← Tous les articles

Départs d'employés : les clés qu'on oublie de récupérer

Le portable est rendu, la carte d'accès aussi. Mais le compte courriel répond encore, le VPN se connecte toujours et les fichiers se synchronisent sur un appareil personnel. Voici pourquoi chaque départ d'employé est un moment critique pour votre sécurité — et comment fermer la porte pour de bon.

Départs d'employés : les clés qu'on oublie de récupérer

Un vendredi après-midi, on souligne le départ d'un collègue : gâteau, poignées de main, remise du portable et de la carte d'accès. Le lundi suivant, son compte courriel fonctionne toujours. Ailleurs, une adjointe partie depuis huit mois figure encore dans le portail de paie. Et un ancien gestionnaire reçoit toujours, sur son téléphone personnel, les courriels de son ancienne équipe — non pas par malice, mais parce que personne n'a coupé la synchronisation.

Aucune de ces situations n'a l'air d'une cyberattaque. Aucune ne déclenche d'alarme. C'est exactement ce qui les rend dangereuses : dans bien des entreprises, le départ d'un employé est traité comme un événement RH, alors que c'est aussi — surtout — un événement de sécurité.

Rendre le portable ne suffit plus

Quand un employé quitte, la partie visible du départ est généralement bien gérée : on récupère l'équipement, la carte, parfois les clés du bureau. La partie invisible, elle, passe sous le radar : le compte Microsoft 365, l'accès VPN, le CRM, le logiciel comptable, la plateforme de gestion de projet, les dossiers partagés, les mots de passe d'équipe — sans oublier les sessions encore ouvertes sur un téléphone ou un ordinateur personnel.

C'est comme récupérer la clé de la porte d'entrée en oubliant que la personne détient des doubles du bureau, de l'entrepôt et du coffre-fort. Et certains de ces doubles ouvrent des portes dont vous ignorez l'existence : avec la multiplication des outils infonuagiques — incluant ceux que les équipes adoptent sans passer par les TI, on en parlait dans notre article sur le Shadow AI — plus personne n'a spontanément la liste complète de ce à quoi un employé a accès. Or, on ne peut pas révoquer un accès dont on ignore l'existence.

Un risque qui commence avant le dernier jour

Le réflexe est de penser au « compte qui traîne » après le départ. Mais le risque se manifeste souvent plus tôt. Le rapport d'enquêtes i3 2024 de la firme DTEX, basé sur plus de 1 300 enquêtes internes, le confirme : la plupart des employés emportent des données en partant — 76 % des partants quittent avec des données non propriétaires, et 15 % avec de la propriété intellectuelle sensible. Concrètement : des dossiers clients copiés vers un compte personnel, des listes de prix téléchargées en bloc, de la propriété intellectuelle qui suit la personne chez son prochain employeur.

Nous l'avons vu de près : lors d'une enquête récente pour un client, nous avons retracé le téléchargement de dizaines de gigaoctets de dossiers vers un appareil personnel non géré, dans les semaines précédant un départ. Sans journaux d'audit et sans surveillance, ce genre de mouvement passe complètement inaperçu.

Un risque chiffré — et réglementé

Les études convergent. Selon les analyses de Wing Security, près d'un ex-employé sur trois conserve un accès à au moins une application infonuagique de son ancien employeur. Et le rapport Cost of a Data Breach 2025 d'IBM — le même que nous citions au sujet du Shadow AI — place les initiés malveillants au sommet des vecteurs les plus coûteux, à 4,92 millions $ US par brèche en moyenne. Les brèches amorcées avec des identifiants volés ou compromis, elles, prennent en moyenne 246 jours à identifier et à contenir. Huit mois. Un accès qui a l'air légitime ne fait sonner aucune alarme.

Le cas extrême existe aussi : en 2024, un tribunal de Singapour condamnait un ex-employé TI qui, après son congédiement, avait utilisé des accès jamais révoqués pour supprimer 180 serveurs virtuels de son ancien employeur. Facture : plus de 600 000 $ US. Votre entreprise n'a pas 180 serveurs? L'équivalent PME, c'est une comptabilité inaccessible un lundi matin, ou un ex-employé qui lit les soumissions envoyées à vos clients.

Au Québec, la Loi 25 ajoute sa couche : vous avez l'obligation de protéger les renseignements personnels que vous détenez par des mesures de sécurité raisonnables. Un ex-employé qui conserve l'accès aux dossiers d'employés ou de clients, c'est difficile à qualifier de « raisonnable » — et si cet accès est utilisé, vous voilà en situation d'incident de confidentialité, avec déclaration à la Commission d'accès à l'information à la clé. Les assureurs suivent la même logique : les questionnaires de cyberassurance demandent de plus en plus si vous disposez d'un processus documenté de révocation des accès. Répondre « on fait ça de mémoire » peut coûter cher au moment d'une réclamation.

Pourquoi les accès traînent

Personne ne laisse traîner des accès volontairement. Le problème est structurel. Les RH et les TI travaillent en silos : le départ s'annonce d'un bord, la révocation attend de l'autre — quand les TI n'apprennent pas le départ deux semaines plus tard, au détour d'une conversation. Il n'existe pas d'inventaire central des accès : chaque outil tient sa propre liste d'utilisateurs, et les comptes créés hors TI n'apparaissent nulle part.

Et il y a une subtilité technique que peu de dirigeants connaissent : désactiver un compte ou changer un mot de passe ne déconnecte pas automatiquement les sessions déjà ouvertes. Le téléphone qui synchronisait les courriels peut continuer de les recevoir pendant des heures, parfois des jours, si les sessions et les jetons d'accès ne sont pas explicitement révoqués. La porte est barrée, mais la fenêtre est restée ouverte.

La solution : une procédure, pas une improvisation

La réponse tient en trois volets. D'abord, un inventaire des accès tenu à jour en continu — pas reconstruit dans l'urgence le jour du départ. Un gestionnaire de mots de passe d'équipe et une liste des applications par rôle font déjà une énorme différence; on en parlait dans notre article sur les gestionnaires de mots de passe . Ensuite, un déclencheur systématiqueentre les RH et les TI : tout départ, volontaire ou non, génère le jour même une demande de révocation — et dans les cas délicats, avant même l'annonce. Enfin, une révocation complète : désactiver le compte et révoquer les sessions actives, rediriger la boîte courriel, transférer la propriété des fichiers, retirer la personne des partages et des groupes, changer les mots de passe partagés qu'elle connaissait, récupérer ou effacer à distance les appareils.

La centralisation des identités change la donne : quand vos applications passent par un fournisseur d'identité central comme Microsoft Entra ID, désactiver la personne à un seul endroit coupe l'accès partout d'un coup. Un interrupteur au lieu de vingt. C'est d'ailleurs l'un des fondements de l'approche Zero Trust dont nous parlions récemment.

Par où commencer?

Première étape : l'audit rétroactif. Sortez la liste des personnes parties dans les 24 derniers mois et comparez-la aux comptes actifs de vos systèmes — l'exercice révèle presque toujours des surprises. Deuxième étape : la checklist d'une page, adaptée à vos outils, avec un responsable désigné pour chaque départ. Troisième étape : le réflexe organisationnel — chaque départ déclenche automatiquement la procédure, sans exception, même quand on se quitte en bons termes.

Pas besoin d'un grand chantier : un audit, une page de procédure et une identité centralisée règlent déjà l'essentiel du risque.

Le mot de la fin

Les départs font partie de la vie d'une entreprise. Ce qui ne devrait pas en faire partie, c'est l'incertitude sur ce qu'une personne partie peut encore voir, ouvrir ou télécharger. La question pour un dirigeant n'est pas « mes ex-employés sont-ils dignes de confiance? » — la plupart le sont. C'est plutôt : « si l'un d'eux ne l'était pas, ou si ses identifiants tombaient entre de mauvaises mains, est-ce que je le saurais? ».

Chez MMO Techno, nous intégrons la gestion des départs à nos services TI gérés : inventaire des accès, centralisation des identités, procédure de révocation documentée et audits périodiques — pour que chaque départ se referme proprement, sans exception ni oubli.

Sauriez-vous dire, aujourd'hui, à quoi votre dernier employé parti a encore accès? Si la réponse demande plus de cinq minutes, parlons-en.

Un projet TI ou une question ?

Parlez à un expert MMO Techno. On vous répond clairement, sans jargon.

Contactez-nous