Quand un salarié quitte l'entreprise, le vrai risque n'est pas seulement qu'il continue à lire ses mails. Le risque est plus large : accès à des fichiers clients, dossiers partagés, outils métier, mots de passe enregistrés, Drive personnel synchronisé, compte toujours connecté sur un téléphone ou transfert automatique oublié dans la boîte mail.
Le sujet paraît simple : "on supprime son compte". En pratique, c'est rarement la bonne première action. Si vous supprimez trop vite, vous pouvez perdre des mails utiles, casser des partages, bloquer l'accès à des fichiers ou faire disparaître un historique dont l'entreprise a encore besoin. Si vous attendez trop, l'ancien salarié peut garder des droits qu'il ne devrait plus avoir.
La bonne méthode consiste à préparer le départ, récupérer ce qui appartient à l'entreprise, couper les accès dans le bon ordre, puis vérifier qu'il ne reste pas d'accès caché.
En bref
- Ne supprimez pas le compte immédiatement. Bloquez d'abord la connexion, puis récupérez les données utiles.
- Coupez les accès au bon moment : messagerie, fichiers, outils métier, VPN, mots de passe, téléphone, ordinateur.
- Transférez la propriété des fichiers importants avant de désactiver ou supprimer le compte.
- Vérifiez les règles de transfert mail, les sessions actives, les appareils connectés et les partages externes.
- Changez les mots de passe partagés si l'entreprise en utilise encore.
- Gardez une trace de ce qui a été fait : date, accès coupés, données transférées, matériel récupéré.
Le départ d'un salarié est un moment sensible parce qu'il mélange sécurité, continuité et organisation. L'objectif n'est pas de tout bloquer brutalement. L'objectif est de reprendre le contrôle sans perdre ce qui sert encore à l'entreprise.
Ce que cherche vraiment une entreprise
Une petite entreprise ne cherche pas forcément "gestion des habilitations". Elle cherche plutôt une réponse à des problèmes très concrets.
- Comment récupérer les mails d'un salarié parti ?
- Comment éviter qu'il garde accès à OneDrive, SharePoint ou Google Drive ?
- Comment transférer ses fichiers à un manager ?
- Que faire de son adresse mail ?
- Faut-il supprimer son compte ou le désactiver ?
- Comment être sûr qu'il ne peut plus se connecter ?
- Que faire si le départ est conflictuel ?
Ces questions sont bonnes, parce qu'elles obligent à traiter le sujet comme un processus. Un départ mal géré laisse souvent des portes ouvertes : un compte non désactivé, un accès VPN oublié, un mot de passe commun, un téléphone encore connecté, un outil SaaS payé tous les mois sans propriétaire.
Le bon ordre à suivre
La meilleure approche est de séparer les actions en quatre blocs.
- Préparer la liste des accès.
- Bloquer la connexion le jour du départ.
- Transférer les données utiles.
- Vérifier les accès restants.
Cet ordre évite deux erreurs fréquentes : laisser le compte actif trop longtemps ou le supprimer trop vite sans avoir récupéré les fichiers.
1. Faire l'inventaire des accès avant le départ
Avant de toucher au compte, listez les endroits où la personne peut encore entrer. Dans une PME, cette liste est souvent plus longue que prévu.
À vérifier :
- boîte mail professionnelle
- OneDrive, SharePoint, Google Drive ou serveur de fichiers
- CRM, facturation, comptabilité, ERP, outil métier
- logiciels SaaS : Canva, Notion, Slack, Teams, Trello, HubSpot, etc.
- VPN, accès distant, bureau à distance
- ordinateur, téléphone, tablette
- gestionnaire de mots de passe
- comptes partagés ou mots de passe connus
- accès admin éventuels
- réseaux sociaux et fiche Google Business Profile
- outils publicitaires ou analytics
Si vous n'avez pas cette liste, c'est déjà une information importante. Cela signifie que l'entreprise dépend probablement de la mémoire des personnes ou des historiques de connexion. Dans ce cas, le départ doit aussi servir à remettre de l'ordre.
2. Bloquer la connexion avant de supprimer le compte
Dans Microsoft 365, Google Workspace ou un autre environnement cloud, le bon réflexe est généralement de bloquer la connexion en premier. Cela empêche la personne de se reconnecter, tout en laissant le temps de récupérer les données.
À faire le jour du départ :
- bloquer la connexion du compte
- réinitialiser le mot de passe
- révoquer les sessions actives
- retirer ou réinitialiser le MFA associé
- déconnecter les appareils connus
- désactiver l'accès VPN ou bureau distant
- retirer les licences inutiles après récupération des données
Le point important : bloquer l'accès ne veut pas dire effacer l'historique. Vous gardez la main sur le compte, mais l'ancien salarié ne peut plus l'utiliser.
Sur un départ conflictuel ou sensible, cette action doit être prête avant l'annonce officielle. Sinon, la fenêtre de risque peut être courte, mais suffisante pour supprimer, transférer ou copier des informations.
3. Récupérer les mails sans laisser la boîte ouverte
La boîte mail contient souvent des devis, échanges clients, factures, accès fournisseurs et informations de suivi. Il faut donc récupérer l'utile sans laisser l'adresse vivre comme avant.
Options courantes :
- convertir la boîte en boîte partagée si l'outil le permet
- déléguer l'accès à un manager ou à une personne de remplacement
- mettre une réponse automatique indiquant le nouveau contact
- transférer temporairement les nouveaux mails vers une adresse de suivi
- exporter ou conserver l'historique selon les besoins internes
À éviter : laisser le mot de passe du compte à quelqu'un d'autre. C'est pratique sur le moment, mais mauvais pour la traçabilité. Il vaut mieux déléguer proprement les droits ou transformer la boîte selon les options de votre environnement.
Vérifiez aussi les règles de boîte mail. Un ancien salarié peut avoir créé :
- un transfert automatique vers une adresse personnelle
- une règle qui masque certains mails
- une règle qui archive ou supprime des messages
- une signature ou une réponse automatique obsolète
Ce contrôle prend peu de temps et évite de mauvaises surprises.
4. Transférer les fichiers importants
Les fichiers sont souvent le point le plus mal anticipé. Un document peut être partagé à toute l'équipe, mais appartenir au OneDrive ou au Drive d'une seule personne. Quand le compte est supprimé, l'accès peut devenir compliqué ou disparaître selon la configuration.
À faire avant suppression définitive :
- identifier les dossiers de travail importants
- transférer la propriété ou copier vers un espace d'équipe
- déplacer les documents clients vers SharePoint, Drive partagé ou serveur commun
- vérifier les liens partagés encore utiles
- supprimer les partages personnels inutiles
- vérifier les fichiers synchronisés sur l'ordinateur
La règle simple : un fichier d'entreprise ne devrait pas dépendre durablement du compte personnel d'un salarié, même si ce compte est professionnel.
Si vous utilisez Microsoft 365, privilégiez SharePoint ou Teams pour les documents collectifs. Si vous utilisez Google Workspace, privilégiez les Drive partagés. L'objectif est que les fichiers importants appartiennent à l'organisation, pas à une personne.
5. Couper les accès aux outils métier
La messagerie et les fichiers sont visibles. Les outils métier le sont moins. Pourtant, ce sont souvent eux qui contiennent les données les plus sensibles : clients, factures, devis, paie, tickets, contrats, stocks, projets.
Contrôlez notamment :
- CRM
- logiciel de facturation
- comptabilité
- paie
- outil de tickets ou support client
- outil de signature électronique
- stockage cloud
- outils marketing
- réseaux sociaux
- interface du site web
- hébergement et nom de domaine
Pour chaque outil, demandez-vous :
| Question | Pourquoi c'est important |
|---|---|
| Le compte est-il personnel ou partagé ? | Un compte partagé doit être changé ou remplacé. |
| La personne avait-elle des droits admin ? | Les droits élevés doivent être traités en priorité. |
| Peut-elle exporter des données ? | Le risque est plus fort sur les outils clients et financiers. |
| L'outil garde-t-il des sessions actives ? | Un changement de mot de passe ne suffit pas toujours. |
| Existe-t-il un historique d'activité ? | Utile en cas de doute ou de départ sensible. |
L'idéal est de désactiver le compte, pas seulement retirer la licence ou arrêter de payer. Certains outils gardent l'utilisateur actif même sans abonnement visible dans l'outil principal.
6. Traiter les mots de passe partagés
Les mots de passe partagés sont l'un des principaux angles morts. Si plusieurs personnes connaissent le même mot de passe, vous ne pouvez pas couper l'accès d'une seule personne proprement.
Après un départ, changez au minimum :
- les mots de passe de comptes partagés
- les accès aux réseaux sociaux
- les comptes fournisseurs utilisés à plusieurs
- les mots de passe Wi-Fi invités ou internes si nécessaire
- les accès à l'hébergement, au registrar ou au CMS
- les mots de passe enregistrés dans un navigateur partagé
La meilleure solution reste d'utiliser un gestionnaire de mots de passe d'entreprise. Chaque personne a son compte, les secrets peuvent être partagés sans être révélés, et les accès sont retirés au départ.
Si vous n'avez pas encore ce type d'outil, le départ d'un salarié est souvent le bon moment pour arrêter les comptes communs les plus sensibles.
7. Récupérer le matériel et vérifier les appareils
Un compte désactivé ne suffit pas si l'ordinateur ou le téléphone contient encore des fichiers synchronisés, des sessions ouvertes ou des mots de passe enregistrés.
À vérifier :
- ordinateur portable ou fixe rendu
- téléphone professionnel
- tablette
- badge ou clé physique
- disque externe ou clé USB
- navigateur avec mots de passe enregistrés
- synchronisation OneDrive, Drive ou Dropbox
- sessions ouvertes dans Teams, Slack, CRM ou outils métier
- profil utilisateur local sur le poste
Si le matériel ne peut pas être récupéré immédiatement, il faut au minimum pouvoir couper les comptes, révoquer les sessions et, si l'entreprise est équipée pour le faire, déclencher un effacement ou une mise en quarantaine à distance.
8. Vérifier les accès externes et les partages publics
Un ancien salarié peut ne plus avoir son compte, mais certains fichiers peuvent rester accessibles via des liens publics ou des invitations externes.
À contrôler :
- liens de partage anonymes
- dossiers partagés avec une adresse personnelle
- invités externes dans Teams, SharePoint ou Google Drive
- accès à des espaces clients
- groupes de distribution ou listes de diffusion
- canaux Slack ou Teams externes
Ce point est important parce qu'il ne se voit pas toujours dans la fiche utilisateur. Il faut parfois regarder les partages au niveau des fichiers, des groupes ou des espaces collaboratifs.
9. Documenter ce qui a été fait
Une bonne sortie se termine par une trace. Pas besoin d'un dossier de 40 pages. Une checklist datée suffit souvent.
Notez :
- date et heure de désactivation
- personne responsable de l'action
- compte mail traité
- fichiers transférés
- licences retirées
- outils métier désactivés
- matériel récupéré
- mots de passe changés
- points restant à vérifier
Cette documentation protège l'entreprise en cas d'oubli, de litige ou de départ suivant. Elle évite aussi de repartir de zéro à chaque mouvement d'équipe.
Checklist rapide le jour du départ
| Action | À faire |
|---|---|
| Bloquer la connexion | Empêcher toute nouvelle connexion au compte principal. |
| Révoquer les sessions | Déconnecter les appareils déjà authentifiés. |
| Récupérer les mails | Délégation, boîte partagée ou transfert contrôlé. |
| Transférer les fichiers | Déplacer vers un espace d'équipe. |
| Retirer les groupes | Supprimer les droits sur dossiers, Teams, Drive, listes. |
| Couper les outils métier | CRM, facturation, paie, support, site web. |
| Changer les mots de passe partagés | Surtout comptes fournisseurs, réseaux sociaux, hébergement. |
| Récupérer le matériel | PC, téléphone, badge, clés, supports externes. |
Cas particulier : départ conflictuel
Un départ conflictuel demande plus de préparation. Il faut limiter la fenêtre entre l'annonce et la coupure effective des accès.
Avant l'annonce, préparez :
- la liste des comptes à bloquer
- les personnes responsables de chaque outil
- la récupération du matériel
- la sauvegarde ou copie des données utiles
- la révocation des sessions
- la vérification des transferts mail
- l'export d'activité si nécessaire
Le but n'est pas de suspecter tout le monde. Le but est de réduire le risque dans un moment où l'entreprise peut être vulnérable.
Cas particulier : prestataire, alternant ou freelance
Le sujet ne concerne pas seulement les salariés. Un prestataire externe peut avoir des accès très larges : site web, hébergement, outils marketing, fichiers clients, dépôt Git, CRM, cloud, serveur.
Pour un externe, ajoutez ces contrôles :
- fin du compte invité
- retrait des accès aux dépôts de code
- retrait des accès hébergement et DNS
- changement des clés API ou tokens partagés
- retrait des accès analytics, publicité et réseaux sociaux
- transfert de propriété des documents livrés
Un accès prestataire oublié peut rester actif pendant des années. C'est fréquent, surtout quand le compte a été créé en urgence pour un projet ponctuel.
Les erreurs fréquentes
Supprimer le compte trop vite
Vous pouvez perdre l'accès à des fichiers, des mails ou des historiques utiles. Il faut bloquer, récupérer, transférer, puis seulement supprimer selon votre politique de conservation.
Oublier les sessions actives
Changer le mot de passe ne déconnecte pas toujours toutes les sessions déjà ouvertes. Il faut révoquer les sessions quand l'outil le permet.
Laisser des fichiers dans un espace personnel
Les fichiers d'entreprise doivent vivre dans un espace d'équipe. Sinon, chaque départ crée un risque de perte ou de confusion.
Garder des comptes partagés
Un compte partagé empêche de savoir qui fait quoi. Après un départ, il faut au minimum changer le mot de passe, puis remplacer progressivement ces comptes par des accès nominatifs.
Ne pas vérifier les règles de transfert mail
Une règle de transfert vers une adresse personnelle peut continuer à faire sortir des informations sans bruit.
Oublier les outils secondaires
Canva, outil de newsletter, fiche Google, espace client fournisseur, outil de signature, coffre-fort de mots de passe : ce sont souvent ces accès qui restent ouverts.
Plan d'action simple sur 30 jours
Semaine 1 : créer la checklist de départ
Listez les outils utilisés dans l'entreprise et créez une checklist unique : comptes, fichiers, mails, matériel, mots de passe, outils métier.
Semaine 2 : nettoyer les comptes partagés
Repérez les comptes utilisés par plusieurs personnes. Changez les mots de passe et basculez les accès sensibles vers des comptes nominatifs quand c'est possible.
Semaine 3 : revoir les espaces de fichiers
Déplacez les documents collectifs vers des espaces d'équipe : SharePoint, Teams, Drive partagé ou serveur commun.
Semaine 4 : tester la procédure sur un cas réel ou fictif
Prenez un compte utilisateur de test et simulez un départ : blocage, transfert de fichiers, retrait des groupes, révocation de sessions, documentation.
Questions fréquentes
Faut-il supprimer le compte d'un salarié qui part ?
Pas tout de suite dans la plupart des cas. Il vaut mieux bloquer la connexion, récupérer les mails et fichiers utiles, transférer ce qui doit l'être, puis supprimer ou archiver selon votre politique interne.
Comment récupérer les mails d'un ancien salarié ?
Selon l'outil, vous pouvez convertir la boîte en boîte partagée, déléguer l'accès, exporter les données ou mettre en place un transfert temporaire vers une personne responsable. Évitez de donner le mot de passe à quelqu'un d'autre.
Comment éviter qu'il garde accès à OneDrive ou SharePoint ?
Bloquez le compte, révoquez les sessions, transférez les fichiers utiles vers un espace d'équipe et retirez les partages personnels ou externes qui ne sont plus nécessaires.
Faut-il changer tous les mots de passe ?
Pas tous, si les accès sont nominatifs et bien gérés. En revanche, il faut changer les mots de passe partagés que la personne connaissait : réseaux sociaux, fournisseurs, outils communs, Wi-Fi si nécessaire, hébergement ou CMS.
Que faire si l'ancien salarié avait un compte administrateur ?
Traitez ce compte en priorité. Bloquez l'accès, révoquez les sessions, vérifiez les actions récentes, retirez les droits admin et assurez-vous qu'il reste au moins deux comptes administrateurs maîtrisés par l'entreprise.
Comment savoir s'il reste des accès ouverts ?
Comparez la liste des outils utilisés par la personne avec les comptes actifs dans chaque outil. Vérifiez aussi les groupes, les invités externes, les liens de partage, les sessions actives et les comptes partagés.
Ce que cela change concrètement
Une bonne procédure de départ évite deux problèmes en même temps : l'ancien salarié ne garde pas d'accès inutile, et l'entreprise ne perd pas les informations dont elle a besoin pour continuer à travailler.
Pour une TPE ou une PME, la meilleure base est simple : une checklist de départ, des comptes nominatifs, des fichiers rangés dans des espaces d'équipe, des mots de passe partagés limités, et une vérification systématique des sessions et des transferts.
Si vous voulez remettre ce sujet à plat, il peut être utile de le traiter avec les autres bases de sécurité : MFA, sauvegardes, gestion des mots de passe et documentation des accès. Une prise de contact via /contact permet aussi d'identifier rapidement les accès qui restent fragiles aujourd'hui.
Sources
- ANSSI, Guide d'hygiène informatique
- CNIL, Sécurité : gérer les habilitations
- Microsoft Learn, Remove a former employee and secure data
- Google Workspace Admin Help, Delete or remove a user from your organization
Sources
Accompagnement disponible sur ce sujet
Initial Infrastructures intervient sur l'ensemble de ces problématiques pour les PME et ETI. Un échange court permet d'identifier les priorités et le bon niveau d'intervention.