Blog › Opérations

Offboarding

La checklist complète de départ IT (avec modèle)

Quand quelqu'un quitte l'entreprise, l'IT a 24 heures pour révoquer les accès, 14 jours pour récupérer les actifs, et 30 jours pour boucler tous les fils en suspens. Manquez une étape et vous avez créé une faille de sécurité, un constat de conformité ou une mauvaise surprise de renouvellement. Voici la checklist qui les ferme tous.

Équipe InventorIA

Publié le 27 avr. 2026 · 10 min de lecture

Le processus de départ IT est l'un de ceux que tout le monde a, sous une forme ou une autre, mais que peu ont mis par écrit. Le résultat : une exécution inégale — les utilisateurs importants sont traités correctement, le prestataire dans un autre fuseau horaire est oublié, le manager qui avait le plus de contexte n'a pas prévenu l'IT avant le troisième jour.

La checklist ci-dessous est la version testée et séquencée. Copiez-la telle quelle ou adaptez-la à votre environnement — mais écrivez-la quelque part que vous pourrez retrouver.

J-7 (préavis)

Préparation avant le départ

Pour les départs planifiés uniquement. À sauter en cas de licenciement immédiat.

Les RH informent l'IT de la date de départ et du dernier jour ouvré.
L'IT extrait le résumé des actifs et accès de l'utilisateur depuis l'inventaire.
Le manager identifie les connaissances / données critiques détenues par l'utilisateur ; plan de passation rédigé.
Le manager identifie le successeur pour les relations fournisseurs et contrats gérés.
Décision : redirection des e-mails vers qui, texte de réponse automatique, passation du calendrier, redirections des messages directs Slack.
Logistique de retour du matériel confirmée (en présentiel vs kit de livraison pour les employés à distance).

J-0 (dernier jour ouvré)

Révocation des accès le jour J

La fenêtre de 24 heures où la plupart des incidents surviennent ou non.

Désactivation du compte dans le fournisseur d'identité (Google, Microsoft, Okta) en fin de journée. Cela doit se propager automatiquement à chaque SaaS connecté.
Révocation des tokens MFA, clés matérielles (YubiKey) et sessions d'application d'authentification.
Déconnexion forcée des sessions SaaS actives (Slack, Notion, Salesforce, etc.).
Réinitialisation des mots de passe de comptes partagés auxquels l'utilisateur avait accès.
Révocation des accès VPN, RDP, jump-box et clés SSH.
Suppression des listes d'accès en production (AWS IAM, GCP IAM, RBAC Kubernetes, comptes de bases de données).
Révocation des accès administrateur à Stripe, processeurs de paiement, hébergements, registraires de domaines.
Réponse automatique par e-mail avec contact de passation ; redirection configurée vers le manager.
Calendrier transféré / propriété des réunions réattribuée.
Retour du matériel planifié avec enlèvement confirmé ou étiquette d'expédition envoyée.

L'étape la plus souvent manquée

Les applications SaaS non connectées à votre IdP. Les outils qui s'authentifient directement avec e-mail/mot de passe (ou les applications auxquelles l'utilisateur s'est inscrit avec son e-mail professionnel mais paye personnellement) ne se désactivent pas quand vous désactivez le compte IdP. Listez-les explicitement par utilisateur.

J+1 à J+14 (semaines 1 et 2)

Récupération des actifs et nettoyage des licences

Le levier où se trouvent la plupart des économies — et des constats d'audit.

Retour du matériel suivi : laptop, écrans, périphériques, mobile, clés de sécurité, badges. Chaque article coché dans le registre des actifs.
Données du matériel retourné effacées selon le standard d'effacement certifié. Certificat d'effacement stocké dans la fiche de l'actif.
Appareils soit marqués « dans le pool / disponibles pour réattribution » soit « en attente de mise hors service » selon l'état de la garantie.
Postes SaaS payants récupérés sur chaque licence détenue par l'utilisateur. Cela devrait se produire automatiquement via la cascade IdP — vérifiez que c'est bien le cas.
Produits à licence par niveaux (Microsoft E5, Salesforce Enterprise, Adobe Creative Cloud) explicitement déclassés ou réattribués.
SaaS à facturation indépendante (ceux non sur l'IdP) annulés ou réattribués manuellement.
Contrats détenus réattribués à un nouveau propriétaire interne. Ne laissez aucun contrat revenir par défaut à « it@entreprise.fr ».
Redirection des e-mails maintenue pendant 30 jours pour les correspondances manquées.
Données personnelles exportées conformément au droit du travail local (souvent 30 jours pour les fournir sur demande).

J+15 à J+30 (bouclage)

Piste d'audit et vérifications finales

Le travail qui vous rend défendable face à un auditeur un an plus tard.

Vérification croisée de chaque système qui aurait pu avoir l'utilisateur. Faire une recherche « par e-mail » sur tout le portefeuille SaaS. Tout ce qui a été manqué est nettoyé ici.
Vérifier que l'e-mail de l'utilisateur n'apparaît plus dans aucune matrice d'accès active ou liste de permissions de dossiers partagés.
Confirmer que le matériel est entièrement retraité ou réattribué ; rien en « retour en attente » après 30 jours.
Rapport final de révocation des accès généré et stocké dans le dossier d'offboarding de l'utilisateur.
Redirection des e-mails désactivée ; boîte mail archivée selon la politique de conservation.
Suppression des données personnelles exécutée si l'utilisateur l'a demandé sous RGPD / CCPA, avec preuve conservée.
Ticket d'offboarding clôturé avec la piste d'audit jointe.

Les 5 métriques de départ qui valent la peine d'être suivies

Taux de révocation des accès le jour J. Objectif : 100 % de l'accès connecté à l'IdP révoqué en fin de journée.
Taux de retour du matériel à 14 jours. Objectif : 90 %+ en présentiel, 80 %+ à distance.
Délai moyen de récupération des licences. Objectif : le jour même pour les outils connectés à l'IdP, 7 jours pour les outils autonomes.
Nombre d'actifs fantômes. Appareils attribués à des utilisateurs désactivés. Objectif : 0.
Constats d'audit sur l'offboarding. Objectif : 0 par cycle d'audit.

Cas particuliers

Prestataires et agences

Ont souvent des missions plus courtes mais le même niveau d'accès. Saisissez les dates de fin de mission dans le système ; déclenchez automatiquement le workflow d'offboarding à la fin de la mission, pas seulement à la résiliation.

Licenciements

La révocation des accès se fait avant la réunion qui annonce la nouvelle. La récupération du matériel est planifiée à l'avance. La réponse automatique par e-mail est configurée, mais le contenu est revu par les RH et le service juridique.

Fusions / acquisitions / cessions

L'offboarding en masse nécessite le même processus à grande échelle. Faites d'abord des lots pilotes ; les cas limites à grande échelle sont les mêmes qu'unitairement mais surviennent 100 fois en parallèle.

Décès d'un employé

À traiter avec sensibilité. La plupart des étapes s'appliquent toujours mais sur un calendrier plus lent. Coordonnez étroitement avec les RH et la famille pour la gestion des données personnelles.

Les outils qui font fonctionner cette checklist

La checklist fonctionne avec des humains sans outillage, mais le taux d'échec grimpe à chaque étape. La bonne configuration :

Un IdP (Google / Microsoft / Okta) qui se propage à chaque SaaS connecté.
Une plateforme ITAM qui suit les délais de retour matériel.
Un workflow de ticket d'offboarding qui bloque la clôture jusqu'à ce que chaque étape soit cochée.
Une réconciliation mensuelle qui signale les fantômes.

InventorIA couvre les étapes 2 et 4 nativement — dès que l'IdP marque un utilisateur inactif, les workflows de récupération de matériel, de licences et de réattribution de contrats se déclenchent automatiquement. La piste d'audit s'écrit d'elle-même.

Gérez l'offboarding sans manquer une étape

InventorIA génère automatiquement le rapport d'offboarding conforme aux audits depuis le signal IdP. Gratuit pour 10 utilisateurs.

Démarrer gratuitement →