Arrivée et départ d'un collaborateur : gérer les comptes et les accès
Une check-list reproductible pour ouvrir les comptes d'un nouveau collaborateur et révoquer proprement tous ses accès à son départ, sans angle mort de sécurité.
Publié le 5 mars 2026
Faire arriver un nouveau collaborateur, c’est lui donner les moyens de travailler dès le premier jour : une adresse e-mail, un poste, des accès aux bons outils. Faire partir un collaborateur, c’est l’inverse, et c’est souvent là que les choses se compliquent. On pense à rendre le badge, beaucoup moins à fermer tous les comptes.
Or un compte oublié reste actif des mois, parfois des années. Pour une petite entreprise, c’est un angle mort de sécurité courant et facile à éviter. Voici une check-list reproductible pour ouvrir proprement les accès à l’arrivée, et surtout pour les révoquer entièrement au départ.
Pourquoi un compte oublié est-il un risque de sécurité ?
Un compte qui survit à son propriétaire est une porte laissée ouverte. La personne partie peut encore consulter sa messagerie, ouvrir des fichiers, se connecter à une application métier depuis chez elle. Même sans mauvaise intention, l’accès existe et échappe à votre contrôle.
Le risque ne dépend pas de la relation. Un départ peut être amical ou tendu : dans les deux cas, un compte actif est une faille. Un ancien collaborateur mécontent peut emporter des données. Un compte inactif et non surveillé est aussi une cible facile pour un attaquant, car personne ne remarque les connexions suspectes.
L’effet s’accumule avec le temps. Plus une entreprise grandit, plus elle accumule de comptes dormants si la révocation n’est pas systématique. Chacun élargit votre surface d’exposition sans rien apporter. La règle est simple : un accès qui ne sert plus doit être fermé, pas laissé en sommeil.
Comment ouvrir proprement les comptes d’une arrivée ?
L’objectif est que la personne soit opérationnelle dès son premier jour, sans accès superflu. Mieux vaut préparer les ouvertures la veille que les improviser le matin même.
La messagerie et l’identité. Créez l’adresse e-mail professionnelle et le compte principal (souvent Microsoft 365 ou Google Workspace), qui sert de clé d’entrée vers les autres outils. Activez d’emblée la double authentification.
Le poste de travail. Préparez l’ordinateur : session personnelle, chiffrement du disque, logiciels de base, mises à jour à jour, antivirus actif. Un poste standardisé se prépare en moins de temps qu’un poste configuré au cas par cas.
Les logiciels métier et les droits sur les fichiers. Donnez accès uniquement aux applications et dossiers nécessaires au poste. Le principe du moindre privilège (ne donner que ce qui est utile) limite les dégâts en cas de problème et simplifie la révocation plus tard.
Les comptes partagés et les outils ponctuels. Réseaux sociaux, plateformes de facturation, accès clients : notez ce qui est confié et à qui. Privilégiez un accès individuel quand c’est possible, plus facile à retirer qu’un mot de passe partagé.
Quelle check-list suivre au départ d’un collaborateur ?
C’est l’étape la plus souvent bâclée, et la plus sensible. Une check-list écrite, suivie point par point, évite les oublis. Idéalement, déclenchez-la dès le préavis et finalisez-la le dernier jour.
Désactiver la messagerie et le compte principal. Coupez l’accès, puis décidez du sort des e-mails : redirection vers un responsable, réponse automatique, archivage. Désactiver avant de supprimer permet de récupérer les données utiles.
Récupérer ou réattribuer les fichiers. Transférez les documents et dossiers personnels professionnels vers la bonne personne avant toute suppression. Vérifiez les espaces de stockage partagés et retirez les droits individuels.
Faire tourner les mots de passe partagés. Changez tous les mots de passe que la personne connaissait, surtout les comptes partagés sans accès individuel. Désactiver son compte ne suffit pas si elle connaît encore le mot de passe d’un outil commun. Nous détaillons l’usage d’un gestionnaire et de la double authentification dans notre article sur les mots de passe et la double authentification.
Révoquer la double authentification et les sessions. Retirez les appareils de confiance, déconnectez les sessions actives et supprimez les méthodes 2FA liées à la personne, sinon elle peut conserver une porte d’entrée même après changement de mot de passe.
Couper les logiciels métier et les accès externes. Listez chaque application, accès client, VPN ou outil tiers, et fermez-les un par un. C’est ici que l’inventaire tenu à l’arrivée fait gagner un temps précieux.
Restituer le matériel. Récupérez ordinateur, téléphone, badges et tout support de stockage. Avant réattribution, effacez ou réinitialisez les appareils pour qu’aucune donnée ni session ne subsiste.
Comment garder un inventaire des accès à jour ?
Une check-list ne vaut que si elle reflète la réalité de vos comptes. Sans inventaire, on oublie forcément un outil souscrit il y a deux ans et utilisé par une seule personne.
Tenez une liste vivante des comptes et abonnements. Notez chaque service, qui y a accès, et le type d’accès (individuel ou partagé). Mettez-la à jour à chaque arrivée, départ ou nouvel outil. Un simple tableau partagé et sécurisé suffit pour démarrer.
Reliez l’inventaire à vos sauvegardes. Avant de supprimer un compte, assurez-vous que ses données importantes sont sauvegardées ailleurs. La méthode 3-2-1, expliquée dans notre guide de la sauvegarde, garantit que rien d’essentiel ne disparaît avec un compte fermé.
Révisez les accès régulièrement. Une fois par an, parcourez la liste et fermez ce qui ne sert plus : abonnements oubliés, comptes de tests, accès accordés pour un projet terminé. Cette revue réduit votre exposition et vos coûts.
Faut-il gérer ces étapes en interne ou se faire accompagner ?
Dans une TPE, ces tâches reposent souvent sur le dirigeant ou un assistant, entre deux priorités. Elles sont simples une fois la méthode posée, mais faciles à reporter, et c’est l’oubli répété qui crée le risque.
Un support informatique peut prendre en charge l’ouverture et la révocation des accès, tenir l’inventaire à jour et vérifier qu’aucun compte ne reste actif après un départ. Vous gardez la décision, l’exécution technique est assurée. Notre page pool d’experts explique comment nos spécialistes interviennent sur ce type de besoin, rapidement et sans engagement lourd.
Gérer les arrivées et les départs n’a rien de compliqué : c’est une question de méthode et de régularité. Une check-list écrite, un inventaire à jour et le réflexe de fermer chaque accès au bon moment suffisent à éliminer la plupart des risques liés aux comptes oubliés.
Nos experts iokoo accompagnent les TPE sur l’ensemble de ces étapes, de l’ouverture des comptes à leur révocation propre. Créez un compte pour mettre en place une gestion des accès fiable et sereine.
Questions fréquentes
Faut-il vraiment supprimer un compte le jour du départ d'un collaborateur ?
Oui, idéalement le dernier jour ou dès le préavis effectif. Un compte qui reste actif après un départ est une porte ouverte : messagerie consultable, fichiers accessibles, applications métier toujours connectées. Le risque vaut autant pour un départ amical que conflictuel. Désactivez sans attendre, puis archivez les données utiles avant suppression définitive.
Comment gérer les mots de passe partagés quand quelqu'un quitte l'entreprise ?
Tout mot de passe que la personne connaissait doit être changé, pas seulement son compte personnel désactivé. Les comptes partagés (réseaux sociaux, banque, outils sans accès individuel) sont les plus risqués. Un gestionnaire de mots de passe d'équipe simplifie l'opération : vous retirez l'accès de la personne et faites tourner les secrets sensibles en quelques minutes.
Qui doit gérer les arrivées et départs dans une petite entreprise ?
Dans une TPE, c'est souvent le dirigeant ou un assistant peu outillé pour ces tâches techniques. Une check-list écrite et suivie évite les oublis. Un support informatique peut prendre en charge l'ouverture et la révocation des accès, garder l'inventaire à jour et garantir qu'aucun compte n'est laissé actif après un départ.