Offboarding sécurisé : ce que chaque départ dit de votre maturité cyber

L’onboarding est soigné, ritualisé, pensé dans ses moindres détails. Le jour d’arrivée est préparé, le matériel attend sur le bureau, les accès sont ouverts. L’offboarding, lui, est trop souvent traité comme une formalité administrative, une erreur qui peut coûter cher.

Car chaque départ d’un collaborateur ouvre une fenêtre de risque : badge non récupéré, compte Active Directory toujours actif, accès VPN jamais révoqué, mots de passe partagés jamais renouvelés… Les processus d’offboarding sont généralement bien moins solides en matière de cybersécurité que les processus d’onboarding, rappelle Orange Cyberdefense. Et cette asymétrie est précisément là où les attaquants cherchent à s’engouffrer.

Cet article s’adresse aux équipes IT et RH qui gèrent conjointement les départs de collaborateurs, pas pour pointer des responsabilités, mais pour partager un cadre d’action concret, structuré et proportionné au niveau de risque réel.
 

Le départ d’un collaborateur : une menace souvent sous-estimée

 
Les menaces cyber sont souvent imaginées comme venant de l’extérieur : un attaquant inconnu, une campagne de phishing, une faille technique. La réalité est plus nuancée. Les audits de cybersécurité révèlent régulièrement que 30 à 40 % des comptes Active Directory appartiennent à des utilisateurs ayant quitté l’organisation depuis plusieurs mois, voire plusieurs années. Ces comptes orphelins sont autant de portes dérobées potentielles.

Le risque prend plusieurs formes :

• L’accès résiduel non intentionnel : un ancien collaborateur peut continuer à recevoir des e-mails professionnels, consulter des documents partagés ou accéder à des outils SaaS sans en avoir conscience, simplement parce que personne n’a pensé à révoquer ses droits.
• Le compte orphelin comme vecteur d’attaque externe : un compte inactif, sans surveillance, avec un mot de passe connu ou ancien, est une cible idéale pour un attaquant qui cherche à s’introduire dans le système d’information sans déclencher d’alerte.
• L’acte malveillant intentionnel : en cas de départ conflictuel, un collaborateur mécontent et encore actif dans le SI peut exfiltrer des données, supprimer des fichiers critiques ou compromettre des accès. L’affaire Tesla en 2018, où un ancien salarié a été accusé de sabotage et de vol d’images confidentielles, illustre la réalité concrète de ce risque.

À cela s’ajoute un risque financier direct : une entreprise de 500 collaborateurs gaspille en moyenne 50 000 euros par an en licences SaaS attribuées à des comptes inactifs. L’offboarding mal géré, ce n’est pas seulement un risque sécuritaire : c’est aussi un gouffre budgétaire silencieux.

Enfin, une organisation sur trois subit une perte de propriété intellectuelle majeure lors de la démission d’un collaborateur, transformant chaque départ non maîtrisé en vulnérabilité critique pour la pérennité de l’entreprise.
 

La règle d’or : IT et RH doivent parler le même langage, au même moment

 
Le principal dysfonctionnement dans la gestion des départs n’est pas technique, il est organisationnel. Trop souvent, les équipes IT n’ont pas connaissance des départs au sein de l’entreprise, ou alors trop tardivement, souligne Orange Cyberdefense. Le collaborateur est parfois déjà parti quand la DSI apprend la nouvelle.

La solution passe par un dispositif de coordination formalisé entre RH et IT, activé dès la notification du départ, qu’il s’agisse d’une démission, d’un licenciement, d’une fin de CDD ou d’une retraite.

Ce dispositif doit inclure :

• Une procédure écrite, connue des deux équipes, précisant les rôles et les délais
• Un déclencheur automatique côté RH qui notifie la DSI dès la confirmation du départ
• Un inventaire des accès du collaborateur, idéalement tenu à jour tout au long de la vie du contrat
• Une date de coupure définie, idéalement le dernier jour de présence effective (et non le dernier jour contractuel)

Dans les environnements les plus sensibles, comme l’explique l’analyse du Security Navigator d’Orange Cyberdefense commentée par Whaller, la gestion des accès doit être granulaire et ajustable en temps réel pour limiter les risques liés aux accès non autorisés.
 

La checklist de l’offboarding sécurisé : les actions non négociables

 

 

Accès physiques

• Récupérer le badge d’accès aux locaux avant ou le jour du départ, sans exception
• Désactiver les codes d’alarme ou les accès biométriques associés au collaborateur
• Récupérer les clés physiques, cartes de stationnement, jetons d’accès
• Récupérer tout matériel professionnel : ordinateur portable, smartphone, tablette, supports de stockage amovibles

Accès au système d’information

• Désactiver le compte Active Directory ou LDAP immédiatement, sans attendre la fin du préavis si le collaborateur quitte physiquement les locaux
• Révoquer tous les accès VPN et connexions distantes
• Désactiver la messagerie professionnelle et mettre en place un renvoi temporaire si nécessaire pour la continuité d’activité, avec une durée définie et limitée
• Supprimer ou désactiver les comptes sur tous les outils SaaS métiers : CRM, ERP, outils de gestion de projet, plateformes collaboratives, outils marketing, etc.
• Révoquer les accès aux espaces de stockage partagé : serveurs de fichiers, drives, boxes documentaires
• Retirer les droits d’accès aux dépôts de code source si le collaborateur était développeur
• Révoquer les tokens d’API et les accès programmatiques éventuellement générés par le collaborateur

Mots de passe et secrets partagés

 
C’est souvent l’angle mort de l’offboarding. Comme le rappelle Cyril Bras, Directeur Cybersécurité de Whaller, un mot de passe compromis ou partagé doit être changé dès lors qu’une personne n’est plus habilitée à y avoir accès.

Concrètement :

• Identifier toutes les applications auxquelles le collaborateur avait accès avec des identifiants partagés (boîtes mail génériques, comptes réseaux sociaux de l’entreprise, accès prestataires communs, etc.)
• Renouveler systématiquement tous ces mots de passe partagés
• Révoquer les accès aux gestionnaires de mots de passe d’équipe si le collaborateur y avait accès
• Changer les codes Wi-Fi si des codes d’accès réseau ont été communiqués

L’ANSSI recommande d’appliquer le principe du moindre privilège tout au long de la vie du contrat : plus les accès sont limités au strict nécessaire dès l’onboarding, plus l’offboarding est simple et sûr.
 

Authentification multi-facteurs (MFA)

 
L’ANSSI indique que 60 % des violations de comptes auraient pu être évitées avec l’usage du MFA.

Lors d’un départ, il faut impérativement :

• Désactiver les applications d’authentification liées aux comptes professionnels du collaborateur (Google Authenticator, Microsoft Authenticator, etc.)
• Révoquer les numéros de téléphone personnels enregistrés comme second facteur sur des applications professionnelles
• Régénérer les codes de secours MFA sur les comptes sensibles concernés

Comptes avec droits élevés : une vigilance particulière

 
Si le collaborateur disposait de droits administrateurs, la priorité doit être absolue. Ces profils à responsabilités gèrent des droits d’administration sur certaines applications, peuvent créer ou supprimer des comptes utilisateurs, modifier des paramètres sensibles, accéder à des serveurs critiques : autant de privilèges à risque maximal s’ils ne sont pas révoqués immédiatement.

• Révoquer les droits d’administration avant même le départ physique du collaborateur
• Transférer les droits et responsabilités à une autre personne habilitée
• Changer les mots de passe des comptes de service gérés par ce collaborateur
• Auditer les actions réalisées dans les jours précédant le départ sur les systèmes critiques

Après le départ : surveiller, auditer, documenter

 
L’offboarding ne s’arrête pas le dernier jour. Une surveillance post-départ est nécessaire sur une période de 30 à 90 jours selon la sensibilité du poste.

• Surveiller les tentatives de connexion avec les anciens identifiants du collaborateur
• Paramétrer des alertes sur toute activité suspecte liée aux comptes récemment désactivés
• Vérifier que les transferts d’e-mails temporaires n’ont pas été détournés vers une adresse externe non autorisée
• Réaliser un audit complet dans les systèmes pour s’assurer qu’aucun accès résiduel n’a été oublié

Vérifiez les droits utilisateurs, les logs de connexion, et assurez-vous qu’aucune activité suspecte n’a été détectée, préconise Equipages. La documentation de chaque étape est également essentielle : en cas d’incident ultérieur, elle permet de démontrer que les mesures nécessaires ont bien été prises et protège juridiquement l’organisation.
 

Vers une gestion automatisée : l’IAM et la Digital Workplace comme leviers

 
Dans les organisations de taille significative, la gestion manuelle des offboardings est une source d’erreur structurelle. Les solutions d’Identity and Access Management (IAM) permettent de centraliser la gestion des identités et des accès, de se synchroniser avec le SIRH et de déclencher automatiquement des workflows de désactivation des comptes sur toutes les applications connectées dès qu’un départ est enregistré.

Une Digital Workplace bien conçue contribue aussi à simplifier ce processus. Whaller permet de gérer l’accès au réseau et de retrouver tous les utilisateurs dans un annuaire de membres, avec une gestion fine des droits par sphère et par rôle. Lorsqu’un collaborateur quitte l’organisation, son profil peut être désactivé depuis l’interface d’administration, ce qui révoque instantanément tous ses accès aux espaces de communication et de collaboration internes, sans exception.

Le cloisonnement par sphères de Whaller permet également de partager un dossier entier en lecture seule avec une personne ou une équipe, sans jamais compromettre la sécurité des autres ressources internes. Ce principe de séparation stricte des espaces réduit considérablement la surface d’exposition au moment d’un départ : les données auxquelles le collaborateur n’avait pas accès restent inaccessibles, sans qu’aucune action manuelle supplémentaire ne soit nécessaire.

Pour les environnements les plus sensibles, Whaller DONJON, qualifié SecNumCloud 3.2 par l’ANSSI, offre un niveau de contrôle et de traçabilité supplémentaire. Première plateforme collaborative française à avoir obtenu ce visa de sécurité par « composition », Whaller DONJON répond aux exigences des OIV, OSE et organisations traitant des informations sensibles de niveau Diffusion Restreinte.
 

L’offboarding, révélateur de votre culture de sécurité

 
Un processus d’offboarding rigoureux n’est pas seulement une mesure technique, c’est un signal fort envoyé à l’ensemble de l’organisation sur la manière dont elle traite la sécurité de l’information, pas comme une contrainte réglementaire, mais comme une pratique culturelle continue.

Les organisations qui gèrent les départs avec la même rigueur qu’elles gèrent les arrivées envoient un message clair à leurs équipes : la protection des données n’est pas l’affaire d’un seul département, elle est l’affaire de tous, jusqu’au dernier jour !

Et si ce processus est aujourd’hui lacunaire dans votre organisation, c’est le bon moment pour le formaliser, pas après un incident.

Vous souhaitez découvrir comment Whaller peut vous aider à structurer la gestion des accès et des départs au sein de votre organisation ? Demandez une démonstration.