DÉPART D'UN COLLABORATEUR

Le compte est désactivé.
Ses accès le sont-ils vraiment ?

Désactiver un compte dans l'annuaire (Entra ID / Active Directory) bloque la connexion, mais pas nécessairement les délégations, les règles de transfert, les applications OAuth ou l'appartenance aux canaux Teams que ce salarié avait accumulés. Offboarding Express vérifie précisément ce qui reste actif, au-delà de l'annuaire.

5
Zones vérifiées hors annuaire
4
Rails techniques interrogés
0
Donnée brute copiée (zero-knowledge)
1
Rapport de preuve par départ

Le problème

Un compte désactivé n'est pas la même chose qu'un salarié totalement coupé de vos systèmes

Désactiver le compte ne suffit pas

Bloquer la connexion dans l'annuaire arrête l'accès direct, mais les délégations qu'il détenait sur des boîtes partagées ou les règles de transfert qu'il avait configurées peuvent rester actives indépendamment du compte.

🔐

Les applications OAuth continuent de tourner

Un salarié a pu autoriser des applications tierces (calendrier, CRM, extensions navigateur) qui gardent un accès aux données de l'entreprise indépendamment de son compte utilisateur.

💬

Les canaux Teams ne se nettoient pas seuls

L'appartenance à des équipes, des canaux et aux fichiers partagés associés persiste souvent bien après le dernier jour de travail, sans qu'aucune alerte ne le signale.

Le risque s'accumule départ après départ

Sans contrôle systématique à chaque départ, ces accès résiduels s'empilent au fil des années et deviennent des points d'entrée oubliés, invisibles depuis l'annuaire.

La solution : Offboarding Express

Un moteur de vérification multi-rails, le même que celui de l'audit M365 SYAGA, appliqué au départ d'un collaborateur

1
Étape 1 - Signalement

Vous nous indiquez le compte concerné

Nom du salarié parti (ou en cours de départ) et date de cessation d'accès prévue. Aucune installation n'est requise côté client.

2
Étape 2 - Interrogation multi-rails

Recherche de toute trace résiduelle liée au compte

Notre moteur interroge les rails Microsoft Graph, Exchange Online, Teams et Purview pour retrouver délégations sur boîtes partagées, règles de transfert automatique, consentements OAuth et appartenances à des canaux Teams.

3
Étape 3 - Pseudonymisation locale

Principe zero-knowledge, comme pour l'audit M365

Les identifiants sensibles sont pseudonymisés avant toute analyse. Aucune donnée brute n'est copiée ou conservée sur nos serveurs : seule la mesure remonte.

4
Étape 4 - Rapport de preuve

Ce qui a été vérifié, ce qui a été trouvé

Vous recevez un rapport listant chaque zone vérifiée avec son statut (coupé / actif / à vérifier), ainsi que les recommandations pour fermer définitivement ce qui reste ouvert.

Ce que vous recevez

Un rapport concret sur l'état réel des accès d'un compte, au-delà du statut affiché dans l'annuaire

📋

Rapport de contrôle de départ

Statut détaillé (coupé / actif / à vérifier) pour chacune des zones contrôlées sur le compte concerné.

  • Délégations sur boîtes partagées
  • Règles de transfert automatique
  • Consentements OAuth / applications tierces
  • Appartenances aux canaux Teams
  • Droits résiduels au-delà de l'annuaire
🔒

Preuve d'audit horodatée

Trace technique de la vérification effectuée, utile en cas de contrôle interne ou d'incident lié à un ancien compte.

  • Horodatage de la vérification
  • Rails interrogés et résultats obtenus
  • Zéro donnée brute conservée (ZK)
  • Format exploitable pour votre dossier interne

Recommandations de fermeture

Liste priorisée des actions à mener côté client pour couper définitivement les accès identifiés comme actifs.

  • Actions priorisées par criticité
  • Référence précise à l'objet à couper
  • Format HTML + PDF
  • Réutilisable pour le prochain départ

Un contrôle qui s'inscrit dans les bonnes pratiques reconnues

La gestion des accès au départ d'un collaborateur figure dans les référentiels de sécurité usuels

RG

RGPD (Art. 32)

Mesures techniques et organisationnelles appropriées pour assurer la sécurité des données personnelles. La révocation effective des accès d'un salarié parti participe directement à cette obligation de sécurité.

AN

Guide ANSSI - Hygiène informatique

Les guides d'hygiène informatique de l'ANSSI recommandent une gestion rigoureuse des comptes et des droits d'accès, y compris leur retrait complet lors des départs de collaborateurs.

ISO

ISO 27001 - Gestion des accès

La gestion des droits d'accès tout au long du cycle de vie d'un collaborateur, y compris leur retrait à la fin du contrat, fait partie des contrôles organisationnels couverts par la norme.

N2

Bonne pratique de gouvernance cyber

Une revue systématique des accès résiduels au départ d'un collaborateur s'inscrit dans une démarche générale de gestion des risques cyber, sans constituer à elle seule une obligation réglementaire spécifique.

Des formules adaptées à votre volume de départs

Devis personnalisé dans tous les cas - aucun prix affiché ici n'est fixé à l'avance

Ponctuel

Un départ isolé, à la demande

Devis
vérification unique
  • Vérification des 5 zones contrôlées
  • Rapport de preuve horodaté
  • Recommandations de fermeture
  • Formats HTML + PDF
Demander un devis

Sur mesure

Multi-tenants, filiales, gros volumes

Devis
selon périmètre
  • Tout Récurrent +
  • Multi-tenant / multi-filiale
  • Étude d'intégration à votre outil RH
  • Accompagnement de la fermeture côté client
Demander un devis

Questions fréquentes

Le compte est déjà désactivé dans l'annuaire, pourquoi vérifier autre chose ?
Désactiver un compte dans Entra ID ou Active Directory bloque la connexion, mais pas nécessairement les délégations qu'il détenait sur des boîtes partagées, les règles de transfert qu'il avait configurées, les consentements OAuth qu'il a donnés à des applications tierces, ou son appartenance à des canaux Teams. Ces éléments restent souvent actifs indépendamment du statut du compte.
Comment se passe la vérification techniquement ?
Notre moteur réutilise la même architecture multi-rails que l'audit M365 SYAGA : interrogation de Microsoft Graph, Exchange Online, Teams et Purview pour retrouver toute trace liée au compte concerné. Aucune intervention manuelle sur votre tenant, aucune installation.
Mes données sont-elles envoyées à SYAGA ?
Non. Comme pour l'audit M365, le principe appliqué est celui du zero-knowledge : les identifiants sensibles sont pseudonymisés localement avant toute analyse, et aucune donnée brute n'est copiée ou conservée sur nos serveurs.
Que faire une fois le rapport reçu ?
Le rapport liste précisément les accès résiduels identifiés et les recommandations de fermeture associées. La coupure effective des accès (révocation des délégations, suppression des consentements OAuth, retrait des canaux Teams) reste réalisée par vos équipes, ou par SYAGA sur demande complémentaire.
Cela remplace-t-il une PSSI ou un audit de sécurité complet ?
Non. Offboarding Express est un contrôle ciblé sur un événement précis : le départ d'un collaborateur. Pour une politique de sécurité complète, voir PSSI Express. Pour un audit M365 exhaustif et continu, voir l'audit Vigil365 / SYAGA Audit.
Peut-on intégrer ce contrôle à notre process RH existant ?
Oui. En formule Récurrent ou Sur mesure, la vérification peut être déclenchée à chaque signalement de départ transmis par vos équipes RH ou IT, sans intervention manuelle supplémentaire de votre part.

Un départ en cours ou à venir ?

Contactez-nous pour recevoir un devis personnalisé.

Offboarding Express est un outil d'accompagnement technique et ne constitue pas un avis juridique. La conformité de vos procédures de départ au regard du RGPD ou de vos obligations sectorielles doit être validée par un conseil juridique.