Ce que le départ d'un salarié représente vraiment comme risque informatique

Dans les grandes entreprises, il existe des équipes entières chargées de l'offboarding. Dans une TPE ou PME à Digne-les-Bains ou dans le 04, c'est souvent le dirigeant qui gère ça en catastrophe, entre deux réunions, le dernier jour.

Résultat : des accès actifs pendant des semaines, des mots de passe partagés non changés, des données copiées sur des clés USB sans que personne ne s'en aperçoive.

Les chiffres sont parlants : selon les études en cybersécurité, entre 50 % et 70 % des incidents de sécurité impliquent un accès d'un ancien collaborateur. Et dans 8 cas sur 10, ce n'est même pas de la malveillance — c'est juste qu'on a oublié de fermer la porte.

Un ancien salarié qui conserve l'accès à votre boîte mail professionnelle, à votre espace cloud ou à votre logiciel de comptabilité, c'est une faille béante. Même sans mauvaise intention de sa part.

Pourquoi les TPE/PME du 04 sont plus exposées

Dans une grande structure, il suffit de cocher une case dans le système RH pour que l'accès soit désactivé automatiquement. Ce processus n'existe pas dans la majorité des petites entreprises de la région.

Les raisons les plus courantes qu'on entend à l'atelier :

  • « On utilisait tous le même mot de passe pour le Wi-Fi et les logiciels. »
  • « Je ne savais pas qu'il avait encore accès à nos fichiers Google Drive. »
  • « Son adresse mail a continué à recevoir des commandes clients pendant trois mois. »

Si vous vous reconnaissez dans l'une de ces situations, cet article est fait pour vous. Et si vous voulez aller plus loin sur la sécurisation globale de vos postes, jetez un œil à notre guide sur les 7 fondamentaux pour sécuriser les postes de vos salariés.

Avant le dernier jour : la préparation qui change tout

Un offboarding informatique bien géré commence avant le départ effectif, pas après. Idéalement, dès que la décision est prise — qu'il s'agisse d'une démission, d'un licenciement ou d'une fin de contrat.

Cartographier tous les accès du salarié

La première étape consiste à lister tout ce à quoi l'employé avait accès. C'est souvent plus long qu'on ne le croit :

  • Compte Windows ou macOS local
  • Messagerie professionnelle (Outlook, Gmail…)
  • Outils cloud (Microsoft 365, Google Workspace, Dropbox…)
  • Logiciels métier (comptabilité, CRM, gestion de stock…)
  • Accès au réseau et au Wi-Fi de l'entreprise
  • Comptes réseaux sociaux de l'entreprise
  • Accès à distance ou VPN
  • Boîtes mail partagées ou alias
  • Accès à des services tiers (Canva, PayPal pro, outils de réservation…)

Pour chaque poste, cette liste peut facilement atteindre 15 à 20 entrées. Prenez le temps de la faire sérieusement.

Préparer la récupération du matériel

Notez quel matériel est entre les mains du salarié : ordinateur portable, smartphone professionnel, clé USB, disque externe, câbles, chargeur, token d'authentification. Prévoyez la restitution le dernier jour, pas après.

Les 12 actions à exécuter le jour du départ — dans cet ordre

L'ordre a de l'importance. Certaines actions doivent être faites avant que le salarié soit informé de la rupture, ou au moins simultanément, pour éviter toute réaction précipitée de sa part.

  1. Désactiver le compte Active Directory ou Azure AD (le compte Windows central, si vous en avez un)
  2. Révoquer la session Microsoft 365 ou Google Workspace — ça déconnecte immédiatement tous les appareils
  3. Changer le mot de passe de la messagerie avant même de désactiver le compte
  4. Retirer l'accès aux dossiers partagés sur le réseau, le NAS ou le cloud
  5. Supprimer ou suspendre l'accès VPN si le salarié travaillait à distance
  6. Révoquer les sessions actives sur tous les outils cloud (bouton "déconnecter tous les appareils")
  7. Désactiver l'accès aux logiciels métier (devis, comptabilité, CRM…)
  8. Supprimer ou transférer l'accès aux réseaux sociaux de l'entreprise
  9. Récupérer le matériel : ordinateur, téléphone, clés USB
  10. Changer le mot de passe Wi-Fi si le salarié le connaissait
  11. Configurer une redirection de la messagerie vers un responsable (temporairement)
  12. Archiver la boîte mail avant suppression (obligations légales potentielles)

Ces 12 étapes peuvent se faire en moins de 2 heures si tout est préparé en amont. Sans préparation, comptez une journée — et des oublis inévitables.

Révoquer les accès : par où commencer vraiment ?

Si vous utilisez Microsoft 365 ou Google Workspace, c'est votre point de départ. Ces plateformes centralisent une grande partie des accès.

Dans Microsoft 365 : allez dans le Centre d'administration, sélectionnez l'utilisateur, choisissez "Bloquer la connexion" puis "Révoquer toutes les sessions". La messagerie est aussitôt inaccessible sur tous les appareils du salarié.

Dans Google Workspace : Admin > Utilisateurs > Suspendre l'utilisateur. Même effet immédiat.

Ensuite seulement, passez aux logiciels indépendants, un par un.

Les comptes oubliés : la vraie menace

Le vrai danger, ce ne sont pas les accès principaux — c'est la longue traîne des petits comptes oubliés. Un abonnement à un outil de signature électronique. Un accès à votre hébergeur web. Un compte sur le site de votre fournisseur. Un accès à votre agenda partagé.

Pour les repérer, demandez-vous : à quels services ce salarié se connectait-il avec son adresse mail professionnelle ? Consultez le gestionnaire de mots de passe si vous en avez un — c'est l'une des meilleures raisons d'en utiliser un en entreprise.

Si vous n'avez pas encore mis en place la double authentification, c'est le moment d'y réfléchir — notre guide sur la double authentification (2FA) explique comment la déployer simplement.

Gérer la messagerie professionnelle après le départ

La boîte mail d'un employé qui part, c'est un sujet délicat. Voici ce qu'il faut faire :

  • Redirection automatique : configurez une règle qui transfère les nouveaux messages entrants vers un responsable ou une boîte générique (contact@, direction@…). Durée recommandée : 3 à 6 mois.
  • Message d'absence automatique : informez les contacts externes du départ et donnez le nouvel interlocuteur. C'est professionnel et évite de perdre des clients.
  • Archivage obligatoire : ne supprimez pas la boîte mail immédiatement. Archivez-la. En cas de litige prud'homal, les mails peuvent être des preuves. La durée de conservation recommandée varie selon les contextes, mais 1 an est un minimum raisonnable.

Fichiers partagés et données sensibles : ce qu'il faut vérifier

Avant de supprimer le compte, vérifiez ce que le salarié avait dans ses dossiers :

  • Des fichiers de travail importants qui n'existent qu'à cet endroit ? Transférez-les.
  • Des dossiers partagés avec des tiers extérieurs ? Revoyez les permissions.
  • Des données personnelles de clients dans des fichiers locaux ? C'est une question RGPD — consultez notre article sur le RGPD pour les TPE/PME.

Attention aux fichiers partagés via Google Drive ou OneDrive : un salarié qui a partagé un document avec son compte personnel avant de partir peut continuer à y accéder depuis chez lui. Vérifiez les permissions de partage de chaque dossier sensible.

Le matériel informatique : ce qu'on vérifie avant de le réattribuer

Un ordinateur récupéré à un ancien salarié ne se réattribue pas directement à son successeur. Plusieurs points à vérifier :

  • Supprimer le profil utilisateur (et ses mots de passe enregistrés dans le navigateur)
  • Vérifier l'absence de logiciels non autorisés installés pendant le contrat
  • Contrôler l'état du disque dur : des données ont-elles été copiées massivement juste avant le départ ?
  • Remettre à zéro proprement si le poste doit changer de main — une réinstallation complète est souvent la solution la plus sûre

Si vous n'avez pas le temps ou les compétences en interne pour faire ça proprement, c'est exactement le type d'intervention qu'on réalise chez TECHNOTREMENT pour les professionnels du secteur. Un passage à l'atelier ou une intervention sur site à Digne-les-Bains, et le poste est prêt à être réaffecté.

Après le départ : surveiller les 30 premiers jours

Le risque ne disparaît pas le jour J. Dans les semaines qui suivent, gardez un œil sur :

  • Les tentatives de connexion aux outils professionnels (la plupart des plateformes cloud offrent des logs de connexion)
  • Les accès inhabituels aux fichiers partagés
  • Les alertes sur le gestionnaire de mots de passe si quelqu'un tente d'utiliser d'anciens identifiants
  • Les nouvelles commandes ou modifications dans vos logiciels métier

Ce n'est pas une question de méfiance vis-à-vis de l'employé. C'est une question de bonne hygiène informatique. Et si quelque chose cloche, mieux vaut le détecter à J+5 qu'à J+60.

RGPD et obligations légales : ce que vous devez retenir

Deux obligations légales s'appliquent lors du départ d'un salarié :

1. La suppression des données personnelles du salarié. Une fois la relation contractuelle terminée, vous ne pouvez pas conserver indéfiniment les données personnelles de l'employé. Les délais légaux varient (bulletins de paie : 5 ans, données RH : en général 2 à 5 ans selon les catégories).

2. La restitution des données appartenant au salarié. Si le salarié a des documents personnels sur son poste professionnel, il a le droit de les récupérer. Mettez en place une procédure claire pour distinguer ce qui appartient à l'entreprise et ce qui appartient à l'employé.

En cas de doute, l'idéal est de réaliser un audit informatique de vos pratiques — c'est l'une des choses que nous vérifions systématiquement pour les entreprises du 04.

Checklist offboarding IT : à imprimer et à garder sous la main

Voici le résumé opérationnel à utiliser à chaque départ :

  • ☐ Liste complète des accès du salarié établie
  • ☐ Compte Microsoft 365 / Google Workspace bloqué et sessions révoquées
  • ☐ Mot de passe messagerie changé
  • ☐ Redirection et message d'absence configurés
  • ☐ Boîte mail archivée
  • ☐ Accès aux dossiers partagés révoqués
  • ☐ Accès VPN supprimé
  • ☐ Logiciels métier désactivés
  • ☐ Réseaux sociaux : droits retirés ou mots de passe changés
  • ☐ Mot de passe Wi-Fi changé
  • ☐ Matériel récupéré et inventorié
  • ☐ Poste nettoyé / réinitialisé avant réaffectation
  • ☐ Comptes tiers (hébergeur, fournisseurs, outils SaaS) vérifiés
  • ☐ Logs de connexion surveillés pendant 30 jours

FAQ — Vos questions sur l'offboarding informatique

Combien de temps ai-je pour couper les accès après un départ ?

Idéalement, les accès doivent être coupés le jour même du départ, voire simultanément à l'annonce si la rupture est conflictuelle. En pratique, dans une petite structure, viser la même journée est un objectif raisonnable. Au-delà de 48 heures, vous prenez un risque réel, notamment si la séparation s'est mal passée.

Que faire si le salarié partant était le seul à connaître certains mots de passe ?

C'est une situation fréquente dans les TPE. La solution à court terme : lui demander de les transmettre formellement avant son départ (dans un document signé). La solution à long terme : adopter un gestionnaire de mots de passe d'équipe (Bitwarden Teams, 1Password Business…) pour que les accès ne soient jamais dans la tête d'une seule personne. Un seul départ géré dans l'urgence coûte plus cher que plusieurs années d'abonnement à un tel outil.

Peut-on surveiller les activités d'un ancien salarié sur nos systèmes ?

Vous pouvez et vous devez surveiller vos propres systèmes. Si vous détectez des connexions depuis l'extérieur avec d'anciens identifiants (qui n'auraient pas dû fonctionner), c'est un incident de sécurité à traiter immédiatement. En revanche, surveiller les activités personnelles d'un ancien employé sur ses propres appareils ou comptes est illégal.

On est 3 salariés, est-ce que tout ça nous concerne vraiment ?

Oui, et peut-être encore plus qu'une grande structure. Dans une entreprise de 3 personnes, chaque salarié a accès à tout : les finances, les clients, les mots de passe, les dossiers. Un départ mal géré, c'est potentiellement toute votre activité exposée. La procédure est plus simple à mettre en place (moins d'accès à gérer), mais elle n'en est pas moins indispensable.

Professionnels

Besoin d'aide pour sécuriser un départ ou auditer vos accès ?

Lun→Ven 14h–18h • Digne-les-Bains • 06 50 81 05 81