Détecter les comptes orphelins : comment démêler 3 ans d'offboarding négligé ?

Mieux offboarder à partir d'aujourd'hui ne résout pas les 23 comptes actifs d'ex-collaborateurs qui existent déjà. Voici comment les supprimer sans y passer des semaines.

Tout le monde en a : des comptes orphelins. Des personnes parties il y a des années mais qui apparaissent encore avec has_access dans votre CRM, votre stockage cloud ou un SaaS quelconque. Voici comment mener l'opération de nettoyage.

Les trois sources principales

1. M365 / Google Workspace : filtrez sur « last sign-in > 90 jours » — c'est généralement le point de départ de votre liste de comptes fantômes.
2. SaaS individuels : journaux par outil. Plus difficile, car il n'existe pas toujours de filtre standard.
3. Espaces partagés : Dropbox, SharePoint, Drive — des personnes encore ajoutées en tant qu'éditeurs.

Le sprint de nettoyage

1. Jour 1 : extraire par système la liste des comptes dont vous n'êtes pas sûr.
2. Jours 2-3 : recoupement avec les RH : qui est encore en poste ou non ?
3. Jour 4 : désactivation en masse des ex-collaborateurs confirmés, puis attente de 30 jours avant suppression définitive.
4. Jour 5 : documenter et créer un dossier d'offboarding formel, même pour les ex-collaborateurs partis depuis des années.

Le risk-flag comme solution durable

Mettez en place une vérification récurrente qui rapporte chaque semaine ou chaque mois : « cette personne est inactive selon les RH mais dispose encore d'accès has_access ». Dans AccessGuard, cela s'appelle le risque orphan_access (sev 5) — le scanner effectue cette vérification automatiquement chaque nuit.

Voir aussi : offboarding pillar, revues d'accès périodiques.