Qu’il soit voulu ou contraint, le départ d’un cofondateur ou d’un associé ne s’improvise pas. Parce qu’il touche à tous les étages de l’entreprise, et qu’en PME, les lignes sont souvent plus poreuses, les responsabilités croisées, les accès partagés, mieux vaut sécuriser méthodiquement la transition pour éviter les tensions… et les failles.

Offboarding d’un cofondateur ou d’un associé en PME : les points à ne surtout pas négliger. © Andrey_Popov / Shutterstock
Offboarding d’un cofondateur ou d’un associé en PME : les points à ne surtout pas négliger. © Andrey_Popov / Shutterstock
Proton Business SuiteProton Business Suite
8.7/10

Offre partenaire

Des solutions simples et chiffrées pour protéger votre entreprise

Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.

Essayer Proton Business Suite gratuitement !

Offre partenaire

Contrairement aux salariés, les cofondateurs et cofondatrices, tout comme les associés impliqués dans la gestion de l’entreprise, concentrent souvent un accès direct au plus important : comptes administrateur, code source, canaux de paiement, systèmes de déploiement, domaines, secrets de production. Leur offboarding doit donc être pensé comme un plan de sécurisation technique et organisationnelle, afin de maintenir la continuité de service et réduire les risques d’accès abusif, de désorganisation ou de fuite d’informations.

Cartographier les pouvoirs techniques et les surfaces d’accès

Avant toute procédure, dressez l’inventaire précis de tout ce que la personne peut actionner. Identité et SSO (connexion unique) via l’IdP (service d’identités), rôles d’admin et de facturation dans les services cloud, dépôts de code et pipelines CI/CD (intégration et déploiement continu), registres de conteneurs, domaines et DNS, clés de signature et secrets, outils métiers et support client.

Incluez les boîtes partagées, les délégations d’agenda, les accès IMAP historiques et les règles de transfert automatique des mails, souvent oubliées. Notez aussi les intégrations applicatives accordées en un clic (OAuth), y compris les comptes de service et applications « non humaines », les tokens longue durée et refresh tokens potentiellement stockés dans des scripts, conteneurs ou runners. Recensez également les espaces personnels utilisés à des fins pro pour organiser une migration contrôlée. Vous pourrez ensuite passer aux mesures de reprise.

Reprendre le contrôle des accès et des systèmes

C’est le cœur du dispositif cyber. L’entreprise doit reprendre la main sur tous les accès sensibles (outils métiers, services cloud, CRM, ERP, outils de déploiement, consoles publicitaires, noms de domaine, plateformes de publication) et assainir la chaîne d’authentification.

Les rôles d’administrateur, de gestionnaire de facturation et d’utilisateur principal doivent être attribués à des comptes internes et supervisés. Les facteurs d’authentification (2FA, clés physiques, applications mobiles) doivent être réinitialisés ou récupérés, et les accès personnels désactivés. Les postes personnels utilisés à des fins professionnelles, notamment dans les contextes BYOD, doivent être audités, et les données, secrets ou documents professionnels qu’ils contiennent, rapatriés ou effacés en accord avec la personne concernée. Si un MDM est en place, vérifiez que le poste est bien enrôlé et qu’un effacement sélectif est possible.

Par la même occasion, prévoyez des comptes de secours « break-glass », remplacez partout les contacts et méthodes de récupération personnels par des adresses d’équipe, révoquez les sessions actives, désactivez les comptes dans l’IdP, vérifiez la propagation du déprovisionnement via SCIM, régénérez les secrets (clés API, JWT, clés SSH), mettez à jour les certificats, contrôlez les webhooks, transférez les domaines vers des comptes internes, vérifiez les droits d’écriture dans les dépôts, chaînes de publication et pipelines.

Pensez aussi à faire une passe spécifique sur les messageries pour supprimer règles de transfert et délégations résiduelles, puis une passe sur les applications OAuth accordées par la personne sortante. À l’arrivée, tous les accès doivent être exclusivement rattachés à des comptes détenus par l’entreprise.

Quand un cofondateur ou un associé s'en va, l'entreprise doit intégralement reprendre la main sur le contrôle des accès et des systèmes. © Miha Creative / Shutterstock

Sécuriser les moyens de paiement et les postes de facturation

Avant d’être une PME structurée, l’entreprise était sans doute une TPE, voire une micro-entreprise à laquelle le cofondateur ou la cofondatrice a personnellement mis la main à la pâte : compte bancaire ouvert à son nom, bail signé en direct, carte personnelle utilisée pour les premiers abonnements SaaS, adresse privée saisie dans les outils de facturation. Une situation qu’il est impératif de clarifier avant le départ, en identifiant et en sécurisant tous les outils permettant d’engager ou de recevoir des paiements, de modifier des coordonnées bancaires ou d’accéder à des données sensibles.

Dans les passerelles de paiement et plateformes d’abonnement, changez les codes PIN, activez la MFA, supprimez les cartes personnelles enregistrées, mettez à jour les clés d’API, et resserrez les rôles (principe du moindre privilège), avec alertes sur les changements d’IBAN et exports massifs. Les contacts administratifs doivent également être actualisés, tout comme les mandats SEPA ou LCR, les ordres de prélèvement, les attestations d’assurance ou les contrats fournisseurs.

Organiser la passation et garder la maîtrise de l'information

Un départ mal encadré peut laisser l’équipe dans le flou, freiner les opérations ou créer des tensions évitables. D’où l’importance de soigner la passation, qui doit être structurée, documentée et transparente.

Tous les éléments précédemment identifiés doivent formellement être transmis à des référents désignés, dans une documentation écrite précisant ce qui a été transféré, à qui, sous quelle forme et selon quel calendrier, afin de produire une base lisible et exploitable, qui servira de référence aux équipes, à la direction et aux audits, et devra être conservée à des fins de traçabilité, avec un dossier de preuve formalisé, utile en cas d’audit ou de conflit ultérieur. N'oubliez pas de prévenir partenaires et prestataires pour anticiper toute usurpation ou phishing post-départ.

S’agissant des actifs numériques à forte valeur (code source, livrables design, documents de cadrage, chartes, scripts, maquettes, modèles d’IA, configurations techniques, dépôts Git, environnements de production ou de staging), l’ownership doit être rattaché à des comptes organisationnels avec contrôle exclusif des accès. Sécurisez les dépôts et registres, protégez les branches, contrôlez l’accès aux certificats de build mobile et aux comptes développeur et clés associées.

Côté sauvegardes, assurez-vous que l’entreprise détient les clés de chiffrement KMS et les passphrases de backup. Enfin, une période de surveillance renforcée de trente jours permet de suivre les ajouts de super-admin, créations de clés d’API, changements de rôles et modifications DNS.

En cas de conflit, prioriser la sécurité

En cas de conflit, la priorité reste la sécurité de l’entreprise. Si la négociation de sortie dérape, révoquez les accès sans attendre, activez la télémétrie, surveillez les modifications suspectes, conservez les preuves, auditez les tâches automatisées pour contenir les risques immédiats. La réponse juridique interviendra dans un second temps.