L'employé est parti en mars. Son compte Microsoft 365 est toujours actif. Avec les mêmes droits qu'avant.
Et ce n'est pas une exception. C'est la règle.
La gestion des départs est l'un des angles morts les plus répandus en PME. On pense à rendre le badge, à récupérer l'ordinateur, parfois à transférer les mails. On pense rarement à révoquer les accès et encore moins à vérifier ce que cette personne pouvait faire, et pouvait donc encore faire depuis chez elle le soir du dernier jour.
Le problème n'est pas la mauvaise volonté. C'est l'absence de processus. L'offboarding n'a pas de propriétaire clair, l'IT apprend les départs par hasard, et l'urgence du quotidien fait que la désactivation d'un compte passe après les tickets en cours.
Résultat : des comptes qui traînent, des droits qui s'accumulent, une surface d'attaque qui grandit en silence.
Le compte oublié est une porte ouverte
Un compte actif appartenant à un ancien employé, c'est une authentification valide sur vos outils. Microsoft 365, SharePoint, le VPN, le CRM et si le compte n'est pas désactivé, tout reste accessible.
Ce scénario est plus fréquent qu'il ne devrait l'être. Les audits d'accès que nous réalisons chez nos clients révèlent régulièrement entre 20 et 40 % de comptes orphelins ou inactifs dans des environnements pourtant bien tenus.
Un compte orphelin peut être exploité directement par l'ancien titulaire, ou compromis par un tiers sans que personne ne le remarque et cela arrive précisément parce que personne ne le surveille.
Le cas plus insidieux : les droits qui s'accumulent
Le compte orphelin est visible. Il y en a un autre, plus difficile à détecter : le compte actif dont les droits ne correspondent plus au poste.
Un collaborateur change de rôle. On lui donne accès aux outils de son nouveau périmètre. On retire rarement les accès de l'ancien. Au bout de deux ou trois évolutions, il a accès à des données RH, contrats, finance qui n'ont rien à voir avec ses responsabilités actuelles. C'est ce qu'on appelle le privilege creep, et dans une PME sans revue formelle des accès, c'est la trajectoire naturelle de tout compte actif depuis plus d'un an.
En cas de départ conflictuel, de fuite de données ou d'audit, cette situation devient autant un problème juridique que technique.
Ce qu'on recommande chez Logexia
Formaliser l'offboarding IT avec une checklist partagée RH/IT : désactivation du compte le jour du départ, révocation des sessions actives, transfert de boîte mail, libération de licence, coupure des accès tiers (CRM, outils projet, cloud).
Révoquer les sessions explicitement. Sous Microsoft 365, désactiver un compte ne coupe pas les sessions déjà ouvertes, il faut révoquer les tokens d'authentification séparément. C'est une étape souvent oubliée.
Auditer les comptes inactifs deux fois par an. Les rapports M365 permettent d'identifier en quelques minutes les comptes sans connexion depuis 60 jours. Ce rapport seul suffit à déclencher une revue utile.
Gérer les droits par groupes de rôles, pas compte par compte. Quand quelqu'un change de poste, on change son groupe, les accès suivent automatiquement, dans les deux sens.
Inclure les prestataires. Les comptes créés pour des missions ponctuelles sont les plus oubliés. Ils doivent avoir une date d'expiration ou être passés en revue à chaque renouvellement de contrat.
Conclusion
La gestion des accès ne fait pas de bruit tant qu'elle ne pose pas de problème. Pas de ticket, pas d'alerte, pas de plainte. Et puis un départ conflictuel, un audit, un incident et l'état réel de l'environnement apparaît.
Un compte orphelin, c'est une porte oubliée ouverte. Des droits accumulés, c'est une clé qui ouvre trop de pièces. Dans les deux cas, vous ne le saurez qu'au moment où quelqu'un s'en sera servi.
La question n'est pas de savoir si vous avez des comptes orphelins dans votre environnement. Vous en avez. La vraie question : savez-vous lesquels ?