IAM : huit ans plus tard, le vrai problème n'est toujours pas la technique
De Monaco à LinkedIn, huit ans de constat inchangéUn post récent de Stéphane Lepingle, Directeur mission IT, a fait le tour de mon fil LinkedIn cette semaine. Son sujet : une revue complète des accès qu'il vient de mener au sein d'un système d'information. Sa conclusion m'a immédiatement parlé : « Une revue des accès n'est pas un exercice informatique. C'est avant tout un exercice de gouvernance. »
Je partage entièrement ce constat. Et pour cause : c'est exactement celui que je posais déjà en 2018, aux Assises de la Sécurité des systèmes d'information à Monaco, dans une interview croisée pour Alliancy Inspiration, en compagnie de Stéphane Nappo, alors RSSI de l'activité internationale de Société Générale, et d'Olivier Morel, directeur général adjoint d'Ilex International. Huit ans plus tard, les technologies ont profondément évolué. Pourtant, le diagnostic reste exactement le même : la difficulté n'est pas technique, elle est avant tout organisationnelle et politique.
Extrait de l'interview donnée en 2018 aux Assises de la Sécurité, Monaco — Alliancy Inspiration #2
2018 : l'ouverture du système d'information de l'Éducation nationale
Le contexte de l'époque : le plan numérique pour l'éducation, porté politiquement sous la présidence de François Hollande, avait pour objectif affiché de réduire le poids du cartable. Les tablettes n'étaient pas distribuées directement par l'État, mais très majoritairement par les collectivités territoriales dans le cadre de ce plan. Derrière cette ambition, une réalité plus complexe : des centaines de milliers de terminaux mis dans les mains des élèves, qui quittent le cadre contrôlé de l'établissement pour entrer dans la sphère familiale. Un vrai sujet de société, disais-je alors — et un vrai sujet d'identité et de sécurité.
Un frein d'abord culturel
Le premier obstacle à la gestion des identités et des accès dans l'Éducation nationale n'est pas technique. Il est culturel, et il se joue à plusieurs niveaux :
- La sécurité elle-même est souvent perçue, dans ce milieu, comme une atteinte à la liberté plutôt que comme une protection ;
- Les enseignants, culturellement méfiants vis-à-vis du contrôle et des institutions, ne sont pas naturellement enclins au partage : la classe reste, dans l'imaginaire collectif, un huis clos ;
- Cette ouverture est pourtant devenue indispensable, ce qui impose d'éduquer les élèves eux-mêmes — souvent plus à l'aise avec les usages numériques que le cadre institutionnel qui les entoure.
« Comme on promeut le numérique à l'éducation, on omet de parler des dangers du numérique. Et je pense que l'éducation est la première concernée sur les dangers du numérique — c'est la première chose à faire. »
Le vrai sujet : qui a accès à quoi, à quelle échelle
Poser la question de l'identité proprement — savoir qui accède à son système d'information — n'est pas qu'un enjeu de principe. C'est une question d'échelle. À l'Académie de Versailles, cela représentait à l'époque près de 1,2 million d'identités numériques à administrer. Identifier l'élève, savoir qui a accès à quelles informations le concernant : c'est un vrai sujet dès qu'on raisonne à cette taille.
La vraie complexité : une gouvernance éclatée entre acteurs
Mais l'obstacle le plus structurant reste celui-ci : la loi de refondation pour l'école a transféré la maîtrise des infrastructures aux collectivités territoriales. Un DSI ou un RSSI académique ne dispose donc pas de la main sur l'ensemble de la chaîne. À Versailles, cela signifiait travailler avec le Conseil régional d'Île-de-France, quatre départements (Val-d'Oise, Essonne, Yvelines, Hauts-de-Seine), et 1 250 communes ayant chacune en charge une partie des infrastructures.
« Comment maîtriser effectivement l'information quand on n'a pas la maîtrise des infrastructures ? On doit travailler en intelligence collective avec les collectivités territoriales — on le fait plutôt bien, mais ce sont des complexités réelles : des budgets différents, des rythmes différents. »
Cette dispersion n'est pas qu'organisationnelle, elle est aussi profondément inégalitaire. Entre une petite commune rurale et une ville comme Neuilly-sur-Seine, les budgets et les problématiques n'ont rien de comparable. D'où cette conclusion, qui résume tout : il ne suffit pas de coordonner des acteurs locaux aux moyens hétérogènes, il faut définir une politique de sécurité nationale pour l'Éducation nationale, qui ne dépende pas des ressources de chaque territoire.
Ce que j'ai vécu ensuite
J'ai engagé ce chantier de gouvernance IAM à l'Académie de Versailles. Les outils existaient. Les méthodes aussi. Ce qui a manqué n'était ni technologique ni budgétaire : c'était un portage stratégique suffisamment fort pour inscrire la gouvernance des accès dans la durée. C'est exactement le point que soulève Stéphane Lepingle dans son post : une revue des accès, pour produire ses effets, doit être portée politiquement. Sans arbitrage au plus haut niveau, sans validation managériale assumée dans le temps, le sujet reste un exercice d'extraction de données sans suite — un rapport que personne ne fait vivre.
Huit ans après, le même constat — mais plus critique encore
Ce qui me frappe, en relisant cette interview de 2018, c'est sa permanence. Les outils ont changé — on est passé des partages de fichiers aux environnements collaboratifs Microsoft 365, Teams, SharePoint — mais le diagnostic reste identique : la gestion des identités et des accès est d'abord un sujet de gouvernance, de portage politique et d'arbitrage organisationnel. La technique, elle, suit — elle ne précède jamais.
Et le sujet ne s'est pas simplifié depuis. Il s'est même considérablement densifié, avec :
- la généralisation de Microsoft 365 et de ses multiples couches d'accès (Teams, SharePoint, groupes, boîtes partagées) ;
- l'arrivée des IA génératives, qui multiplient les points d'accès aux données et posent de nouvelles questions d'habilitation ;
- les comptes invités et les accès B2B, qui étendent le périmètre du système d'information à des tiers externes ;
- les identités hybrides, entre annuaires internes et fédérations cloud ;
- les accès temporaires, souvent créés dans l'urgence d'un projet et jamais désactivés ;
- et les exigences de la directive NIS2, qui imposent désormais une traçabilité et une gouvernance des accès formalisées.
Autant de raisons pour lesquelles le constat de 2018 s'applique aujourd'hui avec une acuité plus forte encore.
C'est cette conviction, née sur le terrain et vérifiée dans plusieurs organisations, qui structure aujourd'hui mon accompagnement des DSI sur ces sujets.
Une identité numérique mal gouvernée n'est jamais un problème informatique. C'est toujours un problème de gouvernance qui finit par produire des conséquences techniques, organisationnelles ou juridiques.
Échangeons — un premier appel de 30 minutes suffit souvent à identifier ce qui bloque.
