@media(max-width:768px){}

Offboarding IT : securiser le depart d’un collaborateur

20 % des entreprises qui ont subi une fuite de donnees l’attribuent a un ancien employe. L’offboarding IT, c’est-a-dire le processus de desactivation des acces informatiques lors du depart d’un collaborateur, est un maillon critique de la securite de l’entreprise. Pourtant, selon une etude Ivanti, 30 % des entreprises mettent plus d’une semaine a revoquer tous les acces d’un ancien salarie. Voici comment securiser ce processus.

Sommaire

Les risques d’un offboarding IT neglige

Un offboarding IT mal gere expose l’entreprise a des risques majeurs.

Fuite de donnees

Un ancien collaborateur qui conserve ses acces peut copier, modifier ou supprimer des donnees sensibles. Les cas de vol de fichiers clients, de propriete intellectuelle ou de donnees financieres sont frequents. Selon IBM, le cout moyen d’une fuite de donnees liee a un initie est de 4,9 millions de dollars.

Acces non autorises

Les comptes non desactives constituent des portes d’entree potentielles. Un ancien salarie malveillant ou un attaquant qui compromet ses identifiants peut acceder aux systemes de l’entreprise sans declencher d’alerte (le compte etant legitime).

Non-conformite reglementaire

Le RGPD et la norme ISO 27001 exigent la revocation rapide des acces des personnes qui n’ont plus besoin d’acceder aux donnees. Le maintien d’acces injustifies constitue un manquement sanctionnable.

Couts financiers

Les licences logicielles attribuees a des comptes inactifs representent un gaspillage. Une licence Microsoft 365 non recuperee coute 150 a 450 euros par an. Pour une entreprise avec un turnover de 15 %, ce sont des milliers d’euros gaspilles chaque annee.

Point cle : Les acces critiques (email, VPN, outils metier contenant des donnees sensibles) doivent etre desactives le jour meme du depart, idealement dans l’heure suivant le depart effectif du collaborateur. Les autres acces (outils secondaires, comptes SaaS) doivent etre desactives dans les 24 heures.

Le processus d’offboarding IT complet

L’offboarding IT doit etre declenche des la notification du depart, qu’il s’agisse d’une demission, d’un licenciement ou d’une fin de contrat.

Phase 1 : Notification et preparation (J-15 a J-5)

  • Reception de la notification de depart par les RH (date effective, motif, urgence)
  • Inventaire des acces et equipements du collaborateur
  • Identification des donnees et fichiers a transferer ou archiver
  • Planification du transfert de responsabilites (boite email, fichiers partages, projets en cours)
  • Coordination avec le manager pour le transfert de connaissances

Phase 2 : Transfert et preparation (J-5 a J-1)

  • Transfert des fichiers importants vers le manager ou le successeur
  • Configuration de la redirection email ou du message d’absence definitif
  • Transfert de la propriete des documents cloud (Google Drive, OneDrive, SharePoint)
  • Sauvegarde des donnees du poste de travail si necessaire
  • Preparation de la desactivation des comptes (pre-configuration)

Phase 3 : Execution le jour du depart (Jour J)

  • Desactivation de tous les comptes et acces (voir checklist detaillee)
  • Recuperation du materiel (ordinateur, telephone, badge, cles, peripheriques)
  • Effacement a distance du smartphone si BYOD
  • Mise a jour de l’inventaire du parc
  • Mise a jour de l’annuaire d’entreprise

Phase 4 : Verification et cloture (J+1 a J+7)

  • Verification de la desactivation effective de tous les acces
  • Effacement securise des donnees du poste de travail
  • Recuperation et reattribution des licences logicielles
  • Archivage du dossier d’offboarding
  • Suppression definitive du compte apres la periode de retention (30 a 90 jours)
20 %Des fuites de donnees par d’anciens employes
30 %Des entreprises mettent plus d’une semaine
4,9 M$Cout moyen d’une fuite par un initie
1 heureDelai max pour couper les acces critiques

La checklist de depart detaillee

Comptes et acces a desactiver

  • Compte Active Directory / Azure AD (desactivation, pas suppression immediate)
  • Boite email (redirection vers le manager, puis desactivation)
  • VPN et acces distant
  • Outils collaboratifs (Teams, Slack, Google Workspace)
  • CRM et ERP
  • Outils metier specifiques
  • Plateformes cloud (AWS, Azure, GCP) si applicable
  • Outils de gestion de projet (Jira, Trello, Asana)
  • Outils de stockage cloud (Google Drive, Dropbox, OneDrive)
  • Reseaux sociaux d’entreprise (LinkedIn de l’entreprise, Facebook, Twitter)
  • Acces physiques (badge, codes d’acces, cles)
  • Wifi et reseaux internes

Materiel a recuperer

  • Ordinateur portable ou fixe
  • Ecran(s)
  • Telephone portable et chargeur
  • Badge d’acces
  • Cles physiques
  • Casque, souris, clavier, docking station
  • Cles USB et disques externes
  • Carte de visite professionnelle (stock restant)

Donnees et documents

  • Sauvegarde des fichiers du collaborateur (selon la politique de retention)
  • Transfert de propriete des documents partages
  • Archivage de la boite email (selon les obligations legales)
  • Recuperation des documents papier confidentiels

Les cas particuliers a anticiper

Licenciement pour faute ou depart conflictuel

Dans ce cas, les acces doivent etre coupes immediatement, avant meme que le collaborateur ne quitte les locaux. Prevoyez un processus d’urgence : desactivation du compte AD, verrouillage de la session, blocage de l’acces VPN, desactivation du badge. Le manager ou les RH doivent etre presents pendant que le collaborateur recupere ses affaires personnelles.

Depart d’un administrateur systeme

Le depart d’un administrateur systeme necessite des mesures supplementaires :

  • Changement de tous les mots de passe d’administration connus du collaborateur
  • Revue et rotation des cles SSH, certificats et tokens d’API
  • Revue des acces aux sauvegardes et aux systemes critiques
  • Audit des derniers changements effectues par le collaborateur
  • Verification de l’absence de backdoors ou de comptes fantomes

Sous-traitants et interimaires

Les sous-traitants et interimaires doivent suivre le meme processus d’offboarding. Leurs acces doivent etre limites dans le temps des l’attribution (date d’expiration automatique) et revus regulierement. La fin de mission doit declencher automatiquement la desactivation des acces.

Automatiser l’offboarding IT

L’automatisation de l’offboarding est essentielle pour garantir la completude et la rapidite du processus.

Outils et methodes

  • Scripts PowerShell / Azure AD : script de desactivation automatique du compte AD, revocation des licences M365, deconnexion des sessions actives, desactivation du MFA
  • SCIM : provisioning et deprovisioning automatise des comptes SaaS (compatible avec Slack, Salesforce, Zoom, etc.)
  • GLPI / ticketing : creation automatique d’un ticket d’offboarding avec checklist, assignation des taches aux responsables, suivi de l’avancement
  • Integration SIRH-IT : lien entre le systeme de gestion RH et les outils IT pour declencher automatiquement l’offboarding a la saisie de la date de sortie

Le playbook d’offboarding

Documentez l’ensemble du processus dans un playbook accessible a l’equipe IT. Ce document doit lister chaque etape, chaque outil, chaque responsable et chaque delai. Testez le playbook regulierement en simulant des departs pour verifier sa completude et sa faisabilite.

Questions frequentes

Questions frequentes
3 questions
Il n’existe pas de duree legale imposee pour la conservation de la boite email d’un ancien salarie. Les bonnes pratiques recommandent de maintenir une redirection vers le manager pendant 3 a 6 mois, puis d’archiver le contenu de la boite pendant 1 an minimum (en cas de contentieux). Certains secteurs reglementees (finance, sante) imposent des durees de conservation plus longues. Apres la periode de retention, la boite doit etre supprimee conformement au RGPD (minimisation des donnees).
Les fichiers identifies comme personnels (dans un dossier nomme « personnel » ou « prive ») sont proteges, meme apres le depart du salarie. L’employeur ne peut pas y acceder sans autorisation judiciaire. En revanche, tous les fichiers non identifies comme personnels sont presumes professionnels et peuvent etre consultes librement par l’employeur. La charte informatique doit preciser ces regles. Avant l’effacement du poste, laissez un delai raisonnable (15 jours) pour que l’ancien salarie puisse recuperer ses fichiers personnels.
L’offboarding d’un teletravailleur presente un defi supplementaire : la recuperation du materiel a distance. Plusieurs options : envoi d’un bon de retour prepaye (Chronopost, UPS) avec un emballage securise, rendez-vous en agence pour restitution, ou passage d’un coursier. Les acces distants (VPN, cloud) doivent etre coupes immediatement le jour du depart. L’effacement du poste peut etre effectue a distance via un outil de MDM (Intune, Jamf) avant meme la restitution physique du materiel.

Besoin d’accompagnement ?

Nos experts vous aident a mettre en place un processus d’offboarding IT securise et automatise pour proteger votre entreprise a chaque depart de collaborateur. Audit de securite offert.

Contactez nos experts
document.querySelectorAll(‘.ofaq-btn’).forEach(b=>b.addEventListener(‘click’,()=>{const i=b.closest(‘.ofaq-item’);document.querySelectorAll(‘.ofaq-item’).forEach(x=>{if(x!==i)x.classList.remove(‘active’)});i.classList.toggle(‘active’)}));

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter