Lorsqu'un salarié quitte votre entreprise, vous avez 48 heures pour sécuriser ses appareils mobiles, révoquer ses accès et protéger les données confidentielles. Cette checklist couvre les 12 actions MDM que toute équipe IT doit exécuter lors du départ d'un collaborateur, du wipe distant au recouvrement des licences, avec les étapes spécifiques pour iOS, Android et BYOD. Oublier une étape peut exposer des données sensibles pendant des semaines : selon le rapport IBM 2024, 40% des fuites de données mobiles proviennent d'anciens collaborateurs dont les accès n'ont pas été révoqués à temps.
Ce guide suppose que vous disposez déjà d'une solution MDM. Si ce n'est pas le cas, commencez par là.
Pourquoi l'offboarding MDM est-il critique ?
Le départ d'un salarié ouvre une fenêtre de risque cybersécurité. L'ancien collaborateur conserve souvent l'accès à :
- La messagerie professionnelle sur son appareil personnel (BYOD)
- Les identifiants en cache des outils SaaS (Slack, Salesforce, applications métier)
- Les certificats VPN et profils Wi-Fi
- Les fichiers confidentiels stockés localement dans les applications mobiles
- Les licences applicatives (VPP Apple, Managed Google Play) toujours attribuées à son profil
Le coût moyen d'une fuite de données mobile a atteint 4,88 millions de dollars en 2024 (IBM). Une solution MDM réduit le temps d'offboarding de plusieurs heures à quelques minutes et laisse une piste d'audit complète pour la conformité.
La checklist offboarding MDM en 12 étapes
| # | Action | Délai | Responsable |
|---|---|---|---|
| 1 | Recevoir la notification RH de départ | J-1 à J0 | RH → IT |
| 2 | Identifier tous les appareils mobiles liés au collaborateur | H0 | IT |
| 3 | Désactiver la messagerie et le compte SSO | H0 | IT / IAM |
| 4 | Révoquer les certificats VPN et profils Wi-Fi | H+1 | IT |
| 5 | Lancer le wipe sélectif (données pro uniquement) pour le BYOD | H+1 à H+2 | IT |
| 6 | Factory reset complet pour les appareils d'entreprise | Après retour | IT |
| 7 | Récupérer les licences attribuées (VPP, Managed Google Play) | H+2 | IT |
| 8 | Récupérer l'Apple ID ou compte Google managé | J+1 | IT |
| 9 | Retirer l'utilisateur du groupe d'enrôlement MDM | J+1 | IT |
| 10 | Documenter les actions dans un journal d'audit | J+1 | IT |
| 11 | Réaffecter ou mettre au rebut l'appareil | J+2 à J+7 | IT / Asset manager |
| 12 | Confirmer l'offboarding auprès des RH et de la DAF | J+7 | IT → RH |
Comment gérer BYOD et appareils d'entreprise différemment ?
Le workflow d'offboarding dépend du modèle de propriété :
- Appareils d'entreprise (COBO ou COPE) : le collaborateur doit rendre l'appareil. Effectuez un factory reset complet via la console MDM, puis réenrollez pour le prochain utilisateur. Le zero-touch enrollment accélère la réaffectation.
- BYOD : vous ne pouvez pas effacer les données personnelles. Utilisez un wipe sélectif (aussi appelé enterprise wipe) qui retire uniquement la messagerie, les applications professionnelles, les certificats et les données managées. Le collaborateur conserve ses photos, contacts et applications personnelles.
- CYOD (choose your own device) : techniquement propriété de l'entreprise mais fortement rattaché au collaborateur. Négociez une politique de rachat si le salarié souhaite conserver l'appareil, puis traitez comme un BYOD.
Quelles fonctionnalités MDM sont indispensables pour l'offboarding ?
Votre MDM doit supporter cinq fonctionnalités clés :
- Wipe sélectif : retirer les données professionnelles sans toucher aux données personnelles sur BYOD.
- Verrouillage et effacement à distance : action immédiate si le collaborateur est parti sans rendre l'appareil.
- Révocation d'accès : intégration avec votre IAM (Azure AD, Okta, Google Workspace) pour synchroniser automatiquement la désactivation du compte avec le MDM.
- Gestion des licences : intégration Apple VPP et Managed Google Play pour récupérer les licences attribuées dans votre pool.
- Journal d'audit : traçabilité complète de qui a effectué quelle action d'offboarding, quand et sur quel appareil. Exigé pour les audits SOC 2 et ISO 27001.
Combien de temps dure un offboarding MDM ?
Avec un MDM bien configuré, les actions principales (désactivation email, wipe sélectif, récupération des licences) prennent moins de 10 minutes par collaborateur. Sans MDM, le même workflow prend 2 à 4 heures et laisse souvent des accès résiduels. Pour les grandes flottes (plus de 500 départs par an), l'automatisation via webhooks du SIRH ramène le temps de traitement à quasi zéro.
Quelles sont les erreurs les plus fréquentes ?
- Attendre le retour de l'appareil pour révoquer les accès : la révocation de la messagerie, du VPN et du SSO doit se faire immédiatement. L'appareil peut être wipé plus tard, mais l'accès doit être coupé dès J0.
- Wipe complet sur BYOD : illégal dans la plupart des juridictions (RGPD, jurisprudence prud'homale française) et catastrophe RH. Toujours utiliser un wipe sélectif sur les appareils personnels.
- Oublier la récupération des licences : laisser des licences VPP ou Managed Google Play assignées à d'anciens collaborateurs gonfle la facture.
- Absence de piste d'audit : lors d'un audit de conformité, l'incapacité à prouver que les accès ont été révoqués à une date précise constitue une non-conformité majeure.
- Processus manuel : une procédure d'offboarding sur tableur a un taux d'erreur de 30 à 50%. L'automatisation via MDM et intégration SIRH devient obligatoire au-delà de 100 collaborateurs.
Comment automatiser l'offboarding MDM avec votre SIRH ?
Le workflow d'offboarding le plus robuste repose sur une intégration à trois niveaux :
- Le SIRH (Workday, BambooHR, Lucca, Payfit) déclenche un évènement de sortie à la date de départ du collaborateur.
- L'IAM (Azure AD, Okta) reçoit l'évènement et désactive le compte, ce qui se synchronise avec le MDM sous forme de retrait d'enrôlement.
- Le MDM exécute automatiquement la politique d'offboarding configurée : wipe sélectif, récupération des licences, entrée dans le journal d'audit.
Ce pipeline élimine l'erreur humaine et ramène le délai moyen de révocation à moins de 5 minutes. Pour les organisations de moins de 100 salariés, une checklist manuelle suffit si l'administrateur IT responsable l'applique rigoureusement.
FAQ
Peut-on effacer complètement un BYOD au départ d'un salarié ?
Non. Effacer les données personnelles sans consentement écrit explicite dans la charte BYOD est illégal dans la plupart des pays (RGPD, jurisprudence prud'homale). Utilisez le wipe sélectif pour retirer uniquement les données professionnelles.
Que deviennent les applications achetées via VPP au départ du salarié ?
Les licences VPP sont transférables si vous les récupérez avant la désassignation de l'utilisateur. Votre MDM doit automatiser cette récupération dans le workflow d'offboarding.
Sous quel délai faut-il révoquer les accès après la fin du contrat ?
Dans l'heure qui suit. Le rapport Verizon DBIR 2024 montre que 13% des violations impliquent d'anciens salariés, et la plupart surviennent dans les 72 heures suivant la fin du contrat.
Faut-il réinitialiser un appareil d'entreprise avant de le réaffecter ?
Oui, toujours. Effectuez un factory reset via le MDM, puis réenrollez l'appareil proprement pour le prochain utilisateur. Le zero-touch enrollment transforme cette tâche de 2 heures en 15 minutes.