Introduction
Pendant vingt et un mois, un ancien technicien informatique d'un district scolaire de l'Iowa a mené une série d'attaques ciblées contre son ex-employeur depuis chez lui. Le 11 juin 2026, Ezekiel Dean Potter, 34 ans, a été condamné à vingt et un mois de prison et trois ans de liberté surveillée pour violations du Computer Fraud and Abuse Act. Un cas édifiant, non pas tant pour la sophistication technique des attaques que pour ce qu'il révèle sur une négligence structurelle répandue : l'offboarding informatique.
Un départ sans réelle coupure
Potter avait occupé le poste de technicien support senior au Saydel Community School District, dans la région de Des Moines, de mai 2022 à avril 2023. Une fois son contrat rompu, il aurait dû perdre tout accès aux systèmes de son ancien employeur. Ce n'est pas ce qui s'est passé.
Profitant d'identifiants jamais révoqués, il a entrepris une campagne de sabotage méthodique. La page Facebook du district a été supprimée. L'accès à Apple School Manager — outil central de gestion des appareils et des comptes élèves — a été compromis, entraînant la suppression d'identifiants, de numéros de téléphone et de données de gestion de flotte, avec près d'une semaine de perturbations pédagogiques à la clé. Il a ensuite ciblé la plateforme d'apprentissage Schoology, supprimé le compte d'un administrateur IT et provoqué deux heures d'interruption de classe. Neuf comptes Gmail d'employés — dont ceux du directeur informatique et du proviseur — ont également été effacés. Pour masquer ses connexions, Potter utilisait systématiquement un service VPN.
Au total, les coûts de remédiation pour le district et son assureur se sont élevés à près de 60 000 dollars.
Un USB dans le tiroir de son nouveau poste
La chute de Potter illustre aussi les risques liés aux mauvaises pratiques individuelles de gestion des credentials. C'est un collègue de son employeur suivant qui a mis fin à l'affaire : il a découvert une clé USB contenant des noms d'utilisateur et des mots de passe appartenant à des comptes du district scolaire, et l'a remise aux autorités. L'ancien technicien stockait donc encore des identifiants de son ex-employeur sur un support physique, des mois après avoir quitté son poste.
L'offboarding IT : un processus de sécurité, pas une formalité RH
Ce que cette affaire expose, c'est moins une vulnérabilité technique qu'une défaillance organisationnelle. La révocation des accès lors d'un départ — qu'il soit volontaire ou contraint — est souvent traitée comme une tâche administrative parmi d'autres, reléguée à une checklist RH incomplète.
Pourtant, dans toute organisation où les équipes IT gèrent des accès à de nombreux services — comptes cloud, outils SaaS, annuaires d'entreprise, plateformes métiers —, le risque d'accès résiduels est significatif. Un compte oublié chez un fournisseur SaaS, un token d'API jamais expiré, un accès partagé non nominatif : chacun de ces points peut devenir une porte d'entrée pour un ancien salarié malveillant ou pour un attaquant extérieur qui aurait mis la main sur des identifiants en circulation.
Les bonnes pratiques sont documentées : révocation immédiate et systématique à l'heure du départ, audit des accès accordés sur l'ensemble de la durée du contrat, transfert de propriété des comptes de service, revue périodique des droits actifs pour les comptes dormants. Leur application reste pourtant inégale, particulièrement dans les structures de taille intermédiaire où l'IT fonctionne en mode réactif.
Ce que les organisations doivent retenir
La condamnation de Potter referme un dossier judiciaire. Elle ne résout pas la question structurelle qu'il soulève. Chaque départ d'un collaborateur disposant de droits étendus est une opération à risque si elle n'est pas encadrée par un protocole d'offboarding IT rigoureux. Dans le cas du district scolaire de Saydel, cette absence de protocole a coûté soixante mille dollars, plusieurs semaines de perturbations pédagogiques et a exposé des données personnelles d'élèves et d'enseignants.
Pour les organisations B2B, les enjeux sont souvent plus élevés : données clients, accès aux environnements de production, droits sur les outils financiers ou contractuels. Un offboarding bâclé ne coûte pas seulement cher à réparer. Il coûte aussi cher à expliquer.