Le jour où tout tenait dans une seule tête
La scène se répète, presque à l'identique, dans les entreprises des Alpilles comme ailleurs. Un salarié annonce son départ, parfois du jour au lendemain, parfois après un préavis bien tenu. Et là, en réunion, le dirigeant réalise une chose qui lui donne froid dans le dos : le mot de passe du site internet, celui de l'espace bancaire en ligne, le code d'accès au logiciel de caisse et l'identifiant du compte sur les réseaux sociaux étaient tous dans la tête de cette personne, et nulle part ailleurs.
Ce n'est pas un scénario de fiction. C'est le quotidien de beaucoup de TPE et de PME de la région, de Saint-Rémy-de-Provence à Cavaillon, en passant par Châteaurenard et Arles. Tant que la personne était là, tout roulait. Elle « gérait l'informatique » en plus de son vrai métier, elle avait créé les comptes au fil des années, et personne n'a jamais éprouvé le besoin d'écrire quoi que ce soit. Le jour de son départ, l'entreprise découvre qu'elle ne possède pas ses propres clés.
La bonne nouvelle, c'est que cette situation se prépare et se rattrape. Reprendre la main sur les accès et les mots de passe n'est ni une opération de haute technicité, ni un chantier de plusieurs mois. C'est d'abord une question de méthode : cartographier, sécuriser, formaliser. Cet article vous donne le fil à suivre, du recensement des comptes jusqu'à la procédure de départ à appliquer à chaque fois, sans oublier le cadre juridique, sur lequel nous resterons volontairement prudents.
Cartographier les comptes : on ne protège que ce que l'on connaît
Le point de départ n'est pas technique, il est comptable, au sens propre : il faut faire l'inventaire. Tant que vous ne savez pas combien de comptes votre entreprise possède, où ils se trouvent et qui les détient, vous ne pouvez ni les sécuriser ni les récupérer. La plupart des dirigeants sous-estiment d'un facteur important le nombre réel d'accès qui font tourner leur activité.
Prenez une feuille, un tableur, ou mieux, l'outil dont nous parlerons plus loin, et listez chaque service qui demande un identifiant et un mot de passe. Ne vous fiez pas à votre mémoire : passez en revue les factures, les prélèvements bancaires, les e-mails d'abonnement. Chaque abonnement payant correspond presque toujours à un compte quelque part.
Voici les grandes familles de comptes que l'on retrouve dans une TPE ou une PME, et qu'il faut absolument recenser :
- Les accès bancaires et financiers : espace bancaire en ligne, terminal de paiement, plateforme de facturation, logiciel de comptabilité, mutuelle, organismes sociaux.
- Le site internet et la présence en ligne : hébergement, nom de domaine, interface d'administration du site, boutique en ligne, comptes de réseaux sociaux, fiche d'établissement sur les moteurs de recherche.
- La messagerie et la bureautique : comptes e-mail, suite bureautique dans le cloud, espace de stockage partagé, agenda.
- Les logiciels métier : ERP, CRM, logiciel de caisse, gestion des stocks, outil de prise de rendez-vous, plateforme de devis.
- L'infrastructure : accès au routeur et à la box, administration du serveur ou du NAS, comptes des postes de travail, licences de l'antivirus, accès distants.
- Les services annexes : téléphonie, opérateur mobile, plateformes de livraison, marketplaces, outils marketing.
Pour chaque compte, notez au minimum quatre informations : le service concerné, l'identifiant utilisé, la personne qui en est aujourd'hui responsable, et le caractère critique du compte pour la poursuite de l'activité. Cette cartographie est un document vivant, à tenir à jour. C'est aussi le socle de votre plan de reprise en cas de coup dur, un sujet que nous abordons dans notre article sur le coût réel d'une panne sans plan de reprise.
Comptes nominatifs plutôt que comptes partagés : la règle qui change tout
Voici l'erreur la plus courante, et la plus lourde de conséquences le jour d'un départ : le compte partagé. Un seul identifiant, un seul mot de passe, utilisé par plusieurs personnes. « admin » avec le mot de passe collé sous le clavier, ou « accueil@ » que trois salariés consultent avec le même code.
Le compte partagé pose trois problèmes majeurs. D'abord, la traçabilité disparaît : impossible de savoir qui a réellement effectué telle action, envoyé tel e-mail, modifié tel devis. Ensuite, la sécurité s'effondre : plus il y a de personnes qui connaissent un mot de passe, plus le risque de fuite est élevé, et il n'est jamais changé de peur de bloquer tout le monde. Enfin, le jour d'un départ, vous êtes obligé de changer le mot de passe et de le rediffuser à toute l'équipe, ce que personne ne fait dans la précipitation.
La règle saine est simple : un compte nominatif par personne, chaque fois que le service le permet. Chacun dispose de son propre identifiant, de son propre mot de passe, et de droits adaptés à sa fonction. Quand quelqu'un part, on désactive son compte à lui, sans toucher à ceux des autres. La traçabilité est préservée, la sécurité aussi, et l'offboarding devient une formalité au lieu d'un branle-bas de combat.
Le tableau ci-dessous résume ce que vous gagnez à basculer vers des comptes nominatifs.
| Critère | Compte partagé | Compte nominatif |
|---|---|---|
| Traçabilité des actions | Impossible : tout le monde est « admin » | Chaque action est reliée à une personne |
| Réaction à un départ | Changer le mot de passe et le rediffuser à tous | Désactiver un seul compte, sans gêner l'équipe |
| Gestion des droits | Tout ou rien | Droits adaptés au poste de chacun |
| Risque de fuite | Élevé : un secret connu de plusieurs | Réduit et circonscrit à une personne |
| Double authentification | Difficile à mettre en place | Simple, propre à chaque utilisateur |
Certains services, notamment d'anciens logiciels métier, ne proposent malheureusement qu'un compte unique. Dans ce cas, on ne peut pas nominaliser, mais on peut au moins isoler ce mot de passe dans un coffre-fort numérique auquel seules les bonnes personnes accèdent. C'est l'objet du point suivant.
Le gestionnaire de mots de passe d'entreprise : le coffre-fort partagé
Le carnet, le fichier tableur non protégé, les notes sur le téléphone, la mémoire d'un salarié : ce sont les quatre pires endroits pour stocker des mots de passe, et pourtant ce sont les plus répandus. La solution professionnelle existe depuis longtemps et coûte peu : le gestionnaire de mots de passe d'entreprise.
Le principe est celui d'un coffre-fort numérique chiffré. L'entreprise possède un espace central où sont rangés tous les mots de passe. Chaque salarié dispose d'un accès personnel, protégé par un mot de passe maître qu'il est le seul à connaître, et l'on décide finement qui peut voir quel groupe de mots de passe. Le comptable accède aux accès financiers, la personne du web aux accès du site, et ainsi de suite.
Les bénéfices sont immédiats et concrets :
- Les mots de passe deviennent longs, uniques et générés aléatoirement, sans que personne n'ait à les mémoriser.
- Le partage se fait sans jamais dévoiler le mot de passe en clair : on partage un accès, pas une chaîne de caractères recopiée dans un e-mail.
- Le jour d'un départ, on révoque l'accès de la personne au coffre en un clic, et l'on identifie immédiatement les mots de passe qu'elle connaissait pour les changer.
- La direction garde une vision d'ensemble et n'est plus jamais dépendante d'une seule tête.
La mise en place demande un peu de rigueur au démarrage : il faut y verser la cartographie que vous avez établie, définir les groupes d'accès et former les équipes à l'utiliser au quotidien. C'est justement le genre de bascule d'outil que nous accompagnons, en formant vos équipes pour que le réflexe s'installe durablement. Un outil que personne ne sait utiliser ne protège personne.
La double authentification : le verrou qui résiste même à un mot de passe volé
Un mot de passe, aussi solide soit-il, peut être deviné, hameçonné ou volé lors d'une fuite de données. La double authentification, souvent notée 2FA ou MFA, ajoute un second verrou : après avoir saisi son mot de passe, l'utilisateur doit confirmer son identité par un second moyen, généralement un code temporaire généré sur son téléphone.
Concrètement, même si un ancien salarié ou un attaquant connaît le mot de passe, il ne peut pas se connecter sans ce second facteur. C'est aujourd'hui l'une des protections les plus efficaces et les moins coûteuses qui existent. L'agence nationale de la sécurité des systèmes d'information et le site cybermalveillance.gouv.fr la recommandent systématiquement pour les comptes sensibles.
Activez-la en priorité sur les comptes les plus critiques : messagerie professionnelle, espace bancaire, hébergement du site, administration du serveur, comptes de réseaux sociaux. Un point de vigilance au moment d'un départ : si la double authentification d'un compte partagé était liée au numéro de téléphone personnel du salarié qui s'en va, vous perdez l'accès en même temps que lui. Raison de plus pour privilégier les comptes nominatifs et, quand c'est possible, associer le second facteur à un moyen maîtrisé par l'entreprise.
La double authentification fait d'ailleurs partie des fondamentaux que nous détaillons dans notre article sur les cinq réflexes de cybersécurité des TPE et PME. C'est une brique qui protège bien au-delà du seul cas du départ d'un salarié.
Onboarding et offboarding : formaliser l'arrivée et le départ
La meilleure façon de ne jamais revivre la panique du départ non préparé, c'est d'écrire une procédure et de l'appliquer à chaque mouvement de personnel. On parle d'onboarding pour l'arrivée et d'offboarding pour le départ. Ces deux moments sont les deux faces d'une même pièce : ce que l'on donne à l'entrée, on doit pouvoir le reprendre à la sortie.
À l'arrivée : donner les bons accès, et rien de plus
Quand un salarié arrive, on lui crée ses comptes nominatifs, on lui attribue uniquement les droits nécessaires à son poste, et on l'ajoute au gestionnaire de mots de passe avec le bon périmètre. On note dans un document quels accès lui ont été ouverts. Ce document, tenu à jour, est votre feuille de route le jour du départ : vous saurez exactement quoi fermer.
Au départ : une check-list, pas de l'improvisation
Le départ, qu'il soit choisi ou subi, doit suivre une liste immuable. L'improvisation, dans ces moments souvent chargés en émotion, conduit toujours à des oublis. Une case oubliée, c'est un accès qui reste ouvert des mois après le départ. Nous détaillons cette check-list dans la section dédiée plus bas.
Formaliser ces procédures, c'est aussi éviter de se retrouver un jour totalement dépendant d'un tiers, comme lorsque votre prestataire informatique ne répond plus et que vous ne savez même pas quels accès il détient. La logique est la même : documenter pour rester maître de ses clés.
Reprendre le contrôle technique : messagerie, accès distants et matériel
Récupérer et transférer la messagerie du salarié parti
La boîte e-mail professionnelle est souvent le point le plus sensible. Elle contient des échanges clients, des devis en cours, des relations fournisseurs, parfois l'unique trace de conversations importantes. Quand la personne part, deux besoins apparaissent : ne pas perdre l'historique et ne pas laisser des messages importants sans réponse.
La bonne pratique consiste à ne jamais supprimer brutalement le compte. On procède par étapes : on change d'abord le mot de passe pour couper l'accès du salarié, on conserve la boîte, puis on met en place une redirection des nouveaux e-mails vers la bonne personne ou vers une adresse générique. Beaucoup de messageries professionnelles permettent aussi de placer une réponse automatique indiquant le nouvel interlocuteur, ce qui rassure les clients.
Un point mérite l'attention : les adresses e-mail nominatives, du type « prenom@votre-entreprise.fr », doivent rester la propriété de l'entreprise, pas du salarié. C'est encore un argument en faveur d'une messagerie professionnelle bien administrée, où la direction garde le contrôle des comptes, plutôt que de boîtes personnelles créées à la va-vite. La solidité de cette organisation dépend directement de votre infrastructure : nos conseils sur les réseaux, serveurs et messageries d'entreprise vous aident à bâtir une base saine.
Attention toutefois : consulter le contenu d'une boîte e-mail d'un salarié, présent ou parti, n'est pas un acte anodin sur le plan juridique. Nous y revenons plus loin. La règle de bon sens : rediriger et conserver, oui ; fouiller dans les messages personnels, non.
Révoquer les accès distants et restituer le matériel
Le mot de passe visible n'est que la partie émergée. Un salarié, surtout s'il touchait à l'informatique, dispose souvent d'accès plus discrets qu'il faut penser à couper. On les oublie précisément parce qu'ils sont invisibles au quotidien.
Passez systématiquement en revue les accès à distance : logiciel de prise en main à distance installé sur les postes, réseau privé virtuel permettant de se connecter au réseau de l'entreprise depuis l'extérieur, accès au serveur ou au NAS, connexions ouvertes vers les logiciels métier hébergés dans le cloud. Un ancien salarié qui conserve un accès distant, même sans mauvaise intention, est une porte ouverte permanente sur vos données.
Côté matériel, établissez la liste de ce qui est confié et faites-le restituer contre décharge : ordinateur portable, téléphone professionnel, clés physiques, badges d'accès, disques durs externes, clés USB de stockage. Avant de reconfigurer un poste pour un nouveau salarié, assurez-vous d'avoir récupéré les données professionnelles qu'il contenait. C'est aussi le moment de vérifier que ces données sont bien sauvegardées ailleurs, selon la logique que nous exposons dans notre article sur ce que le RGPD impose vraiment à une TPE, où la question de la maîtrise des données personnelles est centrale.
N'oubliez pas non plus les accès physiques et les abonnements liés à la personne : carte de carburant, ligne mobile, comptes sur des plateformes externes ouverts à son nom pour le compte de l'entreprise. Chacun est une ligne de votre check-list.
Le cadre juridique : ce que permettent le droit du travail et le RGPD
Reprendre la main sur ses accès est légitime et nécessaire. Mais la façon de le faire touche à deux corps de règles qui protègent le salarié : le droit du travail et le règlement général sur la protection des données. Nous allons rester ici volontairement prudents et généraux, car chaque situation est particulière et le droit évolue.
Quelques principes de bon sens, qui ne remplacent pas un avis juridique :
- Les accès professionnels appartiennent à l'entreprise. Un compte créé pour le travail, avec les moyens de l'entreprise, est un outil professionnel. Vous êtes fondé à en reprendre le contrôle au départ du salarié.
- La distinction professionnel / personnel est essentielle. Un dossier, un e-mail ou un fichier identifié comme « personnel » par le salarié bénéficie d'une protection particulière au titre du respect de la vie privée, y compris sur du matériel professionnel. On ne les consulte pas librement.
- Le RGPD encadre le traitement des données personnelles. La boîte e-mail d'un salarié contient des données personnelles, les siennes comme celles de tiers. Les conserver, les rediriger ou les consulter doit répondre à un motif légitime, être proportionné et limité dans le temps.
- La transparence prime. Les règles d'usage des outils informatiques, la durée de conservation d'une boîte après un départ, les modalités de redirection gagnent à être écrites à l'avance, par exemple dans une charte informatique, et portées à la connaissance des salariés.
Ce qu'il faut retenir : la précipitation est mauvaise conseillère, et le « je fais ce que je veux, c'est mon entreprise » peut vous exposer. À l'inverse, une organisation préparée, transparente et documentée vous met dans une position solide. Pour tout cas sensible, notamment un départ conflictuel, un contentieux ou l'accès au contenu d'une boîte e-mail, consultez un avocat ou un juriste en droit social. Notre rôle, chez ELS Conseil, est de sécuriser la partie technique et organisationnelle ; celui du juriste est de qualifier ce que vous avez le droit de faire.
La check-list de départ à afficher et à suivre
Voici la trame que nous recommandons à nos clients de Saint-Rémy-de-Provence et des Alpilles. Elle se remplit à chaque départ, sans exception, y compris pour un stagiaire ou un contrat court. Adaptez-la à votre cartographie.
| Étape | Action à réaliser | Fait |
|---|---|---|
| Messagerie | Changer le mot de passe, conserver la boîte, mettre en place redirection et message d'absence | À cocher |
| Comptes nominatifs | Désactiver chaque compte personnel du salarié dans les logiciels métier et services en ligne | À cocher |
| Comptes partagés | Changer tous les mots de passe que la personne connaissait, puis les mettre à jour dans le coffre-fort | À cocher |
| Gestionnaire de mots de passe | Révoquer l'accès de la personne au coffre-fort de l'entreprise | À cocher |
| Accès distants | Couper prise en main à distance, réseau privé virtuel, accès serveur et NAS | À cocher |
| Accès financiers | Retirer les droits sur l'espace bancaire, le terminal de paiement et les outils comptables | À cocher |
| Site et réseaux sociaux | Retirer l'accès à l'administration du site, à l'hébergement et aux comptes sociaux | À cocher |
| Matériel | Récupérer ordinateur, téléphone, badges, clés, clés USB, contre décharge signée | À cocher |
| Données | Sauvegarder les données professionnelles du poste avant reconfiguration | À cocher |
| Cartographie | Mettre à jour le document des accès pour refléter la nouvelle situation | À cocher |
Imprimez cette check-list, ou intégrez-la à votre outil interne. L'important n'est pas le support, c'est que la même liste soit suivie à chaque fois, par la même personne responsable, et qu'aucune case ne reste vide à la fin.
Anticiper aujourd'hui pour ne pas paniquer demain
Reprendre la main sur ses accès n'est pas un chantier à réserver au moment du départ d'un salarié. C'est un travail de fond qui protège votre entreprise en permanence : contre le départ imprévu, bien sûr, mais aussi contre l'accident, la maladie, ou simplement l'oubli. Le jour où le mot de passe du site, de la banque et de la caisse ne dépendra plus d'une seule tête, vous dormirez mieux.
Les étapes tiennent en quelques mots : cartographier tous les comptes, basculer vers des comptes nominatifs, centraliser les mots de passe dans un coffre-fort d'entreprise, activer la double authentification, et formaliser des procédures d'arrivée et de départ que l'on suit à la lettre. Aucune de ces étapes n'est hors de portée d'une TPE ou d'une PME. Ce qui manque, le plus souvent, c'est le temps et la méthode, pas les moyens.
Chez ELS Conseil, à Saint-Rémy-de-Provence, nous accompagnons les entreprises des Alpilles, d'Avignon, d'Arles et de la vallée de la Durance dans cette mise en ordre, du recensement des accès jusqu'à la formation de vos équipes aux bons réflexes. Si vous lisez cet article en repensant au dernier départ qui vous a mis en difficulté, c'est le bon moment pour agir. Contactez-nous pour un diagnostic de vos comptes et de vos procédures, ou appelez-nous au 04 13 41 85 81. Nous ferons le point ensemble, sans engagement, et vous repartirez avec votre cartographie et votre check-list de départ.