TL;DR : Chaque arrivée et chaque départ d'employé est un moment critique pour votre sécurité informatique. Sans checklist, on oublie des accès actifs, on retarde l'intégration, et on s'expose à des fuites de données. On vous donne ici les deux listes concrètes : onboarding et offboarding, avec les outils pour les automatiser.
Vendredi 16 h 30, votre adjointe administrative vous annonce qu'elle quitte. Lundi matin, elle a encore accès au Drive partagé, à la boîte courriel de l'entreprise, au CRM avec toutes vos données clients, et au compte bancaire en ligne. Personne n'y a pensé parce que personne n'avait de liste.
L'inverse est tout aussi pénible. Le nouveau arrive le lundi, motivé, prêt à commencer. Sauf qu'il n'a pas de portable. Pas de courriel. Pas d'accès au réseau. On improvise avec le vieux laptop du stagiaire d'il y a deux ans, et trois semaines plus tard il attend encore ses accès VPN. Belle première impression.
Ces deux scénarios se produisent constamment dans les PME et les OBNL. Pas par négligence : par manque de processus. Le côté rassurant, c'est qu'une simple checklist règle 90 % du problème.
Le vrai risque : des comptes fantômes dans votre réseau
A former employee who still has their access isn't just an administrative annoyance. It's a security breach. NIST SP 800-171 requires that information systems be protected during employee departures and transfers. In practice, that means closing accounts promptly and recovering equipment.
En pratique, les PME n'ont pas d'équipe de conformité NIST. Mais le principe reste le même : chaque compte actif sans propriétaire légitime est une porte ouverte. Et avec la Loi 25 au Québec, vous avez maintenant l'obligation légale de contrôler qui accède aux renseignements personnels que vous détenez. Un ex-employé qui peut encore consulter votre base de données clients, c'est un manquement à vos obligations.
La checklist d'onboarding : du jour 1 au premier mois
L'objectif n'est pas de tout faire le premier matin. C'est de ne rien oublier, et de donner au nouvel employé ce dont il a besoin pour être fonctionnel rapidement.
| Quand | Quoi | Responsable |
|---|---|---|
| Avant le jour 1 | Commander/préparer le poste de travail (portable, écran, clavier, souris) | TI / gestionnaire |
| Avant le jour 1 | Créer le compte utilisateur principal (courriel, SSO si applicable) | TI |
| Avant le jour 1 | Préparer les accès selon le rôle : CRM, comptabilité, partages de fichiers | TI + gestionnaire |
| Jour 1 | Remettre le matériel et faire signer l'inventaire | TI |
| Jour 1 | Configurer l'authentification multifacteur (MFA) sur tous les comptes | TI + employé |
| Jour 1 | Installer le gestionnaire de mots de passe et y ajouter l'employé | TI |
| Jour 1 | Configurer le VPN si travail à distance | TI |
| Jour 1 | Faire signer la politique d'utilisation acceptable et la politique de confidentialité | RH |
| Semaine 1 | Formation de base : sécurité, hameçonnage, bonnes pratiques | TI / gestionnaire |
| Semaine 1 | Valider que tous les accès fonctionnent correctement | Employé + TI |
| Mois 1 | Réviser les accès : en a-t-il trop? Pas assez? | Gestionnaire + TI |
Le point clé ici : la préparation commence avant le jour 1. Si on attend que la personne soit assise à son bureau pour commencer à créer ses comptes, on a déjà perdu une journée de productivité.
La checklist d'offboarding : le jour du départ et après
C'est la checklist qu'on oublie le plus souvent, et c'est la plus critique côté sécurité. Quand quelqu'un part, surtout si le départ est tendu, chaque heure compte.
| Quand | Quoi | Responsable |
|---|---|---|
| Jour du départ | Désactiver le compte principal (SSO, courriel, Active Directory) | TI |
| Jour du départ | Révoquer l'accès VPN et les connexions à distance | TI |
| Jour du départ | Révoquer l'accès à toutes les applications SaaS (CRM, comptabilité, etc.) | TI |
| Jour du départ | Récupérer le matériel : portable, téléphone, clés, cartes d'accès | TI + RH |
| Jour du départ | Retirer l'employé des groupes de messagerie et des calendriers partagés | TI |
| Jour du départ | Changer les mots de passe partagés auxquels la personne avait accès | TI |
| Semaine suivante | Transférer les fichiers et courriels pertinents au successeur | Gestionnaire + TI |
| Semaine suivante | Configurer une redirection de courriel temporaire (avec mention de départ) | TI |
| 30 jours | Archiver la boîte courriel et supprimer le compte | TI |
| 30 jours | Vérifier qu'aucun accès résiduel ne subsiste | TI |
Le point le plus négligé : les mots de passe partagés. Si votre équipe partage un mot de passe pour le compte Instagram de l'entreprise ou le panneau d'administration du site web, il faut le changer dès le départ. C'est exactement pour ça qu'un gestionnaire de mots de passe d'équipe est essentiel.
Le SSO change la donne
Quand chaque application a son propre compte utilisateur, l'offboarding devient un cauchemar. Il faut penser à chaque service un par un : le courriel, le CRM, le partage de fichiers, le logiciel comptable, la messagerie d'équipe, le wiki interne. On en oublie toujours un.
Avec un système d'authentification unique (SSO), comme Authentik ou Keycloak, on centralise tout. Un seul compte contrôle l'accès à toutes les applications. Quand quelqu'un part, on désactive un seul compte et tout se ferme. Quand quelqu'un arrive, on crée un seul compte avec les bons groupes et tout s'ouvre.
C'est un investissement initial en configuration, mais le retour est immédiat : moins d'erreurs, moins de temps perdu, et une sécurité nettement plus solide. Pour les PME qui utilisent déjà Nextcloud, Odoo ou d'autres applications web internes, le SSO s'intègre naturellement.
Notre recommandation pour une PME de 10 à 50 employés :
- Mettre en place un SSO (Authentik ou Keycloak) pour centraliser les accès
- Utiliser un gestionnaire de mots de passe d'équipe (Vaultwarden) pour les comptes qui ne supportent pas le SSO
- Créer les deux checklists dans votre outil de gestion de projets (Odoo, Nextcloud Deck, ou même un simple document partagé)
- Assigner un responsable clair pour chaque départ et chaque arrivée
La Loi 25 et la gestion des accès
Since its gradual implementation between 2022 and 2024, Law 25 in Quebec imposes concrete obligations regarding personal information protection. Among them: you must have clear policies on who accesses what, and you must be able to demonstrate that you control that access.
Un ancien employé qui a encore accès à votre base de données clients trois mois après son départ, c'est exactement le genre de situation que la Loi 25 vise à prévenir. Vous devez avoir un registre des accès, des politiques de conservation et de destruction des données, et un processus documenté pour révoquer les accès lors des départs.
La checklist d'offboarding n'est donc pas juste une bonne pratique : c'est une obligation légale déguisée en bon sens.
Automatiser avec les bons outils
Une checklist sur papier, c'est mieux que rien. Mais une checklist intégrée à vos outils de travail, c'est nettement plus fiable.
Dans Odoo, le module RH permet de créer des plans d'onboarding et d'offboarding avec des activités automatiques. Quand on embauche quelqu'un, le système génère automatiquement les tâches : créer le compte courriel, préparer le poste, configurer les accès. Chaque tâche est assignée au bon responsable avec une date d'échéance. Rien ne tombe entre les craques.
Nextcloud peut servir de dépôt central pour les documents d'accueil, les politiques signées, et l'inventaire du matériel. Combiné avec un SSO, la création du compte Nextcloud donne automatiquement accès aux bons dossiers selon le groupe de l'employé.
On a écrit un article complet sur Nextcloud pour les PME qui couvre la gestion documentaire et la collaboration. Un bon complément si vous cherchez à structurer vos documents internes.
Les limites d'une checklist
Une checklist ne fonctionne que si quelqu'un en est responsable. Dans une PME de 8 personnes sans département TI, c'est souvent le propriétaire ou l'adjoint.e qui gère tout ça entre deux urgences. La checklist peut exister dans un document parfaitement formaté et ne jamais être suivie.
L'autre réalité : certains services ne supportent pas le SSO, surtout les outils gratuits ou les comptes partagés sur les réseaux sociaux. Pour ceux-là, il faudra toujours un processus manuel. Le gestionnaire de mots de passe aide, mais il ne remplace pas la discipline de retirer les accès.
Et si votre rotation de personnel est très faible (deux ou trois mouvements par année), investir dans un SSO complet n'est peut-être pas prioritaire. Dans ce cas, une checklist bien tenue dans un document partagé avec des rappels automatiques fait très bien le travail.
Ce qu'on fait chez Blue Fox
Notre approche, c'est de mettre en place les outils et le processus ensemble. Pas juste installer un SSO et vous laisser avec la documentation : on configure les checklists dans Odoo ou Nextcloud, on forme la personne responsable, et on s'assure que le processus est réaliste pour votre taille d'équipe.
On utilise des outils libres (Authentik pour le SSO, Vaultwarden pour les mots de passe, Nextcloud pour les documents, Odoo pour la gestion) parce que c'est notre approche depuis le début. Ça vous donne le contrôle complet sur vos données et vos accès, sans dépendre d'un abonnement Microsoft ou Google pour gérer qui entre et qui sort de votre organisation.
Si vous réalisez en lisant cet article que votre processus d'arrivée-départ est pas mal improvisé, on jase de votre situation. C'est le genre de chose qui se règle en quelques jours et qui évite bien des maux de tête.
Sources
- NIST SP 800-171 rev. 2, requirement 3.9.2 — Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations
- CIS Critical Security Controls v8 — Control 6 : Access Control Management
- Commission d'accès à l'information du Québec — Guide sur la Loi 25