21 juin 2026MDM & Endpoints

Off-boarding endpoint propre : wipe, retour matériel et archivage des données

Un collaborateur quitte l'entreprise : son MacBook est rendu sans wipe, son compte Microsoft 365 reste actif trois semaines, et ses données clients dorment sur un disque non chiffré dans un tiroir. Ce scénario expose la PME à une violation de la nLPD et à une perte de contrôle irréversible sur ses actifs.

Par ZRS-Holding Sàrl·9 min de lecture·298 lectures
Partager

Le maillon faible de l'off-boarding

Chaque départ de collaborateur est une fenêtre d'exposition : selon les statistiques du NCSC, une part significative des incidents internes implique des comptes ou appareils non désactivés dans les 24 heures suivant la fin du contrat. Dans une PME de 50 endpoints sans procédure formalisée, le délai moyen de révocation réelle des accès dépasse souvent 10 jours — une éternité pour un compte avec droits admin ou accès aux données clients.

Cadre légal suisse : ce que la nLPD impose

Depuis le 01.09.2023, la nouvelle Loi sur la protection des données (nLPD) oblige les responsables du traitement à garantir la destruction ou l'anonymisation des données personnelles dès que la finalité du traitement est atteinte. Un endpoint rendu sans effacement sécurisé constitue un traitement non autorisé si des données personnelles y subsistent — données clients, données RH, correspondances.

Obligation de documentation

L'art. 12 nLPD impose un registre des activités de traitement. L'effacement d'un endpoint doit y figurer : date, méthode, responsable, numéro de série de l'appareil. En cas de contrôle du Préposé fédéral à la protection des données (PFPDT), l'absence de traçabilité suffit à constituer une violation. Les sanctions peuvent atteindre CHF 250 000 d'amende pour les personnes physiques responsables.

Durées de conservation des archives

Certaines données doivent être conservées — et donc archivées, pas supprimées. La comptabilité : 10 ans (CO art. 958f). La correspondance commerciale : 10 ans. Les données RH (salaires, contrats) : 10 ans également. La procédure d'off-boarding doit donc distinguer trois catégories : données à effacer immédiatement, données à archiver (durée définie), données à transférer au successeur du collaborateur.

Wipe MDM : méthodes, limites et pièges

Apple — ABM et MDM supervisé

Sur un Mac ou iPhone géré via Apple Business Manager (ABM) et enrollé en mode supervisé, le wipe distant déclenche une réinstallation complète de macOS ou iOS depuis les serveurs Apple. La commande EraseDevice (MDM protocol) efface le volume de données et réinitialise les clés FileVault/APFS. Points critiques :

  • Le wipe ne s'exécute que si l'appareil est en ligne ou se connecte avant 30 jours (délai de commande en attente). Passé ce délai, la commande expire silencieusement sur certains MDM.
  • Sur les Mac avec puce Apple Silicon (M1/M2/M3), le wipe via MDM est fiable et certifié NIST SP 800-88 Rev.1 (Clear). Pour une destruction au niveau Purge, un passage physique chez un recycleur certifié reste requis.
  • Vérifier après wipe que l'appareil est retiré d'ABM et que le numéro de série est dissocié de l'organisation, sinon le prochain utilisateur hérite de l'enrôlement MDM automatique.

Windows — Autopilot et Intune

Sur Windows 11 23H2 géré via Windows Autopilot et Intune, la commande Retire + Wipe depuis le portail Intune déclenche un reset factory. Deux modes existent :

  • Wipe (Full reset) : réinstallation de Windows, toutes les données utilisateur supprimées. Durée : 20 à 45 minutes selon le matériel.
  • Fresh Start : conserve les applications OEM mais supprime les données utilisateur et désenrolle du MDM. À éviter en off-boarding sauf accord spécifique avec le repreneur.

Autopilot Hash : après wipe, si le hash Autopilot n'est pas supprimé du tenant Azure AD, l'appareil se réenrôle automatiquement sur le même tenant. Prévoir une étape de suppression dans Intune (Devices → Windows → Autopilot → Delete device).

Android — MDM et profil professionnel

Sur les appareils Android avec profil professionnel (Android Enterprise Work Profile), le wipe MDM ne supprime que le profil professionnel — les données personnelles du collaborateur sur le profil privé sont préservées. C'est la séparation voulue par le modèle BYOD. Sur les appareils Corporate-Owned Fully Managed (COFW), le wipe est complet. Vérifier le mode d'enrollment avant de déclencher la commande pour éviter une plainte pour atteinte à la sphère privée.

FleetDM et Linux

Les endpoints Linux gérés via FleetDM (osquery) ne disposent pas de commande wipe distante native. La procédure doit inclure un script de destruction locale lancé par SSH ou via un outil de gestion de configuration (Ansible, Salt), suivi d'une réinstallation depuis image PXE. Documenter le hash SHA-256 de l'image utilisée pour la traçabilité.

Retour matériel : procédure physique et traçabilité

Inventaire avant retour

Tout retour d'appareil doit s'accompagner d'un procès-verbal signé par les deux parties : collaborateur sortant et représentant IT. Ce document doit mentionner :

  1. Numéro de série et modèle exact (ex. : MacBook Pro 14" M3, SN : C02XK123ABCD)
  2. État physique (photos horodatées recommandées)
  3. Confirmation de wipe MDM (date, heure, commande exécutée, résultat)
  4. Accessoires rendus (chargeur, câble, dock, casque)
  5. Signature du collaborateur attestant qu'il n'a pas conservé de copie des données professionnelles

Stockage et recyclage

Un appareil wippé en attente de réaffectation doit être stocké dans un local verrouillé, étiqueté avec son statut (« Wipe effectué — prêt pour réaffectation »). Si l'appareil est destiné au recyclage, la destruction physique du disque (HDD : démagnétisation + broyage ; SSD/NVMe : broyage certifié) par un prestataire reconnu est la seule méthode garantissant le niveau Purge selon NIST SP 800-88 Rev.1. Le certificat de destruction doit être archivé.

Archivage des données : what stays, what goes

Tri avant wipe

Avant de déclencher le wipe, le DSI ou le responsable métier doit valider que les données professionnelles du collaborateur ont été récupérées. Les sources typiques :

  • OneDrive / SharePoint : vérifier que le contenu est synchronisé et transféré au gestionnaire de compte
  • Boîte mail : configurer une redirection ou un accès délégué pour 30 à 90 jours selon les accords RH
  • Dépôts Git locaux : pousser toutes les branches non mergées sur le remote avant wipe
  • Données locales hors sync : monter le disque en lecture seule (Target Disk Mode sur Mac, ou démarrage Live USB sur Windows) si le collaborateur a travaillé hors ligne

Archivage conforme nLPD

Les archives doivent être chiffrées (AES-256 minimum), stockées dans un emplacement avec contrôle d'accès strict, et assorties d'une date d'expiration automatique. Un script de purge planifié (cron ou Azure Logic Apps) qui supprime les archives à J+3650 (10 ans) est préférable à une gestion manuelle. Documenter chaque archive dans le registre des traitements.

Comptes cloud et licences

L'off-boarding endpoint ne se limite pas au matériel. Dans les 24 heures suivant le départ :

  1. Désactiver le compte Azure AD / Entra ID (ne pas supprimer immédiatement — la boîte mail et OneDrive restent accessibles aux managers pendant la période de transition)
  2. Révoquer toutes les sessions actives (Conditional Access → Sign-in logs)
  3. Retirer de tous les groupes de sécurité et groupes Teams
  4. Désactiver les tokens MFA et révoquer les refresh tokens (cmdlet PowerShell : Revoke-MgUserSignInSession)
  5. Réaffecter ou libérer la licence Microsoft 365 (coût : CHF 15–35/mois selon plan)
  6. Désactiver les accès VPN (supprimer le certificat EAP-TLS ou révoquer dans le CRL)

Cas pratique : fiduciaire vaudoise, 38 endpoints

Une fiduciaire à Lausanne (38 postes : 28 Windows 11, 8 MacBook, 2 iPad) gère en moyenne 4 départs par an. Avant formalisation, le délai moyen de wipe était de 18 jours. Après un incident en 2023 (données clients d'un dossier fiscal retrouvées sur le PC revendu d'un ex-employé), le DSI a mis en place la procédure suivante :

Déclencheur : notification RH → IT sous 24h

Le contrat de travail prévoit désormais une clause notifiant le département IT 5 jours ouvrables avant le dernier jour. La RH envoie un ticket automatisé dans l'outil ITSM avec : nom, date de départ, liste des équipements assignés (extraite du CMDB).

Procédure step-by-step

  1. J-5 (DSI) : vérification de la synchronisation OneDrive et archivage de la boîte mail (export PST chiffré, stocké 10 ans sur NAS interne)
  2. J-1 (DSI) : envoi de la commande wipe en attente sur Intune (Windows) et MDM (Mac) — la commande s'exécutera à la prochaine connexion réseau
  3. Dernier jour (IT + collaborateur) : retour physique de l'appareil, vérification de l'exécution du wipe dans les logs MDM, signature du PV de retour
  4. J+1 (DSI) : désactivation du compte Entra ID, révocation des sessions, retrait des groupes, libération de la licence M365 (économie : CHF 26/mois)
  5. J+1 (DSI) : suppression du hash Autopilot si l'appareil est destiné au recyclage ; conservation du hash si réaffectation interne
  6. J+5 (DSI) : mise à jour du registre des traitements (date de wipe, méthode, numéro de série, destination de l'appareil)
  7. J+30 (DSI) : désactivation définitive et suppression du compte Entra ID si aucune demande d'accès archive n'a été formulée

Résultat mesuré : délai moyen de wipe ramené de 18 jours à 1 jour ouvrable. Zéro incident de fuite de données depuis la mise en place. Économie annuelle sur les licences non libérées : CHF 312 (4 départs × 3 mois moyens de licence zombie × CHF 26).

Récapitulatif opérationnel

  • Déclencher la procédure à J-5 dès notification RH, pas le dernier jour : le MDM a besoin que l'appareil soit en ligne pour exécuter le wipe.
  • Archiver avant de wiper : OneDrive sync vérifié, export mail chiffré, dépôts Git poussés sur remote.
  • Vérifier le log MDM après wipe : une commande en attente n'est pas un wipe effectué. Contrôler le statut dans la console (Intune : Device compliance → Wipe status).
  • Supprimer le hash Autopilot / retirer de ABM si l'appareil ne reste pas dans l'organisation — sinon il se réenrôle sur votre tenant.
  • Révoquer les tokens cloud dans les 24h : sessions Entra ID, VPN (certificat EAP-TLS ou clé PSK), accès applicatifs (Salesforce, ERP, outils métier).
  • Documenter dans le registre des traitements : date, méthode, numéro de série, destination matériel, responsable — exigence directe de la nLPD.
  • Certificat de destruction pour les appareils recyclés : niveau Purge (broyage SSD) si données sensibles, niveau Clear (wipe MDM) si réaffectation interne.
  • Planifier la purge des archives : date d'expiration automatique à J+3650 pour les archives comptables/RH, J+1825 pour la correspondance courante.
  • Tester la procédure une fois par an sur un départ simulé : vérifier que tous les accès sont effectivement coupés 24h après l'exercice.

Les équipes qui utilisent une plateforme MDM comme SynGuard peuvent automatiser une partie de ces étapes via des workflows de déprovisionnement déclenchés directement depuis l'annuaire RH.

Sources

Noter cet article

Pas encore de note