Checklist Départ Salarié : Sécurité IT Complète (PDF)

La gestion sécurisée du départ d'un salarié constitue l'un des processus les plus critiques et les plus négligés de la cybersécurité d'entreprise, avec des conséquences potentiellement catastrophiques lorsqu'il est mal exécuté. Les statistiques sont sans appel : 34 % des violations de données impliquent un ancien employé dont les accès n'ont pas été correctement révoqués, et les menaces internes — qu'elles soient intentionnelles (salarié mécontent) ou accidentelles (accès résiduels exploités par des attaquants) — représentent un risque financier moyen de 15,4 millions de dollars par organisation selon le rapport Ponemon Institute 2025. En France, l'obligation de protéger les données personnelles des collaborateurs et des clients au moment d'un départ (RGPD) ajoute une dimension juridique complexe à ce processus. Cette checklist exhaustive détaille les trois phases essentielles de l'offboarding sécurisé — le jour du départ, la semaine suivante et le mois de consolidation — avec des procédures spécifiques pour Active Directory, les environnements cloud Microsoft 365 et AWS, les applications SaaS, les équipements BYOD, et la coordination entre les services RH et IT. Téléchargez notre PDF imprimable pour ne manquer aucune étape critique lors de votre prochain offboarding.

Pourquoi l'offboarding sécurisé est un enjeu critique de cybersécurité

Le départ d'un collaborateur crée une fenêtre de vulnérabilité temporaire mais significative pour l'organisation. Chaque salarié accumule au fil de son passage dans l'entreprise des dizaines d'accès : compte Active Directory, messagerie professionnelle, VPN, applications métier (ERP, CRM, comptabilité), applications cloud SaaS, espaces de stockage partagés, accès physiques (badges, clés, codes d'accès), et potentiellement des données stockées sur des équipements personnels (BYOD). Chaque accès non révoqué est une porte ouverte potentielle vers le système d'information de l'entreprise.

Les risques se déclinent en plusieurs catégories. Le risque d'accès malveillant concerne principalement les départs conflictuels (licenciement, conflit, frustration) : un ancien salarié mécontent qui conserve ses accès VPN et email peut exfiltrer des données confidentielles, supprimer des fichiers critiques, ou vendre ses identifiants sur le dark web. Le risque de compromission externe est tout aussi sérieux : un compte inactif mais encore actif dans l'Active Directory est une cible de choix pour les attaquants qui pratiquent le password spraying, car les comptes fantômes ne déclenchent pas d'alertes comportementales. Le risque réglementaire est lié au RGPD : l'entreprise doit gérer correctement les données personnelles du salarié partant et s'assurer que les données de l'entreprise auxquelles il avait accès sont protégées.

Les études montrent que 89 % des anciens employés conservent l'accès à au moins une application professionnelle après leur départ, et que le délai moyen de désactivation des comptes est de 7 jours dans les grandes entreprises et de plus de 30 jours dans les PME. Ce décalage entre le départ physique et la révocation technique des accès constitue la principale vulnérabilité exploitée.

La menace interne en chiffres : statistiques et tendances

Le risque posé par les anciens employés s'inscrit dans le contexte plus large des menaces internes (insider threats), un domaine de la cybersécurité qui connaît une croissance préoccupante. Le rapport Ponemon Institute 2025 révèle que le nombre d'incidents liés aux menaces internes a augmenté de 47 % en deux ans, avec un coût moyen par incident de 15,4 millions de dollars pour les grandes organisations.

En France, la CNIL signale que les plaintes liées à des accès non autorisés par d'anciens employés représentent une part croissante des signalements de violations de données. Les secteurs les plus touchés sont les services financiers, la technologie, la santé et le commerce. Les cas typiques incluent : un commercial qui emporte le fichier clients vers son nouvel employeur, un développeur qui conserve des accès aux dépôts de code source, un administrateur système qui garde ses identifiants root, ou un cadre qui télécharge des documents stratégiques avant son départ.

La difficulté est que les menaces internes sont beaucoup plus difficiles à détecter que les attaques externes. Un ancien employé utilise des identifiants légitimes, connaît l'infrastructure, sait où se trouvent les données sensibles, et peut agir de manière discrète pendant des mois. Les solutions de détection traditionnelles (pare-feu, antivirus) sont inefficaces contre ce type de menace. Seule une combinaison de processus d'offboarding rigoureux, de surveillance des accès (SIEM) et de solutions de DLP (Data Loss Prevention) peut adresser ce risque de manière efficace.

Phase 1 — Jour J du départ : les actions immédiates

Le jour du départ effectif du salarié (dernier jour travaillé), toutes les actions de cette phase doivent être exécutées avant que le collaborateur ne quitte les locaux, idéalement dans les deux dernières heures de sa dernière journée. La coordination entre les RH et l'IT doit être planifiée en amont via un ticket ou un workflow dédié.

Action 1 — Désactiver le compte Active Directory. Le compte AD doit être désactivé (pas supprimé) immédiatement après la fin de la dernière journée. La désactivation plutôt que la suppression permet de conserver les données associées pour un éventuel audit ou contentieux. Déplacez le compte dans une OU (Unité d'Organisation) dédiée « Disabled Users » avec des GPO restrictives. Réinitialisez le mot de passe à une valeur aléatoire de 128 caractères pour empêcher toute reconnexion même si la désactivation est annulée accidentellement. Consultez notre guide de sécurisation Active Directory pour les bonnes pratiques de gestion des comptes.

Action 2 — Révoquer toutes les sessions actives. La désactivation du compte AD n'invalide pas immédiatement les sessions déjà ouvertes ni les tokens d'authentification. Sur Microsoft 365/Entra ID, révoquez explicitement toutes les sessions actives (Entra ID > Utilisateurs > [utilisateur] > Révoquer les sessions). Pour les applications utilisant des tokens OAuth, révoquez les tokens de rafraîchissement. Cette étape est cruciale car un token de session valide permet l'accès même après la désactivation du compte.

Action 3 — Récupérer les équipements physiques. Établissez une liste complète des équipements attribués au collaborateur (inventaire signé à l'entrée) et récupérez-les systématiquement : ordinateur portable, téléphone professionnel, clés USB et disques durs externes, tokens d'authentification (YubiKey), câbles et chargeurs, badge d'accès, clés physiques des locaux, cartes de stationnement. Faites signer un accusé de réception de la restitution.

Action 4 — Désactiver les accès physiques. Désactivez immédiatement le badge d'accès aux locaux dans le système de contrôle d'accès, changez les codes d'alarme si le collaborateur les connaissait, et retirez-le de la liste des personnes autorisées auprès du gardiennage/accueil. Si le collaborateur disposait de clés physiques (armoires, coffres-forts, locaux techniques), changez les serrures ou les combinaisons si nécessaire.

Action 5 — Désactiver le VPN et les accès distants. Supprimez ou désactivez le profil VPN, les certificats d'accès distant, les règles de pare-feu spécifiques au collaborateur (accès SSH, RDP), et les clés SSH éventuellement déployées sur les serveurs. Pour les environnements cloud, révoquez les access keys AWS, les service principals Azure, et les tokens d'API personnels.

Phase 2 — D+7 : consolidation et transfert des données

La semaine suivant le départ est consacrée à la consolidation des désactivations, au transfert ordonné des données et à la notification des parties prenantes. Ces actions requièrent plus de temps et de coordination mais sont tout aussi critiques que les actions immédiates du jour J.

Action 6 — Convertir la boîte mail en boîte partagée. Ne supprimez pas immédiatement la boîte mail du collaborateur partant. Convertissez-la en boîte partagée (shared mailbox) accessible au manager ou au successeur pendant une période définie (3 à 6 mois selon la politique de l'entreprise). Configurez un message d'absence automatique indiquant le nouveau contact et redirigez les emails entrants vers le successeur ou le manager. Cette continuité est essentielle pour ne pas perdre de communications business.

Action 7 — Transférer la propriété des fichiers et espaces collaboratifs. Transférez la propriété des fichiers OneDrive/Google Drive vers le manager, réassignez la propriété des sites SharePoint, canaux Teams, groupes de travail et projets. Archivez les données du collaborateur selon la politique de rétention de l'entreprise. Vérifiez que les fichiers partagés avec des personnes externes ne sont plus partagés depuis le compte du partant.

Action 8 — Retirer le collaborateur des groupes et listes de distribution. Supprimez le collaborateur de tous les groupes de sécurité AD, groupes de distribution email, groupes Microsoft 365/Teams, et listes d'accès aux applications. Cette étape est souvent négligée mais un groupe de sécurité qui contient un compte désactivé peut bloquer certains processus ou fausser les rapports d'accès.

Action 9 — Notifier les fournisseurs et partenaires externes. Si le collaborateur était le contact principal pour certains fournisseurs, prestataires ou partenaires, notifiez-les du changement de contact. Cela inclut les éditeurs de logiciels (licences nominatives), les fournisseurs cloud (contacts de facturation et support), les partenaires commerciaux, et les organismes de certification. Modifiez les contacts référencés dans les contrats de maintenance et les accords de niveau de service.

Action 10 — Révoquer les accès aux applications SaaS. Faites l'inventaire de toutes les applications SaaS utilisées par le collaborateur et désactivez chaque compte individuellement. Les applications SaaS les plus couramment oubliées sont : Slack, Trello, Asana, Jira, Confluence, Notion, GitHub, GitLab, Salesforce, HubSpot, Zendesk, Dropbox, et les outils de communication (Zoom, Webex). Si votre entreprise utilise un IdP (Identity Provider) comme Okta ou Azure AD pour le SSO, la désactivation centrale coupe les accès SSO mais pas les accès directs (mot de passe local) — vérifiez les deux.

Phase 3 — D+30 : audit et clôture définitive

Un mois après le départ, une vérification approfondie permet de détecter les accès résiduels qui auraient échappé aux phases précédentes et de clôturer définitivement le processus d'offboarding.

Action 11 — Auditer les accès résiduels. Lancez un audit complet des connexions réussies avec les identifiants du collaborateur partant durant les 30 derniers jours. Sur Active Directory, vérifiez les Event ID 4624 (connexion réussie) associés au compte. Sur Microsoft 365, consultez le journal d'audit unifié. Sur les applications SaaS, vérifiez les logs de connexion. Toute connexion post-départ est un indicateur de compromission ou d'accès non révoqué qui nécessite une investigation immédiate.

Action 12 — Nettoyer les accès délégués et les partages de fichiers. Vérifiez que le collaborateur n'avait pas de délégation d'accès à d'autres boîtes mail, de permissions de calendrier partagé, de liens de partage OneDrive/SharePoint actifs, ou de droits d'accès à des coffres-forts de mots de passe partagés. Ces accès délégués survivent souvent à la désactivation du compte et doivent être nettoyés individuellement.

Action 13 — Mettre à jour la documentation. Mettez à jour l'inventaire des actifs informatiques, l'annuaire de l'entreprise, les listes de contacts d'urgence, les procédures de continuité d'activité (PCA/PRA), les schémas d'architecture réseau si le collaborateur avait des accès spécifiques, et les matrices de droits d'accès. Archivez le dossier d'offboarding dans le système documentaire de l'entreprise.

Action 14 — Clôturer le ticket d'offboarding. Documentez formellement la clôture du processus avec un rapport de synthèse incluant : la liste de toutes les actions réalisées avec leurs dates, les accès révoqués, les équipements récupérés, les anomalies détectées et corrigées, et la signature du responsable IT et du responsable RH. Ce rapport constitue une preuve de conformité en cas d'audit ou de contentieux.

Spécificités Active Directory et Entra ID

La gestion de l'offboarding dans les environnements Microsoft Active Directory et Entra ID (anciennement Azure AD) requiert des actions spécifiques qui vont au-delà de la simple désactivation du compte. La complexité de l'écosystème Microsoft impose une approche méthodique.

Active Directory on-premises : Désactivez le compte (ne le supprimez pas pendant 90 jours minimum pour les besoins d'audit et de contentieux). Déplacez-le dans l'OU « Disabled Users ». Retirez le compte de tous les groupes de sécurité (sauf « Domain Users »). Réinitialisez le mot de passe à une valeur aléatoire. Supprimez les attributs SPN (Service Principal Names) associés. Vérifiez qu'aucune tâche planifiée ou service Windows n'utilise ce compte comme identité d'exécution. Consultez notre top 10 des attaques Active Directory pour comprendre pourquoi ces étapes sont critiques.

Entra ID (Azure AD) : Bloquez la connexion (Sign-in blocked), révoquez toutes les sessions actives et tokens de rafraîchissement, retirez les licences Microsoft 365 (pour économiser les coûts), supprimez les appareils enregistrés de l'utilisateur (Entra ID > Devices), révoquez les consentements d'applications tierces, et vérifiez les rôles administratifs attribués (Global Admin, Exchange Admin, etc.). Pour les environnements hybrides (AD sync avec Entra ID), assurez-vous que la désactivation est synchronisée entre les deux annuaires.

Comptes de service et applications : Si le collaborateur avait créé ou gérait des comptes de service, des applications Entra ID, des flux Power Automate, ou des bots Teams, transférez la propriété à un autre administrateur avant la désactivation. Les applications dont le propriétaire est un compte désactivé peuvent cesser de fonctionner ou devenir ingérables.

Gestion des comptes cloud : Microsoft 365, AWS, GCP

Les environnements cloud multi-services complexifient considérablement le processus d'offboarding car chaque service dispose de ses propres mécanismes d'authentification et d'autorisation. Voici les actions spécifiques par plateforme :

Microsoft 365 : Au-delà de la désactivation Entra ID, vérifiez et nettoyez les éléments suivants : règles de transfert automatique dans Outlook (un collaborateur malveillant peut avoir configuré le transfert de tous ses emails vers une adresse externe), applications OAuth autorisées (Entra ID > Enterprise Applications > User consent), sites SharePoint créés et leur contenu, canaux Teams et bots configurés, flux Power Automate et applications Power Apps, rapports Power BI et datasets partagés. Consultez notre guide de conformité Microsoft 365.

Amazon Web Services (AWS) : Désactivez l'utilisateur IAM et supprimez les access keys (AWS CLI), supprimez les rôles IAM et policies personnalisés créés par l'utilisateur, vérifiez les ressources possédées par l'utilisateur (instances EC2, buckets S3, bases de données RDS), révoquez les accès à la console AWS et au SSO, vérifiez les notifications SNS et les fonctions Lambda associées.

Google Cloud Platform (GCP) : Suspendez le compte Google Workspace, transférez la propriété des ressources GCP (projets, buckets, VM), supprimez les clés de service associées, vérifiez les rôles IAM dans les projets GCP, et nettoyez les accès à Google Groups qui contrôlent les permissions GCP.

Gestion des applications SaaS et du shadow IT

Le shadow IT — les applications et services cloud utilisés par les collaborateurs sans validation du service informatique — représente un défi majeur pour l'offboarding. En moyenne, une entreprise de 500 salariés utilise plus de 500 applications SaaS distinctes, dont seulement 30 à 40 % sont connues et gérées par l'IT. Comment révoquer des accès dont vous ignorez l'existence ?

Pour adresser ce problème, mettez en place un CASB (Cloud Access Security Broker) comme Microsoft Defender for Cloud Apps, Netskope ou Zscaler, qui détecte automatiquement les applications SaaS utilisées par vos collaborateurs en analysant le trafic réseau. Lors de l'offboarding, le CASB fournit une liste complète des applications SaaS utilisées par le collaborateur partant, permettant une révocation exhaustive.

En l'absence de CASB, demandez au collaborateur de fournir la liste de toutes les applications professionnelles qu'il utilise lors de son entretien de sortie. Complétez cette liste en consultant l'historique du navigateur professionnel, les applications installées sur le poste, les mots de passe enregistrés dans le navigateur ou le gestionnaire de mots de passe, et les emails de confirmation d'inscription dans sa boîte mail.

Gestion du BYOD et des données personnelles (RGPD)

Lorsque le collaborateur utilisait des équipements personnels pour accéder aux ressources de l'entreprise (politique BYOD — Bring Your Own Device), l'offboarding doit concilier la protection des données de l'entreprise avec le respect de la vie privée du salarié et de ses droits au titre du RGPD.

Suppression des données professionnelles sur l'équipement personnel : Si votre solution de MDM (Mobile Device Management — Intune, Workspace ONE, MobileIron) gère l'appareil personnel, effectuez un wipe sélectif (selective wipe) qui supprime uniquement les données professionnelles (profil email, applications d'entreprise, données stockées dans le conteneur professionnel) sans affecter les données personnelles. Si aucun MDM n'est en place, demandez au collaborateur de supprimer les données professionnelles de son appareil sous votre supervision et documentez cette action.

Obligations RGPD : Le salarié partant dispose d'un droit d'accès et de portabilité de ses données personnelles (article 20 du RGPD). Cela inclut ses données RH mais pas les données professionnelles de l'entreprise (fichiers clients, documents de travail). La frontière entre données personnelles et données professionnelles peut être floue (emails personnels envoyés depuis la messagerie professionnelle, fichiers personnels stockés sur le poste) — définissez cette frontière clairement dans votre charte informatique. Conservez les données du salarié (compte email, fichiers) pendant la durée légale de conservation applicable (5 ans pour les données de paie, 2 ans pour les données de recrutement, etc.).

Droit à l'effacement : Le salarié peut demander la suppression de ses données personnelles, mais l'entreprise peut s'y opposer si les données sont nécessaires au respect d'une obligation légale (conservation des bulletins de paie, déclarations sociales) ou à la défense de ses intérêts légitimes (contentieux). Documentez chaque décision de conservation ou de suppression pour démontrer votre conformité en cas de contrôle CNIL.

Template de processus : coordination RH-IT

L'offboarding sécurisé ne peut fonctionner que si les services RH et IT collaborent étroitement via un processus formalisé. Voici le template de coordination recommandé :

J-15 (notification par les RH) : Le service RH informe l'IT du départ programmé d'un collaborateur au minimum 15 jours avant la date effective. Le ticket d'offboarding est créé dans l'outil de ticketing avec la date de départ, le type de départ (démission, licenciement, fin de CDD, mutation), le niveau de sensibilité (accès critiques, données confidentielles), et le nom du manager responsable de la récupération des données.

J-7 (préparation par l'IT) : L'IT inventorie tous les accès du collaborateur (AD, cloud, SaaS, physiques, VPN), prépare le plan de transfert des données (boîte mail, fichiers, propriété des ressources), et planifie les actions du jour J avec le manager et les RH. Pour les départs à risque (licenciement pour faute, salarié mécontent), l'IT peut préparer une procédure de désactivation accélérée exécutable en quelques minutes.

Jour J (exécution coordonnée) : Les RH conduisent l'entretien de sortie pendant que l'IT exécute les désactivations techniques selon le plan préparé. La récupération physique des équipements se fait en présence du manager et des RH. Le collaborateur signe l'accusé de réception de la restitution et la clause de confidentialité de sortie.

J+7 et J+30 (suivi IT) : L'IT exécute les actions des phases 2 et 3 (transfert des données, nettoyage des accès, audit des connexions résiduelles) et clôture le ticket d'offboarding avec le rapport de synthèse.

Cas particuliers : licenciement, départ conflictuel et accès privilégiés

Certains types de départs nécessitent des procédures renforcées en raison du risque accru de comportement malveillant ou de la sensibilité des accès concernés.

Licenciement et départ conflictuel : Dans ces situations, la désactivation des accès doit être simultanée à l'annonce du départ, voire antérieure si un risque est identifié. Préparez la désactivation en amont et exécutez-la au moment précis où le salarié est informé de son départ. Renforcez la surveillance des accès dans les jours précédant l'annonce (si elle est planifiable) pour détecter d'éventuels comportements d'exfiltration de données (téléchargements massifs, envoi d'emails vers des adresses personnelles, copies sur clé USB). Consultez notre guide de forensique NTFS pour les techniques d'investigation.

Départ d'un administrateur système/réseau : Un administrateur dispose d'accès étendus et de connaissances techniques qui représentent un risque significatif. En plus de la procédure standard, changez tous les mots de passe d'administration partagés (root, enable, admin local), les mots de passe des comptes de service, les clés SSH déployées sur les serveurs, les certificats SSL/TLS dont il était le gestionnaire, et les secrets d'API et tokens d'accès. Révoquez ses accès aux consoles de management (VMware, stockage, sauvegardes). Vérifiez qu'aucune porte dérobée n'a été installée (comptes fantômes, règles de pare-feu, tâches planifiées). Consultez notre guide sur les attaques RBCD pour comprendre les risques liés aux comptes privilégiés.

Départ d'un prestataire ou intérimaire : Les prestataires externes et intérimaires ont souvent des accès aussi étendus que les employés permanents mais leur départ est moins bien suivi par les processus RH. Assurez-vous que les prestataires sont intégrés dans le processus d'offboarding avec la même rigueur que les salariés, et que leur manager interne est responsable de la notification à l'IT.

Automatisation de l'offboarding avec les outils IAM

Pour les organisations de plus de 50 collaborateurs, l'automatisation du processus d'offboarding est fortement recommandée pour garantir l'exhaustivité et la rapidité des désactivations. Les outils de gestion des identités et des accès (IAM — Identity and Access Management) permettent d'orchestrer automatiquement l'ensemble des actions de désactivation à partir d'un seul déclencheur.

Les solutions comme Okta Lifecycle Management, SailPoint IdentityNow, Microsoft Entra ID Governance ou JumpCloud permettent de définir des workflows d'offboarding qui, lorsqu'un compte est marqué comme « départ », exécutent automatiquement : la désactivation du compte dans tous les annuaires connectés, la révocation des sessions et tokens, la suppression des accès SaaS via les connecteurs SCIM, le transfert automatique de la propriété des ressources, et l'envoi de notifications aux managers et RH. Pour les environnements Microsoft, Power Automate peut orchestrer une partie de ces actions sans investissement supplémentaire.

Retours d'expérience : incidents liés à un offboarding défaillant

L'analyse d'incidents réels causés par un processus d'offboarding défaillant illustre de manière concrète les risques encourus et les leçons à en tirer. Ces cas sont représentatifs de situations que nous observons régulièrement lors de nos audits de sécurité.

Cas n°1 — L'administrateur système rancunier : Un administrateur système licencié d'une PME industrielle de 80 salariés conservait ses accès VPN et ses identifiants root sur les serveurs Linux de production. Trois semaines après son départ, il s'est connecté depuis son domicile et a supprimé les bases de données de production ainsi que les sauvegardes locales (auxquelles il avait toujours accès). L'entreprise a perdu six mois de données de commandes et de facturation. Les sauvegardes cloud, heureusement non compromises, ont permis de récupérer partiellement les données, mais le préjudice a été estimé à 180 000 euros (reconstruction des données, perte de chiffre d'affaires, frais juridiques). Le salarié a été condamné pour accès frauduleux et destruction de données.

Cas n°2 — Le commercial qui emporte le fichier clients : Un directeur commercial d'une société de services B2B a démissionné pour rejoindre un concurrent. Avant son départ, il a transféré l'intégralité du CRM (15 000 contacts qualifiés) vers son adresse email personnelle via des exports CSV quotidiens étalés sur trois semaines. L'absence de solution DLP (Data Loss Prevention) et de surveillance des exports de données a permis cette exfiltration passée inaperçue. L'entreprise n'a découvert la fuite que six mois plus tard, quand elle a constaté que le concurrent démarchait systématiquement ses clients historiques. La procédure judiciaire est en cours mais les données ne peuvent pas être « récupérées ».

Cas n°3 — Le compte fantôme compromis par un ransomware : Lors de l'investigation d'une attaque ransomware contre un cabinet d'avocats parisien, l'équipe de réponse aux incidents a découvert que le vecteur d'intrusion initial était un ancien compte Active Directory d'un stagiaire parti 18 mois auparavant. Le compte, toujours actif avec un mot de passe faible (« Cabinet2023! »), avait été compromis par une attaque de password spraying. L'attaquant avait utilisé ce compte pour se déplacer latéralement dans le réseau, élever ses privilèges et déployer le ransomware LockBit. Le cabinet a payé une rançon de 50 000 euros car ses sauvegardes étaient également chiffrées, et la violation des données clients (dossiers juridiques confidentiels) a fait l'objet d'une notification CNIL et d'une plainte collective de clients.

Conformité NIS2 et obligations de sécurité liées à l'offboarding

La directive NIS2 transposée en droit français impose aux entités essentielles et importantes de mettre en œuvre des mesures de gestion des risques de cybersécurité appropriées, incluant explicitement la gestion des accès et des identités. Un processus d'offboarding défaillant constitue une non-conformité potentielle aux exigences NIS2, exposant l'organisation à des sanctions administratives.

L'article 21 de la directive NIS2 exige que les entités mettent en place des « politiques de sécurité des systèmes d'information » incluant la gestion des accès et le contrôle des identités. Le considérant 79 précise que ces mesures doivent inclure « la gestion du cycle de vie des identités numériques, y compris la création, la modification et la suppression des comptes d'accès ». L'offboarding est donc explicitement couvert par les obligations NIS2.

En complément, le RGPD (article 32) impose des « mesures techniques et organisationnelles appropriées » pour garantir la sécurité des données personnelles, ce qui inclut la gestion des droits d'accès lors des départs. La CNIL a publié des recommandations spécifiques sur la gestion des habilitations qui soulignent l'importance de la révocation des accès lors des changements de fonction ou des départs. Un audit CNIL qui révélerait des comptes actifs d'anciens salariés constituerait un manquement à l'obligation de sécurité susceptible de sanctions.

Les auditeurs ISO 27001 vérifient systématiquement le processus de gestion des départs dans le cadre du contrôle A.6.5 (« Responsabilités après la fin ou le changement de contrat de travail ») et A.5.18 (« Droits d'accès »). Les non-conformités liées à des comptes fantômes d'anciens employés sont parmi les plus fréquemment relevées lors des audits de certification. Un processus d'offboarding formalisé, documenté et audité est donc indispensable pour toute entreprise visant la certification ISO 27001 ou la conformité NIS2.

Questions fréquentes sur l'offboarding sécurisé

Combien de temps faut-il conserver le compte AD d'un ancien employé ?

Conservez le compte désactivé pendant un minimum de 90 jours, idéalement 6 mois à 1 an. Cette période permet de gérer les contentieux éventuels, de répondre aux demandes d'audit, et de disposer des données en cas d'enquête. Après ce délai, le compte peut être supprimé conformément à votre politique de rétention des données. Archivez le rapport d'offboarding et la liste des accès révoqués de manière permanente.

Le salarié partant peut-il demander une copie de ses emails professionnels ?

Le RGPD donne au salarié un droit d'accès à ses données personnelles, ce qui peut inclure certains emails professionnels contenant des données à caractère personnel. Cependant, les emails strictement professionnels (communications avec des clients, documents de travail) appartiennent à l'entreprise. En pratique, accordez l'accès aux emails personnels identifiables et refusez l'accès aux emails contenant des données confidentielles de l'entreprise. Documentez chaque décision.

Que faire si un ancien employé tente de se connecter après son départ ?

Toute tentative de connexion avec un compte désactivé doit déclencher une alerte de sécurité. Si la tentative est réussie (ce qui signifie qu'un accès n'a pas été correctement révoqué), traitez-la comme un incident de sécurité : identifiez l'accès résiduel, désactivez-le immédiatement, évaluez si des données ont été accédées ou exfiltrées, et documentez l'incident. Si les tentatives sont répétées et échouées, elles peuvent indiquer une intention malveillante — informez le service juridique.

Comment gérer les mots de passe partagés connus du collaborateur partant ?

Tous les mots de passe partagés connus du collaborateur doivent être changés : comptes de service, mots de passe de messagerie générique (contact@, info@), mots de passe d'administration partagés, codes d'accès Wi-Fi, PIN de conférence téléphonique, et mots de passe de réseaux sociaux d'entreprise. C'est l'une des raisons pour lesquelles les mots de passe partagés doivent être minimisés au profit de comptes nominatifs.

L'entreprise peut-elle surveiller les activités du salarié avant son départ ?

En France, la surveillance des activités informatiques des salariés est encadrée par le Code du travail et les recommandations de la CNIL. La surveillance est autorisée si elle est proportionnée, si les salariés en sont informés (via la charte informatique), et si le CSE a été consulté. Une surveillance renforcée d'un salarié spécifique (en cas de suspicion de délit) nécessite une justification proportionnée et un cadre juridique strict. Consultez votre DPO et votre service juridique avant toute surveillance ciblée.

Comment gérer le BYOD si le salarié refuse d'effacer les données professionnelles ?

Si la charte informatique et la politique BYOD (signées à l'embauche) prévoient l'effacement des données professionnelles au départ, le salarié est contractuellement tenu de s'y conformer. En cas de refus, l'entreprise peut exiger l'effacement par voie juridique. C'est pourquoi il est crucial de définir clairement les conditions BYOD dès l'embauche et de privilégier les solutions MDM avec conteneur professionnel séparé qui permettent un wipe sélectif sans accéder aux données personnelles.

Faut-il auditer le poste de travail du salarié partant ?

Pour les départs standard, un scan antivirus et une vérification des logiciels installés suffisent avant de réimager le poste pour le prochain utilisateur. Pour les départs à risque (licenciement, accès sensibles, suspicion de délit), un audit forensique plus approfondi peut être justifié : vérification des fichiers récemment supprimés, historique de navigation, clés USB connectées, volumes de données transférés. Cette analyse doit être réalisée dans le respect du cadre légal (CNIL).

Comment mesurer l'efficacité de notre processus d'offboarding ?

Mesurez trois indicateurs clés : le délai de désactivation (temps entre le départ effectif et la désactivation de tous les accès — objectif : 4 heures pour les accès critiques, 24 heures pour l'ensemble), le taux de couverture (pourcentage d'accès identifiés et révoqués par rapport au total — objectif : 100 %), et le nombre de connexions post-départ détectées lors de l'audit J+30 (objectif : zéro). Auditez trimestriellement en vérifiant un échantillon de départs récents.

Inspiré des recommandations de cybermalveillance.gouv.fr (licence Etalab 2.0)

Conclusion

La prévention et la préparation restent les meilleures armes face aux cybermenaces. Téléchargez cette ressource, diffusez-la dans votre organisation et n'hésitez pas à nous contacter pour un accompagnement personnalisé.