scope, et la suspension/le retrait de membres. Utilisez un mot de passe fort et unique, ainsi que des rôles stricts.
Comment changer mon mot de passe ?
Settings → Security → Change Password → recevez un code à 6 chiffres par email → vérifiez-le → définissez un nouveau mot de passe (minimum 8 caractères).
Puis-je déconnecter d'autres appareils ou voir les sessions actives ?
Il n'existe pas aujourd'hui d'écran de gestion des sessions. Pour couper l'accès d'une personne, suspendez-la ou retirez-la de l'équipe.
Comment limiter ce qu'une clé API peut faire ?
Choisissez des scopes précis lors de sa création (lecture/écriture par ressource). Évitez le scope * à accès complet sauf si vous en avez vraiment besoin. La gestion des clés est réservée aux admins/owners.
Quelle est la différence entre suspendre et retirer un membre ?
Suspend bloque temporairement l'accès et est réversible (Unsuspend). Remove révoque immédiatement l'accès ; la personne peut être réinvitée plus tard.
Un admin classique peut-il supprimer le propriétaire ?
Non — le propriétaire (owner) est protégé ; le menu suspendre/retirer n'apparaît pas pour les owners (ni pour vous-même).
Prêt à passer à la pratique ?
Démarrez votre essai FirstSales et lancez une boîte mail préchauffée et authentifiée en quelques minutes.
Commencer pour 1 $