IAM : huit ans plus tard, le vrai problème n'est toujours pas la technique

De Monaco à LinkedIn, huit ans de constat inchangé
Jacky Galicher · Consultant, ancien DSI de l'académie de Normandie

Un post récent de Stéphane Lepingle, Directeur mission IT, a fait le tour de mon fil LinkedIn cette semaine. Son sujet : une revue complète des accès qu'il vient de mener au sein d'un système d'information. Sa conclusion m'a immédiatement parlé : « Une revue des accès n'est pas un exercice informatique. C'est avant tout un exercice de gouvernance. »

Je partage entièrement ce constat. Et pour cause : c'est exactement celui que je posais déjà en 2018, aux Assises de la Sécurité des systèmes d'information à Monaco, dans une interview croisée pour Alliancy Inspiration, en compagnie de Stéphane Nappo, alors RSSI de l'activité internationale de Société Générale, et d'Olivier Morel, directeur général adjoint d'Ilex International. Huit ans plus tard, les technologies ont profondément évolué. Pourtant, le diagnostic reste exactement le même : la difficulté n'est pas technique, elle est avant tout organisationnelle et politique.

Extrait de l'interview donnée en 2018 aux Assises de la Sécurité, Monaco — Alliancy Inspiration #2

2018 : l'ouverture du système d'information de l'Éducation nationale

Le contexte de l'époque : le plan numérique pour l'éducation, porté politiquement sous la présidence de François Hollande, avait pour objectif affiché de réduire le poids du cartable. Les tablettes n'étaient pas distribuées directement par l'État, mais très majoritairement par les collectivités territoriales dans le cadre de ce plan. Derrière cette ambition, une réalité plus complexe : des centaines de milliers de terminaux mis dans les mains des élèves, qui quittent le cadre contrôlé de l'établissement pour entrer dans la sphère familiale. Un vrai sujet de société, disais-je alors — et un vrai sujet d'identité et de sécurité.

Un frein d'abord culturel

Le premier obstacle à la gestion des identités et des accès dans l'Éducation nationale n'est pas technique. Il est culturel, et il se joue à plusieurs niveaux :

  • La sécurité elle-même est souvent perçue, dans ce milieu, comme une atteinte à la liberté plutôt que comme une protection ;
  • Les enseignants, culturellement méfiants vis-à-vis du contrôle et des institutions, ne sont pas naturellement enclins au partage : la classe reste, dans l'imaginaire collectif, un huis clos ;
  • Cette ouverture est pourtant devenue indispensable, ce qui impose d'éduquer les élèves eux-mêmes — souvent plus à l'aise avec les usages numériques que le cadre institutionnel qui les entoure.
« Comme on promeut le numérique à l'éducation, on omet de parler des dangers du numérique. Et je pense que l'éducation est la première concernée sur les dangers du numérique — c'est la première chose à faire. »

Le vrai sujet : qui a accès à quoi, à quelle échelle

Poser la question de l'identité proprement — savoir qui accède à son système d'information — n'est pas qu'un enjeu de principe. C'est une question d'échelle. À l'Académie de Versailles, cela représentait à l'époque près de 1,2 million d'identités numériques à administrer. Identifier l'élève, savoir qui a accès à quelles informations le concernant : c'est un vrai sujet dès qu'on raisonne à cette taille.

Le chiffre : près de 1,2 million d'identités numériques à administrer à l'Académie de Versailles. À cette échelle, la question des identités et du filtrage ne peut plus être traitée en marge du système d'information — elle en devient une composante centrale.

La vraie complexité : une gouvernance éclatée entre acteurs

Mais l'obstacle le plus structurant reste celui-ci : la loi de refondation pour l'école a transféré la maîtrise des infrastructures aux collectivités territoriales. Un DSI ou un RSSI académique ne dispose donc pas de la main sur l'ensemble de la chaîne. À Versailles, cela signifiait travailler avec le Conseil régional d'Île-de-France, quatre départements (Val-d'Oise, Essonne, Yvelines, Hauts-de-Seine), et 1 250 communes ayant chacune en charge une partie des infrastructures.

« Comment maîtriser effectivement l'information quand on n'a pas la maîtrise des infrastructures ? On doit travailler en intelligence collective avec les collectivités territoriales — on le fait plutôt bien, mais ce sont des complexités réelles : des budgets différents, des rythmes différents. »

Cette dispersion n'est pas qu'organisationnelle, elle est aussi profondément inégalitaire. Entre une petite commune rurale et une ville comme Neuilly-sur-Seine, les budgets et les problématiques n'ont rien de comparable. D'où cette conclusion, qui résume tout : il ne suffit pas de coordonner des acteurs locaux aux moyens hétérogènes, il faut définir une politique de sécurité nationale pour l'Éducation nationale, qui ne dépende pas des ressources de chaque territoire.

Ce que j'ai vécu ensuite

J'ai engagé ce chantier de gouvernance IAM à l'Académie de Versailles. Les outils existaient. Les méthodes aussi. Ce qui a manqué n'était ni technologique ni budgétaire : c'était un portage stratégique suffisamment fort pour inscrire la gouvernance des accès dans la durée. C'est exactement le point que soulève Stéphane Lepingle dans son post : une revue des accès, pour produire ses effets, doit être portée politiquement. Sans arbitrage au plus haut niveau, sans validation managériale assumée dans le temps, le sujet reste un exercice d'extraction de données sans suite — un rapport que personne ne fait vivre.

Huit ans après, le même constat — mais plus critique encore

Ce qui me frappe, en relisant cette interview de 2018, c'est sa permanence. Les outils ont changé — on est passé des partages de fichiers aux environnements collaboratifs Microsoft 365, Teams, SharePoint — mais le diagnostic reste identique : la gestion des identités et des accès est d'abord un sujet de gouvernance, de portage politique et d'arbitrage organisationnel. La technique, elle, suit — elle ne précède jamais.

Et le sujet ne s'est pas simplifié depuis. Il s'est même considérablement densifié, avec :

  • la généralisation de Microsoft 365 et de ses multiples couches d'accès (Teams, SharePoint, groupes, boîtes partagées) ;
  • l'arrivée des IA génératives, qui multiplient les points d'accès aux données et posent de nouvelles questions d'habilitation ;
  • les comptes invités et les accès B2B, qui étendent le périmètre du système d'information à des tiers externes ;
  • les identités hybrides, entre annuaires internes et fédérations cloud ;
  • les accès temporaires, souvent créés dans l'urgence d'un projet et jamais désactivés ;
  • et les exigences de la directive NIS2, qui imposent désormais une traçabilité et une gouvernance des accès formalisées.

Autant de raisons pour lesquelles le constat de 2018 s'applique aujourd'hui avec une acuité plus forte encore.

C'est cette conviction, née sur le terrain et vérifiée dans plusieurs organisations, qui structure aujourd'hui mon accompagnement des DSI sur ces sujets.

Une identité numérique mal gouvernée n'est jamais un problème informatique. C'est toujours un problème de gouvernance qui finit par produire des conséquences techniques, organisationnelles ou juridiques.

Vous engagez une revue de gouvernance IAM et vous cherchez un regard extérieur, neutre et opérationnel ?
Échangeons — un premier appel de 30 minutes suffit souvent à identifier ce qui bloque.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut