Phylapp
Risques humains et sécurité interne

L’impact des départs de collaborateurs sur la sécurité de l’organisation

Le départ d'un collaborateur active simultanément plusieurs risques : accès non révoqués, exfiltration pendant le préavis, connaissance emportée. Un processus d'offboarding sécurisé structuré est parmi les investissements à plus fort ROI dans la gestion des risques humains.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 80 lectures

Points clés

  • Le départ d'un collaborateur — volontaire ou non — est l'un des événements à plus haut risque sécuritaire dans la vie d'une organisation, souvent sous-géré.
  • Les accès non révoqués, les connaissances emportées et les risques d'exfiltration pendant la période de préavis sont les trois dimensions du risque de départ.
  • Les départs non anticipés (licenciements, conflits) présentent un profil de risque plus élevé que les départs volontaires négociés.
  • Un processus d'offboarding sécurisé structuré est parmi les investissements à plus fort ROI dans la gestion des risques humains — il est souvent absent ou insuffisant.

Le départ d'un collaborateur active simultanément plusieurs risques de sécurité qui, s'ils ne sont pas gérés activement, peuvent produire des conséquences significatives. Ces risques ne sont pas théoriques : les incidents liés aux départs représentent une proportion significative des cas d'insider threat documentés, et les accès non révoqués d'anciens employés ou prestataires sont régulièrement identifiés comme vecteurs d'intrusion dans des compromissions majeures.

La difficulté est que la gestion des départs est perçue comme un processus RH et administratif, pas comme un processus de sécurité. Cette perception conduit à des lacunes structurelles : les listes de vérification d'offboarding couvrent la restitution du matériel et les formalités contractuelles, mais rarement la révocation systématique de l'ensemble des accès numériques.

La révocation d'accès : le premier risque à adresser

La révocation complète et rapide de l'ensemble des accès numériques d'un collaborateur partant est la mesure la plus importante et souvent la moins bien exécutée. Les accès à révoquer ne se limitent pas au compte Active Directory et à l'email : ils incluent l'ensemble des applications SaaS, des comptes cloud, des accès VPN, des comptes de développement, des outils de communication, des accès aux repositorys de code, et des accès physiques aux systèmes informatiques. Dans les organisations sans inventaire centralisé des accès, cette révocation complète est pratiquement impossible à garantir.

L'investissement dans une solution de gestion des identités et des accès (IAM) qui centralise l'ensemble des accès est justifié en grande partie par la capacité à révoquer rapidement et complètement les accès d'un collaborateur partant — un bénéfice concret mesurable en risque évité.

La période de préavis : une fenêtre de risque à gérer

La période entre l'annonce du départ et la date effective est une fenêtre de risque particulière. Un employé dont le départ est annoncé a encore tous ses accès, connaît tous les systèmes, et peut être dans un état émotionnel qui augmente les risques de comportements à risque — intentionnels ou non. Des mesures proportionnées au profil de risque (réduction des accès aux systèmes les plus sensibles, surveillance accrue des comportements d'accès inhabituels, entretiens de sortie structurés) gèrent ce risque sans nécessairement le traiter comme une présomption de malveillance.

La connaissance emportée : un risque souvent ignoré

Au-delà des accès techniques, les collaborateurs emportent une connaissance organisationnelle de valeur : architecture des systèmes, emplacements des données sensibles, procédures de contournement des contrôles, relations avec les prestataires et leurs accès. Cette connaissance ne peut pas être révoquée — mais sa valeur pour un ancien employé malveillant, un concurrent ou un attaquant qui recruterait l'ancien employé est réelle. Des accords de confidentialité clairs, des rappels des obligations à la sortie et des procédures de gestion des départs vers des concurrents adressent partiellement ce risque.

Structurer l'offboarding comme processus de sécurité

Un processus d'offboarding sécurisé structuré inclut une liste de vérification complète des accès à révoquer (maintenue à jour par les systèmes IAM), un entretien de sortie axé sur la sensibilisation aux obligations de confidentialité, une procédure de restitution et d'effacement des données professionnelles sur les appareils personnels, et une surveillance post-départ des accès potentiellement oubliés. Ce processus, documenté et testé, transforme la gestion des départs d'un risque subi en un processus géré.

Études de cas

Colonial Pipeline 2021 — Accès VPN d'un ex-employé ou prestataire

L'accès initial utilisé dans la compromission de Colonial Pipeline était un compte VPN appartenant à un employé ou prestataire dont l'accès n'avait pas été révoqué après la fin de son engagement. Ce compte, protégé par un mot de passe exposé dans une base de données de credentials compromis, était actif depuis une période indéterminée sans usage légitime récent. L'absence de processus de révocation systématique des accès VPN à la fin des contrats et emplois est une lacune d'offboarding qui a été le vecteur initial d'une crise d'infrastructure nationale.

Exfiltration par employé partant — Secteur technologique

Le FBI et la CISA documentent régulièrement des cas d'employés dans des secteurs technologiques qui ont exfiltré des données propriétaires (code source, données clients, propriété intellectuelle) pendant la période de préavis précédant leur départ vers un concurrent. Dans plusieurs cas documentés, l'exfiltration était visible dans les logs mais n'a été détectée qu'après le départ, lors d'un incident chez le nouvel employeur ou d'un contentieux commercial. La surveillance des comportements d'accès inhabituels pendant les périodes de préavis est une contre-mesure efficace documentée.

Programme d'offboarding sécurisé — Institution financière suisse

Une grande institution financière suisse a documenté dans un cas d'étude de l'ISACA le déploiement d'un processus d'offboarding sécurisé incluant une automatisation de la révocation d'accès déclenchée par la notification RH de départ, une liste de vérification de 47 types d'accès avec propriétaires désignés, et une procédure d'entretien de sortie incluant un rappel des obligations légales de confidentialité. Les tests post-déploiement ont montré une réduction de 94% des accès actifs d'ex-employés détectés lors des audits trimestriels suivants.

États-Unis — Affaires USSS et FBI d'accès non révoqués (2020-2023)

Le Secret Service américain a documenté plusieurs cas d'accès à des systèmes critiques restés actifs des mois après la fin d'emploi ou de contrat, exploités soit par les ex-employés eux-mêmes, soit par des attaquants ayant obtenu leurs credentials. Ces cas, impliquant des systèmes de haute sécurité supposément gouvernés par des processus rigoureux, illustrent que le problème des accès non révoqués n'est pas limité aux organisations peu matures — c'est un risque qui exige une vigilance permanente et des processus automatisés robustes.

France — Responsabilité employeur et accès post-départ

Plusieurs arrêts de juridictions françaises ont statué sur la responsabilité d'employeurs dont d'ex-employés avaient accédé à des systèmes après la fin de leur contrat — accès rendus possibles par des processus d'offboarding insuffisants. Dans ces cas, l'organisation a vu sa responsabilité partiellement engagée pour ne pas avoir mis en oeuvre les mesures raisonnables permettant d'empêcher ces accès post-contractuels. Ces décisions soulignent que la révocation des accès est non seulement une bonne pratique sécuritaire mais une obligation de diligence pour les employeurs.

Japon — Toshiba, exfiltration par employé partant vers la Chine

Toshiba a documenté plusieurs cas d'employés partant vers des entreprises chinoises concurrentes qui avaient emporté des données propriétaires relatives à des technologies de mémoire flash NAND. Ces incidents, qui ont conduit à des procédures judiciaires et à des négociations commerciales complexes, ont mis en évidence les lacunes dans les processus d'offboarding pour les fonctions R&D travaillant sur des technologies sensibles — et ont conduit à des renforcements significatifs des politiques de sécurité au départ dans l'ensemble du secteur électronique japonais.

Articles similaires

Les risques liés aux comptes partagés et pratiques informelles

Comptes partagés et pratiques informelles d'accès détruisent l'imputabilité, rendent l'investigation d'incidents impossible et violent la séparation des tâches. La solution est d'adresser les problèmes opérationnels réels, pas seulement d'interdire les pratiques.

24 mai 2026 7 min

Comment la pression opérationnelle favorise les contournements de sécurité

La pression opérationnelle est le principal facteur conduisant les employés à contourner les contrôles de sécurité avec de bonnes intentions. Les exceptions temporaires deviennent permanentes. Concevoir des contrôles adaptés à la réalité sous pression réduit structurellement les contournements.

24 mai 2026 7 min

Les comportements internes qui facilitent les attaques externes

Les attaques externes les plus réussies exploitent des comportements internes : phishing ciblé sur des habitudes identifiées, MFA fatigue, exploitation de la réponse aux urgences. Réduire les comportements facilitateurs prévient l'intrusion initiale plus efficacement que les défenses techniques seules.

24 mai 2026 7 min
WhatsApp