Sécurité du compte
Mis à jour le 8 juillet 2026
Votre compte contient les pointages et les données professionnelles de votre entreprise ; il mérite donc plus qu'un simple mot de passe. Tout ce qui est décrit dans ce guide se fait depuis le menu de votre profil : Sécurité et vérification en 2 étapes, Sessions actives et Changer le mot de passe.
Vérification en deux étapes
Avec la vérification en deux étapes, après avoir saisi votre mot de passe, un code à usage unique vous sera demandé. Vous avez le choix entre deux méthodes :
- Application d'authentification (TOTP) : des codes à 6 chiffres qui changent toutes les 30 secondes, générés par Google Authenticator, Authy, 1Password ou toute application compatible. C'est la méthode recommandée : elle fonctionne sans réseau ni e-mail.
- Code par e-mail : à chaque connexion, nous vous envoyons un code à 6 chiffres sur votre adresse, valable 10 minutes.
Activer la méthode par application d'authentification
- Allez dans Sécurité et vérification en 2 étapes depuis votre profil.
- Choisissez l'option application d'authentification. Vous verrez un code QR et, si vous ne pouvez pas le scanner, la clé secrète à saisir à la main.
- Scannez le QR avec votre application et saisissez le code à 6 chiffres qu'elle affiche pour confirmer l'activation.
- Conservez les codes de récupération qui s'affichent ensuite.
Tant que vous n'avez pas confirmé le code, la vérification reste en attente et votre connexion continue de fonctionner avec le seul mot de passe. Si vous changez d'avis à ce stade, vous pouvez l'annuler sans autre conséquence.
Activer la méthode par e-mail
Un seul clic sur le même écran : aucune confirmation préalable n'est requise et, à l'activation, vous recevez également vos codes de récupération.
Codes de récupération
À l'activation de l'une ou l'autre méthode, 10 codes de récupération au
format xxxx-xxxx sont générés. Chacun vaut pour une seule connexion si
vous perdez votre téléphone ou l'accès à votre messagerie : sur l'écran du
code, utilisez l'option code de récupération.
Les codes ne s'affichent qu'une seule fois, au moment de leur génération ; ils sont stockés chiffrés et ne peuvent plus être consultés. Notez-les dans un gestionnaire de mots de passe ou imprimez-les. Si vous les perdez, vous pouvez les régénérer depuis le même écran (les anciens cessent d'être valables).
Désactiver la vérification
Depuis le même écran, en saisissant votre mot de passe actuel. La désactivation supprime également le secret et les codes de récupération.
Sessions actives et déconnexion à distance
Dans Sessions actives, vous voyez toutes les sessions ouvertes avec votre compte, triées par dernière activité, avec la session en cours signalée. De là, vous pouvez :
- Fermer une session précise (n'importe laquelle sauf celle que vous utilisez) : utile si vous avez laissé votre compte ouvert sur un poste partagé.
- Fermer toutes les autres sessions d'un coup, en confirmant avec votre mot de passe actuel. La session depuis laquelle vous le faites reste active.
Les sessions expirées par inactivité disparaissent d'elles-mêmes de la liste.
Changer le mot de passe
- Allez dans Changer le mot de passe depuis votre profil.
- Saisissez votre mot de passe actuel et le nouveau deux fois. Le nouveau doit comporter au moins 8 caractères et être différent de l'actuel.
- À l'enregistrement, par sécurité, toutes vos autres sessions sont fermées (la session en cours est conservée) et vous recevez un e-mail d'alerte dans votre langue.
Le changement est consigné dans le journal d'audit de votre entreprise. Si vous recevez l'e-mail d'alerte sans avoir changé vous-même le mot de passe, réinitialisez-le immédiatement et vérifiez vos Sessions actives.
Si vous ne vous souvenez plus de votre mot de passe, utilisez le lien de récupération de l'écran de connexion : nous vous enverrons un e-mail pour le réinitialiser.
Protections d'accès automatiques
En plus de ce que vous configurez, la plateforme applique ces défenses par défaut :
| Protection | Comment ça fonctionne |
|---|---|
| Limite de tentatives de connexion | Maximum de 5 tentatives par minute par combinaison e-mail + IP ; un attaquant ne peut pas vous bloquer depuis une autre IP, et un bureau avec une IP partagée n'épuise pas le quota de tout le monde. |
| Limite sur le code en 2 étapes | Après 5 codes erronés, il faut attendre avant de réessayer. |
| Limite sur les formulaires publics | L'inscription et la récupération de mot de passe admettent 10 envois par minute par IP. |
| Captcha | reCAPTCHA v3 invisible sur la connexion, l'inscription et la récupération de mot de passe ; la case de vérification v2 n'apparaît que si le score est faible. |
Prochaines étapes
- Si vous venez de créer votre compte, relisez les premiers pas.
- Les administrateurs gèrent les arrivées et les départs de l'équipe dans Salariés.
Vous ne trouvez pas ce que vous cherchez ?
Écrivez-nous par le chat de support et nous vous aidons directement.