Aller au contenu
MonGhl
VérifiéPoint de vue : agence

Comment sécuriser les clés API d'agence GoHighLevel ?

Révisé le 2026-07-12 · Public : agences

Travail sur ordinateur portable près d’un café

Une clé API agence compromise expose tous les sous-comptes liés. Le partage informel (Slack, courriel, Notion public) est le scénario le plus fréquent, pas le hacking sophistiqué.

Ce guide centralise les clés, limite les scopes, planifie rotation et révoque proprement.

Ce que vous allez mettre en place

  1. Coffre mots de passe équipe (1Password, Bitwarden).
  2. Clés par intégration nommées et datées.
  3. Calendrier rotation trimestrielle.

Avant de commencer

  • Accès Settings > API Keys compte agence.
  • Politique sécurité interne.
  • 30 minutes.

Étape 1 : Inventorier les clés actives

Listez chaque clé : nom, créée par, usage (Zapier, script interne, dashboard), sous-comptes touchés. Révoquez les « je sais plus ».

Étape 2 : Migrer vers un coffre

Stockez les clés uniquement dans coffre équipe. Interdiction Slack/courriel. Partage via vault item avec accès role-based.

Étape 3 : Principe du moindre privilège

Créez des clés dédiées par intégration au lieu d'une méga-clé agence. Limitez scopes aux endpoints requis (contacts read vs write).

Étape 4 : Séparer prod et sandbox

Scripts de test utilisent sous-compte sandbox ou clé restreinte. Jamais de tests destructifs sur prod client.

Étape 5 : Planifier la rotation

Trimestriel : générer nouvelle clé, mettre à jour intégrations, révoquer ancienne après 48 h monitoring. Notez dans calendrier ops.

Étape 6 : Réagir à une fuite

Procédure incident : révoquer immédiatement, auditer logs API si disponible, notifier clients impactés si données exposées.

Checklist : sécurité clés API

Pièges qu'on voit tout le temps

  • Clé agence dans Zapier partagé avec stagiaire sans revue.
  • Rotation jamais faite depuis 2 ans.
  • Même clé pour scripts backup et intégration client.
  • Logs API jamais consultés.

Vous avez réussi si…

  1. Zéro clé en clair hors coffre.
  2. Rotation trimestrielle exécutée sans casser intégrations.
  3. Incident simulé : révocation en moins de 10 minutes.

Voir aussi