Quand un salarié part, les entreprises se précipitent souvent pour intégrer le remplaçant. Mais qu’en est-il de verrouiller tout ce que l’ancien avait accès ? C’est un énorme angle mort en sécurité qui surprend la plupart des boîtes à froid.
Quand un salarié part, les entreprises se précipitent souvent pour intégrer le remplaçant. Mais qu’en est-il de verrouiller tout ce que l’ancien avait accès ? C’est un énorme angle mort en sécurité qui surprend la plupart des boîtes à froid.
Personne n’aime gérer le départ d’un employé. C’est la corvée qui suit l’embauche triomphante. Pourtant, en sécurité informatique, c’est un vrai danger. Laisser partir quelqu’un sans couper tous ses accès, c’est comme offrir les clefs du royaume à un ex-frustré.
Et ça arrive plus souvent qu’on ne le croit.
Les gens changent d’emploi. C’est courant. En moyenne, un salarié reste quatre ans dans une boîte avant de partir. Votre entreprise vit sûrement des départs en ce moment, même si vous n’y pensez pas.
Le problème ? On chouchoute les nouveaux arrivants. Mais pour les partants, on bâcle. Les RH chassent des talents. Les chefs comblent les trous. Résultat : personne ne vérifie si l’ex-salarié peut encore toucher aux fichiers sensibles, aux comptes clients ou aux données financières.
C’est grave. Très grave.
Une étude montre que un ex-employé sur quatre garde encore accès aux données de son ancien employeur. Imaginez : il se reconnecte des mois après et télécharge ce qu’il veut. Par erreur ou par vengeance, c’est intolérable.
Parler de « coût », ce n’est pas seulement l’argent. C’est aussi :
Un employé touche des dizaines de systèmes. Email, bien sûr. Mais aussi stockage cloud, outils de gestion de projets, bases de données, paiements, portails fournisseurs. L’ingénieur a le code source et les serveurs. Le commercial, les contacts clients et les prix.
Oublier un seul accès, c’est laisser une porte ouverte à l’arrière.
Un bon processus de sortie n’est pas sorcier. Il faut juste coordonner et noter tout. Voici l’essentiel :
Avant le départ, vérifiez ce qu’il peut toucher. Quels outils ? Quelles données ? Quels processus critiques gère-t-il seul ?
Ça semble évident. Pourtant, la plupart des boîtes galèrent à répondre sans fouiller partout. Si vous ignorez les accès, vous ne pouvez pas les bloquer.
Le dernier jour fini, plus rien. Pas demain. Maintenant.
Ça concerne :
Si l’employé utilisait son appareil perso, effacez les données à distance. Une politique « pas d’appareils perso pour le boulot » simplifie tout.
S’il reste quelques semaines (idéal pour les départs prévus), demandez-lui de lister ses missions. Qui reprend quoi ? Quels mots de passe passer ? Quels processus documenter ?
Ça sécurise, et ça évite la paralysie de l’équipe. Former les collègues et écrire les procédures libère des risques.
Les ordinateurs ne s’évaporent pas. Quelqu’un doit gérer l’appareil, les disques durs, les clés USB cachées.
Votre règle doit dire :
C’est la base de la sécurité sérieuse.
Selon votre métier, des lois encadrent les données clients et salariés. RGPD, HIPAA, CCPA... Elles exigent de bloquer les accès non autorisés.
Laisser un compte actif, c’est une infraction. Les contrôleurs le voient vite en cas de pépin.
Un check-list offboarding avec vos obligations légales, c’est malin et protégé.
Ma vue provocante : les boîtes ignorent l’offboarding car c’est chiant. Pas de pub, pas de fric, pas d’investisseurs impressionnés.
Mais une brèche due à un ex avec accès illimité ? Vous regretterez.
La solution : rendez l’offboarding aussi pro que l’embauche. Une liste à cocher. Un responsable. Un délai. Un outil pour suivre.
Simple. Mais fiable.
Les départs arrivent toujours. Amicaux ou tendus. Vous avez besoin d’un processus sécurisé, sans compter sur la chance.
Un offboarding solide :
Le prix d’un raté dépasse de loin l’effort pour bien faire.
Tags : ['employee offboarding', 'data security', 'access control', 'it security', 'compliance', 'cybersecurity', 'business risk management']