Un salarié qui quitte votre PME de Valence ou de l'Ardèche, c'est normal. Mais la gestion de ses accès informatiques ? C'est souvent le trou noir. Email encore actif six mois après, compte VPN accessible, données sensibles restées sur son ordi portable... J'en vois régulièrement des cas chez mes clients en Drôme.
Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), 40 % des PME n'ont pas de procédure formalisée de révocation d'accès. Résultat : fuites de données, usurpation d'identité, compliance RGPD compromise. Ce guide vous offre une checklist opérationnelle, complète et validée, pour sécuriser le départ de vos collaborateurs.
Aucune exception. Dès que le contrat prend fin ou que le départ est acté, tous les identifiants doivent être révoqués. Email, VPN, serveur, cloud, badge physique, outils SaaS : 0 accès actif. C'est la règle n°1. Temporiser = risque.
Vous ne pouvez pas révoquer ce que vous ne connaissez pas. Avant chaque départ, faites un audit rapide : quels systèmes a-t-il touchés ? Quel était son rôle ? Cette documentation doit existée dès l'embauche (onboarding).
Les données appartiennent à l'entreprise. Avant de désactiver le compte email, exportez les archives, transférez les dossiers partagés au manager. C'est un impératif légal (droit du travail) et de conformité RGPD.
Ne pas supposer. Une demi-heure après révocation, testez l'accès : essayez de vous connecter avec ses identifiants. Si ça passe, il y a un problème. Sinon, documentez le succès.
Gardez une preuve : qui a révoqué quoi, quand, sur quel système. Les logs d'authentification sont votre ami en cas de litige ou audit CNIL.
Email externe, applications legacy que "personne n'utilise", compte AWS créé il y a 3 ans, ancien logiciel de compta... Ces accès restent actifs car on ne les documente pas. Chez un client à Valence, un ancien développeur avait encore accès au serveur Git deux ans après son départ ! Solution : inventorier tous les systèmes au moment de l'onboarding, pas seulement les "grands".
Vous supprimez le compte email avant d'avoir exporté les 8 000 messages importants ? Récupérer les données après, c'est mission impossible. Toujours : archiver avant de supprimer. L'ordre compte.
Le technicien part en vacances, un employé démissionne... et personne d'autre ne sait faire l'offboarding. Résultat : 3 semaines avant que quelqu'un n'y pense. Documentez la procédure, formez au moins 2 personnes. C'est 30 minutes de travail qui évite des mois de risque.
Gère les accès centralisés et l'offboarding semi-automatique. Quand vous "fermez" un utilisateur dans Okta, tous les accès liés sont révoqués en cascade. Idéal pour les PME avec plusieurs SaaS.
Si vous êtes sur Microsoft 365/Office 365, c'est gratuit et intégré. Désactiver un utilisateur revoque automatiquement email, Teams, OneDrive, SharePoint. Puissant pour les petites structures.
Solution clouds pour gérer les utilisateurs, les devices et les accès (email, VPN, applis). Moins cher qu'Okta pour une TPE de Drôme ou Ardèche.
Gère les mots de passe partagés de l'entreprise. Quand quelqu'un part, vous pouvez révoquer son accès et forcer le changement du mot de passe d'un compte partagé qu'il connaissait (WiFi, admin, etc.).
Si vous êtes tout petit, un simple template de checklist digitale suffit. L'important : que tout soit écrit et suivi. Pas de "j'ai oublié de désactiver le VPN".
Cas client #1 : Artisan électricien, Ardèche
Un apprenti avait réussi à garder accès au logiciel de facturation et de gestion de chantiers 6 mois après son départ. Il aurait pu modifier les devis ou facturer au nom de l'entreprise. Découvert par hasard lors d'un audit. Depuis, j'ai mis en place une checklist simple : chaque départ passe par moi et un membre du bureau.
Cas client #2 : PME logistique, Valence
Une administratrice RH partait. Ses mots de passe (email boss, serveur, compta) étaient documentés... sur un Post-it dans un classeur. Le lendemain du départ, le manager n'avait plus accès à sa propre boîte email car elle l'avait réinitialisée. Solution : passage à un gestionnaire de mots de passe (1Password) et formation de deux personnes en parallèle.
Cas client #3 : Association de 8 personnes, Drôme
Pas d'IT formelle. Quand un bénévole partait, on disait "tu devrais peut-être changer le mot de passe de la boîte email partagée". Trois personnes ont le mot de passe, deux n'en connaissent qu'une moitié. Le risque ? Énorme. On a mis en place Microsoft Entra ID gratuitement et une procédure écrite. C'est pris 90 minutes une fois pour toutes.
Ce que j'observe : les petites structures sous-estiment souvent ce risque. "On fait confiance", "personne ne voudrait nous voler", "on n'est pas Google". Faux. Les données, même d'une PME, ont de la valeur. Un ancien employé frustré, c'est aussi une menace réelle. La sécurité informatique commence par l'offboarding.
Les accès doivent être révoqués le jour du départ, idéalement le matin ou en fin de matinée. Cela empêche la personne d'utiliser les systèmes après avoir quitté physiquement l'entreprise. Certaines structures préfèrent attendre l'après-midi pour éviter des problèmes d'accès urgents le matin. L'essentiel : même jour, documenté.
Les données professionnelles appartiennent à l'entreprise et doivent être archivées ou transférées au manager ou au successeur. Les données personnelles du salarié (CV, documents bancaires, etc.) doivent être supprimées conformément au RGPD et aux règles de la CNIL. Une bonne pratique : avant de supprimer un compte, faire un export des emails professionnels pendant 1-2 semaines. Les outils comme Microsoft 365 offrent cette fonctionnalité nativement.
Deux approches : Test manuel : essayez de vous connecter avec ses identifiants après révocation (email, VPN, serveur). Si l'accès est refusé, c'est bon. Audit des logs : consultez les logs d'authentification du serveur ou du gestionnaire d'identité (Active Directory, Okta) pour confirmer qu'aucune connexion n'est enregistrée après la date/heure de révocation. Documentez ces tests.
Pour la plupart des départs : non, une simple checklist suffit. Mais oui pour : postes IT (développeurs, admins système), accès sensibles (données clients, compta, légal), ou départs conflictuels. Un audit = vérifier les droits résiduels, auditer les logs des 30 jours précédents, vérifier les données sauvegardées. Coût : 200-500€ selon la structure. Utile ? Oui si le poste était sensible.
Même procédure d'offboarding. Créez ensuite un compte limité (pas admin, droits restreints) pour ses besoins spécifiques de prestataire. Ne jamais réutiliser un ancien compte salarié. Les accès doivent être temporaires et documentés par contrat.
Le RGPD (CNIL en France) impose que les données personnelles soient supprimées ou archivées selon la durée de conservation définie. L'offboarding IT doit inclure cette dimension : supprimer les données personnelles du salarié après la fin du contrat (durée légale : généralement 3 ans pour les données de paie). Garder un email "au cas où" pendant 5 ans = non-conformité. Documentez votre politique de conservation et appliquez-la.
Vous êtes une TPE ou PME en Drôme ou Ardèche ? Je peux vous aider à :