Chaque départ d'un collaborateur ouvre une brèche potentielle dans votre système informatique. Les badges non récupérés, les mots de passe actifs, les accès cloud encore valides peuvent tous devenir des points d'entrée pour des attaques. L'offboarding informatique exige une rigueur que beaucoup de PME négligent encore.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
En 2023, 78 % des TPE et PME en quête d'embauche ont rencontré des difficultés pour recruter, selon l'enquête Bpi France/Rexecode, mais ces mouvements de personnel concernent autant les embauches que les offboardings (départs). Le taux de turnover moyen en France atteint 16 % en 2024. Dès lors qu'on sait qu'au troisième trimestre 2024, on comptait 481 200 démissions de CDI en France métropolitaineselon la DARES, on comprend mieux qu'il est important de savoir récupérer tous les accès et protéger les données sensibles pour éviter de les retrouver exploitées à des fins malveillantes, magré soi.
Si votre DRH organise les entretiens de départ et gère les formalités administratives, c'est le service informatique qui doit colmater les failles de sécurité. Un salarié qui quitte l'entreprise emporte avec lui des semaines, des mois, parfois des années d'accès à des outils, des documents, des bases clients. Si personne ne révoque ces accès rapidement, l'ancien employé garde les clés de la maison, qu'il parte en bons ou en mauvais termes.
Ce qu'un salarié manipule au quotidien
Tout au long de sa vie dans l'entreprise, un collaborateur accumule des accès à une dizaine, parfois une vingtaine d'applications et de systèmes. Il a son ordinateur portable, son téléphone professionnel, son badge d'accès aux locaux. Il s'identifie chaque matin sur Active Directory, se connecte à la messagerie professionnelle, consulte le serveur de fichiers, utilise les outils métiers, accède à des plateformes SaaS comme les suites bureautiques cloud, les logiciels de gestion de projet, les CRM. Il possède des identifiants pour chaque application, des mots de passe qu'il a peut-être enregistrés dans son navigateur ou notés quelque part.
Certains collaborateurs ont accès à des données clients, à des plans stratégiques, à des informations financières sensibles. Ils stockent des documents sur leur poste de travail, synchronisent des dossiers sur des espaces cloud personnels ou professionnels, utilisent des clés USB pour transférer des fichiers. Ils échangent des e-mails contenant des informations confidentielles, partagent des documents via des liens temporaires, participent à des groupes de discussion sur des messageries instantanées.
Sans oublier que le télétravail a multiplié les points d'accès. Les collaborateurs se connectent depuis leur domicile via un VPN, utilisent leur connexion personnelle, parfois leur propre matériel en BYOD (Bring Your Own Device). Ils ont installé des applications professionnelles sur leur smartphone personnel, reçoivent des notifications de la messagerie d'entreprise, accèdent aux documents partagés depuis n'importe quel endroit. À chaque nouvel outil adopté, un nouveau compte utilisateur, un nouvel accès potentiel qu'il faudra désactiver le jour du départ.
Enfin, comme on l'a vu, les profils à responsabilités ont des accès encore plus étendus. Ils gèrent des droits d'administration sur certaines applications, peuvent créer ou supprimer des comptes utilisateurs, modifier des paramètres sensibles, accéder à des serveurs critiques soit autant de privilèges à risque maximal s'ils ne sont pas révoqués immédiatement après le départ. Les services RH et finance manipulent des données personnelles des autres salariés, des bulletins de paie, des contrats. Les commerciaux ont accès aux bases clients complètes, aux historiques d'achat, aux projections de vente. Les équipes techniques consultent le code source, les architectures réseau, les configurations serveur.
Les dangers d'un accès conservé après le départ
S'il quitte votre entreprise avec ses accès actifs, un ancien salarié peut continuer à consulter les e-mails professionnels, télécharger des fichiers, accéder aux bases de données. Même sans mauvaises intentions, il est à lui seul une faille de sécurité. Son ancien compte se retrouve une cible facile pour des cybercriminels qui cherchent des portes d'entrée.
Et si le départ se passe mal, la situation peut rapidement devenir très critique. Votre ancien collaborateur mécontent peut utiliser ses accès pour nuire à votre entreprise, voler des données sensibles, les divulguer à des concurrents ou encore les vendre sur internet. En 2018, Tesla a accusé un ancien salarié de sabotage et de vol d'images confidentielles. Les données volées peuvent inclure des listes clients, des plans stratégiques, des informations financières, du code source. Leur divulgation porte atteinte à la réputation de l'entreprise, entraîne des conséquences juridiques si l'entreprise n'a pas su protéger ces données, compromet sa position concurrentielle.
Pour ce qui est des données, un accès non révoqué peut rester actif pendant des semaines, des mois, sans que personne ne s'en aperçoive. Les outils de sécurité ne détectent rien de suspect car il s'agit d'un compte légitime qui se connecte depuis des lieux habituels. L'ancien salarié continue alors à recevoir les e-mails professionnels, suivre les discussions internes, surveiller les projets en cours, avec les risques que l'on connaît.
Quant au matériel non restitué, il devient une unité de stockage de documents et données sensibles, des mots de passe enregistrés dans le navigateur, des connexions automatiques à des applications. Si votre ancien employé garde cet équipement, il conserve un accès direct à tout ce contenu. Idem pour les smartphones professionnels avec en plus les applications métiers installées, les notifications et les synchronisations automatiques. Les clés USB, disques durs externes, et autres supports de stockage peuvent contenir des sauvegardes de données que personne n'a pensé à effacer.
Enfin, et parce par définition, on ne les voit ni ne les matérialise, les accès aux services de stockage cloud échappent souvent à la vigilance. Votre ancien collaborateur peut garder un accès à Google Drive, OneDrive, Dropbox sur lesquels des documents d'entreprise ont été partagés. Avec ces plateformes, quiconque dispose des accès peut continuer à consulter, télécharger, voire modifier des fichiers longtemps après son départ officiel. La liste est encore longue, mais on citera également les comptes sur des outils de gestion de projet comme Trello, Asana ou Monday fonctionnent tant que personne ne pense à les désactiver. Enfin, un ex-employé reste présent et actif dans les conversataions d'équipe des messageries collaboratives type Slack, Teams ou Discord.
10 actions critiques pour sécuriser un offboarding
Désactiver immédiatement les comptes Active Directory et LDAP
Le jour du départ, le dernier jour de travail du collaborateur, il faut suspendre ses comptes sur l'annuaire central. Active Directory contrôle l'accès à la plupart des ressources internes, et sa désactivation coupe automatiquement l'accès à de nombreux systèmes. Vous devez programmer cette action pour qu'elle se déclenche automatiquement en fin de journée, sans dépendre d'une intervention manuelle qui pourrait être oubliée.
Révoquer tous les accès aux applications SaaS
Les outils cloud ne dépendent pas toujours de l'Active Directory. Il faut faire le tour des applications SaaS utilisées dans l'entreprise et désactiver manuellement les comptes : suite bureautique, CRM, ERP, outils de gestion de projet, plateformes de messagerie, espaces de stockage cloud. Chaque application demande une action spécifique. Sans une liste exhaustive et à jour des outils utilisés, des accès passeront forcément entre les gouttes.
Changer les mots de passe des comptes partagés
Certains services utilisent des identifiants communs à plusieurs personnes, ce qui pose un problème de sécurité permanent mais que beaucoup d'entreprises tolèrent. Quand un de vos collaborateurs qui connaissait ces mots de passe quitte l'entreprise, vous devez tous les modifier. Cela concerne les comptes administrateurs, les accès aux réseaux sociaux de l'entreprise, les identifiants de plateformes de paiement, les codes d'alarme.
Récupérer tout le matériel informatique
L'ordinateur portable, le téléphone professionnel, la tablette, le badge d'accès, les clés USB, les disques durs externes, tout doit être rendu le jour du départ. Il faut organiser un rendez-vous spécifique pour cette restitution et vérifier que le matériel correspond bien à celui qui avait été prêté. Votre service informatique doit ensuite formater complètement ces équipements avant de les réattribuer, car ils peuvent contenir des données sensibles ou des mots de passe enregistrés.
Couper l'accès au VPN et aux connexions à distance
Les connexions VPN permettent d'accéder au réseau interne de l'entreprise depuis l'extérieur. Il faut donc supprimer immédiatement les certificats et les comptes VPN de votre ex-collaborateur pour empêcher toute connexion à distance. Vous devez également révoquer les accès RDP (Remote Desktop Protocol) ou autres solutions d'accès distant.
Désactiver la messagerie professionnelle et rediriger les e-mails
La boîte mail professionnelle doit être désactivée, mais vous devez créer une redirection temporaire vers le manager ou un collègue qui pourra traiter les messages entrants. Avec cette redirection, personne ne perdra de conctacts clients ni de demandes importantes. Après quelques semaines, vous pouvez archiver la boîte puis la supprimer selon les politiques de conservation de l'entreprise.
Supprimer les accès aux réseaux sociaux professionnels
Si votre collaborateur gérait les comptes LinkedIn, X, Instagram ou encore Facebook de l'entreprise, il faut retirer ses droits d'administrateur et modifier les mots de passe. Ces plateformes sont stratégiques pour la communication de l'entreprise et un ancien salarié mécontent pourrait y publier du contenu préjudiciable.
Retirer les droits d'accès aux serveurs et bases de données
Les anciens qui avaient des accès spécifiques à des serveurs, des bases de données, des environnements de développement doivent en être déconnectés. Il faut vérifier les permissions sur les serveurs de fichiers, les droits SQL, les accès SSH, les clés API. Ces éléments techniques échappent souvent aux processus standard d'offboarding alors qu'ils sont pourtant des points d'entrée favorables aux cyberattaques.
Auditer les comptes et les accès une semaine après le départ
Une fois toutes ces actions réalisées, il faut procéder à un audit complet pour vérifier qu'aucun accès n'a été oublié. Cherchez le nom du collaborateur dans tous les systèmes, vérifiez les logs de connexion, assurez-vous qu'aucune activité suspecte n'a été détectée. Vous corrigerez les oublis avant qu'ils ne deviennent problématiques.
Automatiser le processus avec un outil IAM
Les solutions d'Identity and Access Management (IAM) centralisent la gestion des identités et des accès. Elles se synchronisent avec le SIRH (Système d'Information pourn les Ressources Humaines) pour détecter automatiquement les départs, et elles déclenchent des workflows (suite de tâches ou d'opérations) de désactivation des comptes sur toutes les applications connectées. Ainsi, plus de risque d'oubli humain. Chaque départ est traité de façon systématique. L'outil garde en plus une trace de toutes les actions effectuées en cas de contrôle ou pour un audit.
