Aujourd'hui les données des utilisateurs ont de la valeur et ça tous les hackers l'ont compris.
La sécurité des données est donc la priorité des entreprises et des organisations.
L'offboarding est un sujet secondaire, voir oublié dans de nombreuses entreprises alors que l'onboarding est un sujet majeur porté par les ressources humaines. La concurrence des candidats dans certains secteurs et le bien-être des salariés fait prendre conscience de l'importance de l'intégration des nouveaux collaborateurs.
Pourtant la gestion du départ des employés est tout aussi cruciale.
Attention, l'offboarding ce n'est pas à un gentil mail des RH, un pot de départ et la restitution des badges 😉.
Il s'agit d'une étape clé tant du point de vue RH que IT. Attardons-nous sur la partie IT : l'offboarding a pour principal objectif de gérer et maîtriser le risque de sécurité.
En effet, un départ mal encadré peut laisser des failles exploitables, que ce soit par des employés mécontents ou simplement par négligence. Par exemple, des comptes utilisateurs qui ne sont pas désactivés ou du matériel contenant des informations sensibles qui n'est pas récupéré peuvent être des portes d'entrée pour des cyberattaques. Deux faits sont à noter dans ce cadre : la gestion des départs reste très largement manuelle et encore de nombreux salariés quittent l'entreprise avec leurs anciens accès.
1. Révoquer tous les accès immédiatement après le départ de l'employé
Il est évident que c'est le point névralgique de l'organisation des départs : la désactivation des accès liés aux systèmes d'information.
C'est simple : si vous négligez cette étape vous vous exposez à des risques de sécurité majeurs. Je vous explique de façon simple : la dernière fois je sors par le garage ce qui ne m'arrive jamais et j'étais pressée. Je rentre 4h plus tard et je découvre la porte de mon garage grande ouverte (avec un accès direct à ma maison). J'ai eu une chance inouïe mais rien n'avait disparu. L'histoire est véridique et vous devez sûrement vous dire que c'est de la folie de laisser sa porte grande ouverte dans une rue passante... et pourtant chaque entreprise qui n'automatise pas ses offboardings laisse une porte ouverte à chaque fois qu'elle oublie de suspendre les comptes. Moi ça a duré 4h et vous ?
Revenons à notre situation. Le salarié quitte l'entreprise :
Scénario 1, il est en bons termes avec elle. L'accès est donc ouvert et non maintenu, pas de mise à jour, pas de révision du mot de passe, pas de surveillance, jusqu'au jour où il est découvert et utilisé dans le cadre d'un vol de données. Souvent la gestion des accès n'est pas correctement maîtrisée et les admin octroient des accès trop larges ce qui aggrave la situation en cas de prise de contrôle de l'accès par un tiers.
Scénario 2, le salarié est en mauvais termes avec l'entreprise. Il quitte l'entreprise et utilise ses accès pour lui nuire, utiliser, vendre, supprimer les données, perturber les opérations...
Vous avez compris l'importance de ce point maintenant passons aux moyens d'action :
→ Vous avez une organisation manuelle des offboardings et la tâche s'annonce complexe parce que les trous dans la raquette vont exister. Vous allez devoir mettre en place des processus rigoureux entre les RH, les managers et vous le service informatique.
→ Vous avez compris qu'une gestion manuelle n'était pas réalisable surtout à grande échelle et vous automatisez les départs. Quel outil choisir dans ce cas ? Faut-il partir sur un outil RH ou IT ? La réponse est simple : il vous faut un outil qui fasse le lien entre les informations RH (arrivée, départ, mutation, manager) et les informations IT (comptes liés à un utilisateur, droit, licences). Un outil d'IAM, de gestion des identités et des accès gère exactement ce genre de besoin.
Vous allez donc synchroniser vos données RH qui vont envoyer des notifications d'arrivée, de départ et de mutation dans votre outil d'IAM, celui-ci va pouvoir à l'aide de workflows automatiser la suspension des comptes dans le cadre de l'offboarding.
On ne se repose plus sur des réponses humaines mais informatiques avec de l'automatisation. Par-dessus, des scans de sécurité sont réalisés plusieurs fois par jour pour signaler tout écart qui pourrait être suspect.
L'outil d'IAM doit répertorier les comptes utilisateurs et surtout ce qui est rattaché à l'Active Directory car c'est le point central du SI. La désactivation ou la suspension des comptes doit être la plus rapide possible suite au départ du salarié. Le mieux est de la programmer pour le fin du dernier jour.
Il faudra faire l'inventaire des accès dont dispose le salarié et sans un outil de centralisation des informations cela ne va pas être réalisable. Attention les environnements informatiques sont très variés et il faudra bien gérer les solutions SaaS, hybrides et on premise.
2. Matériel non restitué : un risque de fuite de données
Un autre risque majeur lors de l'offboarding est la restitution incomplète du matériel informatique. Les ordinateurs portables, téléphones, clés USB, et autres appareils fournis aux employés peuvent contenir des données sensibles ou des accès à des systèmes internes. Si ces dispositifs ne sont pas récupérés ou correctement nettoyés, ils peuvent devenir des sources potentielles de fuite de données.
Il est courant que des informations sensibles restent stockées sur le matériel des employés, comme des plans stratégiques, des informations sur les clients, ou des projets en cours. Si ce matériel est perdu ou exploité de manière inappropriée après le départ de l'employé, cela peut entraîner des fuites de données qui pourraient nuire à l'entreprise sur le plan financier ou réputationnel.
Pour rappel le prêt d'équipement doit être parfaitement encadré dans l'entreprise et cela ne doit pas être fait de manière informelle. Le matériel prêté par l'entreprise doit être utilisé uniquement dans le cadre d'un usage professionnel et s'il y a usage mixte cela doit être écrit sur un contrat en amont. Les risques sont plus importants quand l'usage déborde du cadre professionnel.
Lorsque l'équipe IT récupère le matériel, elle doit s'assurer qu'il s'agit bien de celui qui a été prêté et qu'il est en bon état de fonctionnement.
Comment automatiser cela ? Il est difficile d'automatiser la reprise du matériel 😉 mais il est tout à fait possible de connaître la possession de chaque salarié. Dans votre solution d'IAM, Identity and Access Management, vous pouvez ajouter du matériel à la fiche d'un utilisateur ainsi lors de l'offboarding, vous aurez une alerte sur les possessions matérielles à récupérer.
3. Audit et contrôle régulier des accès suite à l'offboarding
Après avoir réaliser les deux points précédents il faut s'assurer que tout a été supprimé et pour cela il ne suffit pas d'avoir confiance dans les équipes ou dans une solution il faut réaliser un audit des accès.
Il faut s’assurer qu’aucun point d’entrée n’a été oublié. Un audit régulier permet de garantir que tous les accès ont été correctement révoqués et qu’aucune donnée sensible n’a été laissée accessible.
Il arrive souvent que certains systèmes secondaires ou outils collaboratifs soient oubliés lors de la désactivation des comptes. Un audit post-offboarding permet de vérifier que tous les accès, y compris ceux aux services moins utilisés, ont bien été révoqués.
Même avec un processus automatisé, des erreurs peuvent survenir (car il reste toujours des actions manuelles). Un audit final est une bonne pratique pour garantir qu'aucun oubli ne mette l'entreprise en danger.
Un audit réalisé à la main va prendre beaucoup de temps, utiliser de nombreuses ressources dans l'entreprise et risque de contenir des erreurs.
La centralisation des informations au sein d'une solution d'IAM est nécessaire pour réaliser cet audit. Le travail d'intégration d'une nouvelle application à la solution doit être effectué immédiatement et sans friction sinon effectivement vous allez vous retrouver avec du shadow IT. Chaque compte créé doit être reliés à la fiche de l'utilisateur.
Quand je parle de frictions vous devez bien comprendre que pour éviter le shadow IT il est nécessaire d'avoir un processus d'intégration des nouvelles applications fluides. Chez Youzer par exemple, vous avez deux types de connecteurs personnalisés dont un qui est un self service. C'est-à-dire qu'il fonctionne manuellement, sans aucune intégration technique, mais il permet de laisser une trace écrite des actions réalisées notamment de l'attribution d'un compte à un utilisateur.
L'objectif de l'audit est bien sûr de réaliser des rapprochements entre les comptes actifs et les utilisateurs partis.
Notre conseil ? Auditez régulièrement les droits d’accès des employés actuels et des anciens collaborateurs pour s'assurer que les bonnes pratiques sont maintenues dans la durée.
Would you like to receive our white paper on identity and access management?
4. L'offboarding passe aussi par la coopération des équipes
La mise en place d'un processus d'offboarding sécurisé passe non seulement par des mesures techniques et des protocoles, mais aussi par la formation et la sensibilisation des équipes.
Vous pouvez avoir réfléchi au meilleur processus et avoir le meilleur outil pour la gestion des départs mais si vos équipes internes ne jouent pas le jeu tout sera vain.
Les managers, les RH et l'IT sont concernés dans un offboarding informatique. Il est important de sensibiliser toutes les parties prenantes pour le bon déroulé. Parlez des risques en matière de sécurité, présentez l'importance d'attribuer et de recenser toutes les applications utilisées au sein des équipes auprès des managers.
Au niveau des ressources humaines, la solution d'IAM vient se synchroniser sur le SIRH pour collecter les dates d'arrivées et de départs ce qui supprime ce risque d'oubli source d'erreur. Cela n'empêchera pas d'avoir des oublis si les stagiaires de moins de deux mois, les prestataires et intérimaires ne sont pas reportés par les RH et les managers.
Les applications qui restent en gestion manuelle doivent être attribuées à un responsable applicatif qui aura la charge d'attribuer mais aussi de supprimer les comptes. Cela devra se faire à l'aide de workflows dans lesquels il validera ses actions. Une sorte de check list automatiquement attribuée à une personne dédiée.
5. Un processus automatisé pour le départ de votre collaborateur
Les applications ou logiciels sont là pour aider les équipes et c'est pour cette raison qu'il faut les choisir avec soin. Excel est souvent le logiciel qui arrive en tête lorsqu'on essaye d'organiser l'offboarding IT au sein de l'entreprise sauf qu'Excel trouve vite ses limites. J'ai déjà été voir des vidéos pour créer un bon fichier Excel la gestion du cycle de vie des utilisateurs et je vous souhaite bon courage si vous partez dans quelque chose d'aussi poussé.
La réalité qu'on retrouve dans les entreprises, c'est un fichier partagé entre les RH et l'IT pour l'onboarding qui est à peu près tenu à jour et quelque chose d'aléatoire pour l'offboarding. Rappelons-le, la création des comptes IT doit se faire sous peine de voir un collègue bloqué alors que la suspension des comptes n'a aucun point bloquant qui nécessiterait absolument une action.
Un offboarding bien géré doit nécessiter un processus de départ écrit et connu de tous.
C'est en cela qu'une application d'identity access management, va vous aider à structurer votre processus à l'aide d'alerte, de check list et de workflows. Vous définissez une fois vos différents scénarios de départs mais aussi d'arrivée et de mobilités internes.
💡 Petite astuce : attention à bien définir vos besoins car une solution trop complexe pour vos besoins peut rapidement devenir un projet dans lequel on s'enlise alors qu'à la base c'était là pour soulager et structurer le quotidien.
Nous avons vu des entreprises faire des choix envers des grandes références américaines sur le marché et un an après n'avoir toujours rien en place.
Vous devez regarder quel est votre niveau d'autonomie sur l'application. Par exemple, préférez-vous gérer la solution d'IAM vous-même, connecter vos différentes applications, créer et modifier vos workflows en toute indépendance ou préférez vous avoir un consultant avec vous ?
Youzer est une solution parfaitement adaptée pour les PME et ETI qui souhaitent un IAM puissant mais avec une grande autonomie. La solution est simple d'utilisation avec des grandes capacités de paramétrages et des heures d'accompagnements peuvent être définies. Le support sera à vos côtés pour toutes demandes.
Conclusion
L'offboarding informatique est une étape cruciale pour la sécurité des données de l'entreprise. Trop souvent négligé par rapport à l'onboarding, il représente pourtant un enjeu majeur dans la prévention des risques liés aux cyberattaques et aux fuites de données. Des mesures simples comme la révocation immédiate des accès, la restitution complète du matériel et la réalisation d'audits réguliers sont indispensables pour sécuriser les informations sensibles.
La clé d'un offboarding réussi réside dans l'automatisation des processus et l'intégration d'une solution d'IAM (gestion des identités et des accès), qui permet de centraliser la gestion des comptes utilisateurs et de garantir une fermeture rigoureuse des accès. Enfin, une coopération étroite entre les équipes RH, IT et managers est essentielle pour assurer une gestion fluide et sécurisée des départs.