Salarié parti, accès actifs : la faille discrète qui fragilise votre PME

À la rentrée, beaucoup de PME découvrent un angle mort banal et pourtant dangereux : un collaborateur est parti, mais ses accès vivent encore. Cette suppression d'accès d'un salarié partant, souvent traitée trop tard, alimente des comptes orphelins en PME et fragilise, sans bruit, la continuité d'activité.

Pourquoi ce risque prospère surtout dans les PME

Dans une structure de 10 à 100 postes, le départ d'un salarié passe rarement par un offboarding informatique en PME formalisé. Les RH gèrent le contrat, le manager récupère parfois l'ordinateur, et l'IT - quand il n'y a pas de DSI interne - intervient au fil de l'eau. C'est là que les oublis s'installent.

Un compte désactivé dans la messagerie ne coupe pas forcément l'accès à un CRM, à un VPN, à la téléphonie IP, ni aux outils SaaS souscrits par service. Plus gênant encore, certains accès secondaires survivent en dehors du radar : boîtes mail partagées, redirections, alias, comptes techniques, authentification sur mobile personnel. Le risque n'est pas spectaculaire. Il est diffus, donc souvent sous-estimé.

Nous le voyons souvent lors d'un audit et conseil ou d'une reprise d'environnement : l'entreprise pense avoir "fait le nécessaire", alors que les droits réels racontent une autre histoire, plus grise.

Les accès que l'on oublie le plus souvent

La messagerie et Microsoft 365

La sécurité des accès Microsoft 365 en PME ne se résume pas à supprimer une licence. Il faut vérifier la boîte mail, les groupes de diffusion, les délégations de calendrier, OneDrive, Teams, les partages de fichiers et les méthodes MFA encore actives. Un smartphone personnel resté enrôlé peut prolonger un accès que l'on croyait fermé.

Si vous utilisez Microsoft 365, le sujet ne peut pas être dissocié de la sauvegarde et de la traçabilité. Nous l'avons détaillé dans cet article sur les sauvegardes Microsoft 365, car un départ mal géré devient vite un problème de preuve autant que de sécurité.

Les outils métiers et comptes partagés

Les logiciels de comptabilité, de gestion commerciale, de production ou de ticketing restent souvent en dehors de la checklist. C'est particulièrement vrai quand plusieurs personnes ont utilisé un compte partagé, ou quand le prestataire logiciel n'est pas aligné avec l'équipe interne. On retrouve alors des identifiants dans un carnet, un navigateur ou un fichier Excel posé sur un partage réseau. C'est banal, oui, mais c'est une banalité coûteuse.

Même logique pour la téléphonie, les consoles d'impression, les accès box, les NAS, les VPN et les outils de prise en main à distance. Dans certaines PME, l'ancien collaborateur ne peut plus ouvrir sa session Windows, mais il garde encore l'application softphone ou un accès administrateur oublié.

Quand un départ mal clôturé bloque aussi l'activité

Une société de services basée à Nanterre nous a sollicités après un départ présenté comme correctement géré. Le poste avait été rendu, la boîte principale fermée, tout semblait propre. Pourtant, un responsable administratif n'arrivait plus à retrouver des dossiers envoyés à une adresse secondaire encore rattachée à l'ancien salarié, tandis qu'un outil SaaS de validation continuait à envoyer ses notifications sur son mobile.

En reprenant l'ensemble des droits, nous avons identifié plusieurs dépendances discrètes : délégation de messagerie, licence mal réaffectée, numéro de téléphonie 3CX encore lié à l'utilisateur, et accès externe à des documents sensibles. Ce type de remise à plat rejoint souvent notre travail d'audit ou d'accompagnement en infogérance, parce qu'il faut voir le système dans son ensemble, pas seulement cocher des comptes. La situation a été réglée rapidement. Le plus frappant, au fond, était ailleurs : personne n'avait eu l'impression d'avoir pris un risque.

Les conséquences sont plus larges qu'une simple faille

Le premier danger est la fuite de données, volontaire ou non. Un ex-collaborateur qui reçoit encore des mails, accède à un espace partagé ou conserve des documents synchronisés n'a même pas besoin d'une mauvaise intention pour créer un incident.

Le deuxième risque, plus sournois, est l'usurpation. Tant qu'un compte dormant existe, il peut servir de porte d'entrée, surtout si le mot de passe n'a jamais été révoqué partout ou si le MFA reste attaché à un ancien terminal. Les attaquants apprécient ce genre de faiblesse silencieuse.

Il y a aussi l'impact opérationnel : licence indisponible, boîte générique inaccessible, validation bloquée chez un ancien salarié, transfert d'appels oublié. Ce sont de petites ruptures, mais elles ralentissent la reprise, fatiguent les équipes et brouillent les responsabilités. En matière de conformité, enfin, garder des droits sans justification devient difficile à défendre, notamment vis-à-vis du principe de minimisation rappelé par la CNIL.

Une checklist d'offboarding utile, pas décorative

Pour une PME, la bonne méthode tient souvent en une page, à condition qu'elle soit utilisée à chaque départ :

1. Déclencher la procédure dès que la date de départ est connue.
2. Inventorier les accès nominatifs et partagés : messagerie, Microsoft 365, VPN, téléphonie, logiciels métiers, équipements.
3. Couper les accès le bon jour, sans attendre une vérification informelle.
4. Récupérer ou révoquer le MFA sur tous les terminaux.
5. Transférer les données utiles et documenter le propriétaire suivant.
6. Archiver les traces : qui a supprimé quoi, quand, et sur quel périmètre.

Si ce travail reste artisanal, il finit par se perdre. Mieux vaut l'adosser à un inventaire de parc, à une politique de droits et, si besoin, à une revue plus large des identités. Notre article sur l'inventaire IT montre bien pourquoi un parc mal documenté produit presque toujours des oublis de comptes.

Quand un audit des comptes devient nécessaire

Un audit des comptes utilisateurs en entreprise devient pertinent dès que plusieurs signaux s'accumulent : départs récents mal tracés, comptes partagés nombreux, licences qui ne correspondent plus aux effectifs, outils SaaS acquis hors processus, ou simple incapacité à répondre clairement à la question "qui a accès à quoi ?".

Dans ce cas, il faut arrêter le bricolage. Un audit sérieux croise les annuaires, la messagerie, les postes, les équipements réseau, la téléphonie, les sauvegardes et les applications critiques. C'est aussi une manière saine de préparer la rentrée informatique de la PME, surtout après les congés, quand les mouvements d'équipe et les exceptions accumulées ressortent d'un coup. Pour les entreprises d'Île-de-France comme pour celles que nous accompagnons à distance partout en France, le sujet est moins technique qu'organisationnel. Et c'est précisément pour cela qu'il est souvent remis au lendemain.

Remettre les accès à leur place, avant le prochain départ

Le vrai sujet n'est pas seulement de fermer un compte, mais de reprendre la maîtrise des identités, des droits et des dépendances invisibles. Une PME n'a pas besoin d'un dispositif lourd pour y parvenir, seulement d'une méthode stable, vérifiée et tenue dans le temps. Si vos départs récents laissent un doute, ou si vous ne savez pas encore où se cachent vos comptes dormants, nous pouvons vous aider à remettre de l'ordre par un audit ciblé, puis à fiabiliser la procédure avec une exploitation plus sereine. Vous pouvez aussi parcourir nos articles ou nous contacter via la page Contact pour faire le point.