Portail manager : ce qu'un manager peut voir sur ses salariés (et ne devrait pas)
> En bref : Les portails manager sont souvent trop permissifs par défaut. Trois erreurs d'accès à corriger avant un audit client.
Quelles données RH un manager ne devrait-il jamais voir ?
Le portail manager mérite un audit dédié
Dans beaucoup de SIRH, le périmètre d'un manager est défini par une règle simple : "les salariés de mon équipe". La règle est souvent appliquée côté interface, pas côté base.
Pour aller plus loin — lire notre audit sécurité des logiciels de paie.
Les erreurs qu'on retrouve
manager_id mais n'empêche pas de changer ce filtre.Le test qui remonte tout
Se connecter avec un compte manager, essayer de lire les données d'un salarié hors de son équipe via l'API. Si ça passe, la règle n'est pas au bon endroit.
Pour les éditeurs RH & Paie
CleanIssue est spécialisé dans l'audit des logiciels RH, paie et recrutement. Si vous éditez un SIRH, un outil de paie ou un ATS en France et que vous voulez une revue externe de votre exposition avant un audit client ou une revue sécurité, voyez notre offre dédiée aux éditeurs RH & Paie.
À retenir
Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.
Pour aller plus loin
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
DPAE et fuite de données : où sont vraiment les risques ?
Les flux de DPAE touchent à des données sensibles et sont souvent traités comme de simples opérations métier, alors qu'ils créent aussi des risques d'accès et de traçabilité.
Multi-tenant SIRH : comment on vérifie qu'un client ne voit pas les données d'un autre
Les erreurs d'isolation multi-tenant sont les plus chères dans un SIRH. Trois tests rapides à faire avant une revue client.
Portail salarié et RLS : ce qui casse vraiment la séparation
Même avec RLS activé, un portail salarié peut exposer trop d'informations si les règles métier restent incomplètes.
Sources
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.