Procédure Onboarding / Offboarding Utilisateur ISO 27001 : Word

La procédure d'onboarding et d'offboarding des utilisateurs — également appelée procédure Joiners / Movers / Leavers (JML) — est l'un des contrôles les plus fréquemment audités lors des certifications ISO/IEC 27001:2022. Elle couvre les contrôles A.6.1 — Sélection du personnel, A.6.2 — Conditions d'emploi, A.6.5 — Responsabilités après fin ou changement d'emploi, A.5.18 — Droits d'accès et A.8.2 — Droits d'accès privilégiés. La raison de cette importance accordée par les auditeurs est simple : les erreurs dans la gestion des droits d'accès constituent l'une des vulnérabilités les plus exploitées par les attaquants — comptes orphelins d'ex-employés, accès excessifs de collaborateurs en mobilité interne, droits d'administrateur non révoqués lors de départs. Ce template Word, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, couvre le cycle de vie complet d'un utilisateur dans le SMSI : arrivée d'un nouvel employé (onboarding), changement de poste ou de département (movers), et départ de l'organisation (offboarding), en intégrant les trois fonctions impliquées — Ressources Humaines, Informatique et Sécurité — dans un processus formalisé, tracé et auditable. Il inclut des checklists par étape, des workflows d'approbation, des délais de traitement maximum, et les exigences documentaires (formulaires d'habilitation, accusés de prise de connaissance de la politique de sécurité, restitution du matériel). Il doit être lu en parallèle avec la matrice RACI des rôles SMSI et la matrice de compétences (clause 7.2) pour une gestion des ressources humaines complète et conforme. La gestion défaillante du cycle JML est systématiquement identifiée lors des tests de pénétration sur Active Directory comme l'une des principales voies d'escalade de privilèges.

Contexte réglementaire et normatif

Plusieurs contrôles d'ISO/IEC 27001:2022 couvrent le cycle de vie des utilisateurs. Le contrôle A.6.1 exige que les vérifications d'antécédents des candidats soient effectuées avant l'embauche, conformément aux lois et réglementations applicables. A.6.2 exige que les accords contractuels stipulent les responsabilités des employés et des contractants en matière de sécurité. A.6.5 exige que les responsabilités et devoirs en matière de sécurité restants après la fin ou le changement d'emploi soient définis et communiqués. A.5.18 exige que les droits d'accès soient provisionnés, révisés, modifiés et révoqués selon la politique de contrôle d'accès.

• RGPD (Article 32) : le contrôle des accès aux données personnelles est une mesure de sécurité obligatoire. La procédure onboarding/offboarding doit intégrer la gestion des accès aux systèmes traitant des données personnelles. Toute anomalie (compte orphelin accédant à des données personnelles) constitue un risque RGPD.
• Directive NIS 2 (Article 21.2) : les politiques et procédures relatives aux ressources humaines, dont la gestion des accès, font partie des mesures de sécurité exigées des entités importantes et essentielles.
• Guide ANSSI "Maîtrise des risques liés à l'externalisation" : l'offboarding des prestataires et sous-traitants est soumis aux mêmes exigences que celui des employés, avec des spécificités liées aux accords contractuels.
• PGSSI-S (santé) : le secteur de la santé dispose de référentiels spécifiques sur la gestion des identités et des accès aux dossiers médicaux, qui imposent des procédures JML rigoureuses et auditées.

Structure détaillée du template

Section 1 — Objet et périmètre

Cette section définit les objectifs de la procédure (garantir que chaque utilisateur dispose des accès nécessaires à ses fonctions, ni plus ni moins, et que ces accès sont révoqués immédiatement en cas de départ), son périmètre d'application (employés permanents, CDD, stagiaires, alternants, prestataires, sous-traitants), les rôles responsables (RH, IT, RSSI, managers), et les délais de traitement maximum (provisionnement sous 24h pour les nouveaux arrivants, révocation sous 4h pour les départs contraints, sous 24h pour les départs planifiés).

Section 2 — Procédure d'onboarding (Joiners)

Processus détaillé pour l'arrivée d'un nouvel utilisateur. Phase 1 - Pré-arrivée (RH) : création du dossier RH, communication des informations au service IT (date d'arrivée, poste, département, manager, équipements nécessaires), vérifications d'antécédents si requises par le poste (clause A.6.1). Phase 2 - Provisionnement IT (J-1 au J) : création du compte Active Directory, attribution des groupes d'accès selon la matrice d'habilitation, provisionnement de la messagerie et des outils collaboratifs, configuration du poste de travail, remise du matériel et signature du bon de remise. Phase 3 - Intégration sécurité (J à J+5) : présentation de la politique de sécurité et signature de l'accusé de réception, formation sécurité initiale (sensibilisation phishing, mots de passe, gestion des données), remise de la charte informatique signée.

Section 3 — Procédure de mobilité interne (Movers)

Processus pour les changements de poste ou département. Particularité essentielle : le principe du moindre privilège exige que les anciens droits soient révoqués simultanément à l'attribution des nouveaux droits — pas d'accumulation de droits. Un employé qui change de département ne doit pas conserver les accès de son ancien poste. Inclut la procédure de revue des droits existants par le nouveau manager, la validation des droits supprimés par l'ancien manager, et la mise à jour dans la matrice d'habilitation.

Section 4 — Procédure d'offboarding (Leavers)

Processus pour les départs de l'organisation. Distingue deux cas : départ planifié (démission, fin de contrat, retraite) avec préavis permettant une organisation ordonnée, et départ contraint (licenciement, suspension) exigeant une révocation immédiate de tous les accès. Inclut : révocation de tous les comptes (AD, messagerie, VPN, applications métier, accès cloud), récupération du matériel (ordinateur, téléphone, tokens, badges), révocation des accès physiques (carte badge), transfert des fichiers de travail, rappel des obligations de confidentialité post-départ (clause A.6.5), et archivage du dossier utilisateur.

Section 5 — Matrice d'habilitation

Tableau de correspondance poste/droits d'accès qui sert de référence pour le provisionnement. Chaque rôle ou fonction est associé à un profil d'accès standard (groupes AD, applications autorisées, niveau d'accès aux partages réseau). Cette matrice est révisée annuellement et à chaque création d'un nouveau poste.

Section 6 — Revue périodique des droits d'accès

Procédure de revue semestrielle de l'ensemble des droits d'accès (User Access Review — UAR) : liste de tous les comptes actifs, vérification que chaque compte correspond à un employé actif, vérification que les droits correspondent au profil du poste, identification et suppression des comptes orphelins, des droits excessifs et des accès non utilisés depuis 90 jours. La revue est validée par les managers et le RSSI, et les résultats sont documentés.

Guide d'utilisation étape par étape

Étape 1 — Établir la matrice d'habilitation de référence

Avant de déployer la procédure, construisez la matrice d'habilitation qui liste pour chaque rôle ou poste les accès standard. Consultez les managers de chaque département pour valider les accès nécessaires à chaque fonction. Appliquez strictement le principe du moindre privilège : on commence avec le minimum nécessaire, et on ajoute des droits spécifiques sur demande justifiée. La matrice devient la référence que le service IT utilise pour tout provisionnement.

Étape 2 — Créer le formulaire de demande d'accès

Tout provisionnement, modification ou révocation d'accès doit passer par un formulaire de demande standardisé : identité du demandeur (manager), identité du bénéficiaire, accès demandés, justification business, niveau d'approbation requis (accès standard vs accès privilégiés), date de début et date de fin si applicable. Ce formulaire constitue la traçabilité des décisions d'accès — une preuve essentielle en audit.

Étape 3 — Automatiser le provisionnement quand possible

Les outils IAM (Identity and Access Management) comme Microsoft Entra ID (Azure AD), Okta ou SailPoint permettent d'automatiser le provisionnement et la révocation des accès, réduisant les erreurs humaines et les délais. Si vous n'avez pas d'outil IAM, créez au minimum un workflow d'email structuré avec des délais de traitement définis et une confirmation de clôture.

Étape 4 — Former les acteurs de la procédure

RH, managers et équipes IT doivent être formés à la procédure et à leurs responsabilités respectives. En particulier : les managers doivent notifier les départs et changements de poste dans les délais requis (au moins 5 jours ouvrés avant pour les départs planifiés), les équipes IT doivent appliquer les révocations dans les délais maximum définis, les RH doivent déclencher le processus dès la notification officielle.

Étape 5 — Déployer les contrôles d'audit automatique

Configurez des alertes automatiques sur les anomalies les plus communes : comptes AD activés sans correspondance dans le SIRH, dernière connexion de plus de 90 jours sur un compte actif, comptes avec des droits administrateur non référencés dans la matrice d'habilitation. Ces alertes alimentent le SIEM et permettent de détecter les dérives entre deux revues périodiques.

Étape 6 — Réaliser la revue semestrielle des droits

La revue semestrielle (User Access Review) est une exigence de conformité ISO 27001. Exportez la liste complète des comptes actifs depuis l'Active Directory, croisez avec le fichier RH des employés actifs, identifiez les comptes orphelins, les droits excessifs et les comptes inactifs. Faites valider la revue par les managers de chaque département et documentez les actions correctives prises. Les résultats sont présentés en revue de direction.

Étape 7 — Tester la procédure d'offboarding en urgence

Simulez régulièrement (au moins annuellement) un départ contraint pour tester la rapidité de la révocation des accès : pouvez-vous révoquer tous les accès d'un utilisateur en moins de 4 heures ? Le test révèle généralement des oublis (accès à des applications métier mal documentées, comptes de service liés à l'utilisateur, accès à des systèmes partenaires). Documentez les résultats et traitez les écarts dans le RTP.

Étape 8 — Audit interne annuel de la procédure

Lors de l'audit interne SMSI, vérifiez un échantillon de dossiers d'onboarding et d'offboarding de l'année écoulée : les droits ont-ils été provisionnés dans les délais ? Les chartes informatiques sont-elles signées ? Les comptes sont-ils réellement désactivés pour les personnes parties ? Les matériels ont-ils été récupérés ? Ce test par sondage est une méthode d'audit efficace qui révèle la réalité opérationnelle de la procédure.

Tableau des contrôles / checklist complète

Checklist de 30 points de contrôle pour valider la conformité du processus JML lors d'un audit ISO 27001 :

Points de vigilance pour l'audit de certification

Piège 1 — Comptes orphelins d'ex-employés encore actifs

C'est la non-conformité la plus fréquente dans ce domaine. Les auditeurs demandent souvent une liste des comptes AD actifs et la croisent avec les fichiers RH. Trouver un compte actif pour un employé parti il y a 6 mois est une non-conformité majeure. Remédiation : automatisez la désactivation des comptes en liant le SIRH à l'Active Directory, et réalisez une vérification manuelle mensuelle en attendant l'automatisation.

Piège 2 — Droits accumulés après mobilité interne

Un employé qui a changé 3 fois de département peut avoir accumulé des droits correspondant à ses 3 postes précédents, violant clairement le principe du moindre privilège. Remédiation : la procédure Movers doit explicitement imposer la révocation des anciens droits avant ou simultanément à l'attribution des nouveaux droits.

Piège 3 — Offboarding des prestataires oublié

Les prestataires et consultants sont souvent oubliés dans les processus offboarding. Un prestataire dont la mission est terminée mais dont le compte VPN est toujours actif 6 mois après est un risque de sécurité significatif. Remédiation : appliquez les mêmes processus aux prestataires qu'aux employés, avec des comptes ayant une date d'expiration automatique correspondant à la fin du contrat.

Piège 4 — Délais de révocation trop longs

Si la révocation des accès prend plusieurs jours après un départ, la fenêtre d'exposition est significative — surtout dans les cas de départs conflictuels. L'auditeur questionnera les délais réels de révocation. Remédiation : mesurez systématiquement le délai entre la notification de départ et la révocation effective, et publiez cet indicateur en revue de direction.

Piège 5 — Applications SaaS non incluses dans le processus

L'offboarding AD ne désactive que les accès gérés via l'Active Directory. Les applications SaaS avec leurs propres bases d'utilisateurs (Salesforce, GitHub, AWS, etc.) nécessitent une désactivation séparée. Remédiation : dressez un inventaire exhaustif de toutes les applications et services auxquels les utilisateurs ont accès, et intégrez-les dans la checklist d'offboarding.

Intégration dans le SMSI

La procédure JML s'articule avec plusieurs documents SMSI :

• Matrice RACI SMSI (Clause 5.3) : définit les responsabilités RH, IT et sécurité dans le processus JML.
• Matrice de compétences (Clause 7.2) : la formation sécurité initiale de l'onboarding s'appuie sur la matrice de compétences.
• Politique sécurité réseau (A.8.20) : la révocation des accès VPN fait partie de l'offboarding réseau.
• Politique services cloud (A.5.23) : la gestion des accès aux services cloud est intégrée dans le processus d'offboarding.

Bonnes pratiques terrain

Automatisez le maximum possible : les solutions IAM (Identity and Access Management) automatisent le provisionnement et la déprovision selon les données du SIRH, réduisant les erreurs et les oublis. Microsoft Entra ID, Okta et SailPoint s'intègrent avec la plupart des SIRH du marché. Si vous n'avez pas les moyens d'investir dans un IAM, créez au minimum des scripts PowerShell pour désactiver automatiquement les comptes AD sur la base d'une liste d'export RH.

Créez une checklist d'offboarding par profil : un administrateur système a plus d'accès à révoquer qu'un commercial standard. Créez des checklists personnalisées par type de profil pour ne rien oublier. Un administrateur IT sortant doit faire l'objet d'une attention particulière : changement des mots de passe des comptes de service qu'il connaissait, révocation des accès aux gestionnaires de mots de passe partagés, révocation des accès cloud avec ses credentials personnels.

Documentez chaque étape de l'offboarding : gardez une trace horodatée de chaque action réalisée lors de l'offboarding — à quelle heure le compte AD a été désactivé, à quelle heure les accès VPN ont été révoqués, etc. Cette traçabilité est précieuse en cas de litige avec un ex-employé ou de compromission ultérieure.

FAQ

Que faire si un employé dont le contrat se termine a des accès à des systèmes critiques ?

Pour les employés qui ont des accès privilégiés (administrateurs, RSSI, développeurs avec accès aux systèmes de production), l'offboarding doit être particulièrement soigné et planifié en avance. Idéalement plusieurs semaines avant le départ, réalisez un inventaire de tous les accès spéciaux, tous les mots de passe partagés connus, tous les systèmes gérés. Planifiez le transfert de connaissances (passation), changez les mots de passe partagés avant le départ effectif si possible, révoquez les accès en coordination avec les équipes pour assurer la continuité de service. Pour les comptes de service et les clés API créées ou gérées par l'employé, identifiez-les et planifiez leur rotation. Ne laissez jamais un employé "aider de chez lui" après son départ officiel — même avec les meilleures intentions, cela crée des problèmes de traçabilité et de responsabilité.

Les stagiaires et alternants doivent-ils être soumis aux mêmes procédures ?

Oui, stagiaires, alternants, intérimaires et tout personnel temporaire doit être soumis aux mêmes procédures JML que les employés permanents, avec des adaptations liées à leurs accès généralement plus limités. La durée limitée de leur mission facilite l'offboarding si elle est anticipée : créer les comptes avec une date d'expiration correspondant à la fin de la période de stage simplifie la révocation automatique. Les stagiaires et alternants présentent parfois un risque plus élevé d'incidents (moins d'expérience des bonnes pratiques de sécurité) — la formation sécurité initiale est d'autant plus importante pour eux.

Comment gérer l'offboarding d'un employé qui part mal et refuse de rendre son matériel ?

Malheureusement, ce scénario arrive. La procédure doit prévoir ce cas de figure. Sur le plan technique : révoquez immédiatement tous les accès logiques (AD, VPN, messagerie, SaaS), signalez l'appareil manquant dans le système MDM et activez le wipe à distance si le matériel est géré par MDM, changez les mots de passe de tous les systèmes auxquels l'employé avait accès (particulièrement si des accès partagés existent). Sur le plan juridique : la convention de remise de matériel signée à l'onboarding est la base de la réclamation juridique. La DRH et le service juridique prennent le relais pour les démarches formelles. Sur le plan documentaire : documentez tous les accès révoqués avec horodatage pour démontrer que vous avez réagi immédiatement. Signalez le cas dans le registre des incidents de sécurité même si aucune compromission n'est avérée — c'est une pratique correcte de traçabilité.