Gouvernance & sécurité des systèmes d'information

IAM en académie : ce qu'un échec de marché public a révélé sur la gouvernance des accès

En matière de cybersécurité, les grandes réformes ne naissent presque jamais d'une vision stratégique. Elles naissent d'un incident.

C'est exactement ce que raconte une note que j'ai rédigée le 14 septembre 2017, en tant que DSI-RSSI de l'académie de Versailles. Elle est consacrée à la gestion des identités et des habilitations. Je la publie ici en toute transparence. Elle éclaire un mécanisme que je retrouve constamment dans la gouvernance des systèmes d'information publics. Ce n'est presque jamais l'anticipation qui déclenche l'action, mais la crise.

Un incident RH qui révèle un angle mort

L'origine du dossier tient en une phrase de la note :

« Suite à une enquête judiciaire en 2012 consécutive à l'usage frauduleux d'un S.I. de gestion de ressources humaines de l'académie, il a été clairement identifié notre difficulté à gérer le cycle de vie des droits d'accès aux ressources. »

Deux cas concrets illustrent ce que ce constat recouvrait. Dans le premier, une fonctionnaire avait déposé de faux RIB sur les postes des gestionnaires en charge de deux enseignants. Ces derniers ont ainsi changé eux-mêmes les coordonnées bancaires dans le système de paie. Cette manœuvre a redirigé leurs salaires vers un compte, vidé avant que les deux enseignants ne se manifestent.

Dans le second, une gestionnaire de la formation continue substituait son propre RIB à celui des formateurs au moment du paiement. Elle ne le remettait à jour que si le formateur concerné signalait l'absence de virement.

Ces deux cas ont un point commun. Ils ne révèlent pas d'abord un problème informatique, mais une faille dans le contrôle des pièces justificatives et dans la traçabilité des actions sur les systèmes RH. Ils ont révélé une incapacité à répondre à une question d'une simplicité désarmante : qui a accès à quoi ? Qui a octroyé ces droits, à qui, et quand ?

Un sujet de gouvernance des accès, pourtant identifiable en amont par une analyse de risques sérieuse, reste souvent invisible pour la direction. Il faut un événement concret pour le rendre tangible. Ces fraudes ont servi, en creux, de révélateur. Elles ont donné au DSI un mandat pour agir sur un sujet qui, sans elles, serait resté en arrière-plan.

Une continuité dans les choix de sécurité

Ces deux affaires n'ont pas seulement motivé le chantier de gestion des identités décrit dans la note de 2017. Elles ont aussi orienté directement un choix technique que j'ai porté par la suite. J'ai déployé un bastion WALLIX pour sécuriser les comptes à privilèges des administrateurs de la DSI eux-mêmes. La confiance n'exclut jamais le contrôle. Un compte privilégié doit être justifié, limité dans le temps et intégralement traçable. C'est précisément cette logique qui a guidé l'ensemble de notre stratégie IAM.

Le marché qui échoue, et ce qu'il révèle vraiment

Ma réflexion portait d'abord sur la gouvernance et les processus. Qui devait pouvoir accorder, modifier ou retirer un accès, et selon quelles règles ? Le lancement d'un marché pour un outil IAM (Identity and Access Management) en a découlé. C'était une conséquence de ce travail de fond, pas un réflexe technologique. L'administration le déclarera pourtant sans suite.

Deux raisons l'expliquent, et aucune n'est technique au sens strict. Le périmètre ciblé par le marché était trop large. L'enveloppe budgétaire était fixée à 80 000 euros sur deux ans. Et les logiciels métiers de l'académie, spécifiques, auraient nécessité des développements de connecteurs non anticipés dans le cahier des charges.

Ce n'est donc pas un échec d'exécution : c'est un échec de cadrage. Il révèle une difficulté récurrente dans les projets structurants de la sphère publique.

Vouloir résoudre par l'achat d'un outil un problème qui n'a pas encore été suffisamment défini en amont.
Un IAM n'est jamais un projet logiciel. C'est avant tout un projet de gouvernance.

Le vrai travail commence après l'échec du marché

C'est là que la note prend, à mon sens, tout son intérêt. Plutôt que de relancer immédiatement un marché mieux calibré, le choix a été de revenir aux fondamentaux. Il fallait établir un état des lieux de la gestion des identités et des habilitations. Il fallait aussi rationaliser l'organisation et définir des procédures claires pour gérer les entrées, sorties et mouvements des agents.

Un prestataire a accompagné cette démarche. Nous avons volontairement réduit le périmètre aux systèmes d'information RH, jugés prioritaires au regard des incidents survenus. Le travail a mobilisé de nombreuses divisions du rectorat et des DSDEN concernées. C'est un choix méthodologique qui mérite d'être souligné. Mieux vaut ralentir le projet pour le refonder sur des bases solides, plutôt que de courir après un outil qui aurait fini par échouer de la même manière.

Cinq ans après, un bilan honnête

En 2017, la note dresse un bilan qui n'édulcore rien. Des progrès réels : la formalisation d'un guichet unique de demandes d'accès (CARIINA), initié en 2013, et une meilleure gestion de la mobilité au sein du rectorat.

Mais aussi des manques persistants : des circuits de validation toujours pas formalisés ni respectés, de nombreuses actions manuelles qui retardent chaque rentrée, l'absence d'un référentiel organisationnel complet par métier.

Je crois que cette honnêteté a une valeur en elle-même. Un DSI qui documente ses propres angles morts, cinq ans après avoir lancé un chantier, ne fait pas preuve de faiblesse. Il montre que la gouvernance des accès est un travail de fond, jamais définitivement achevé. Mieux vaut le dire clairement que de prétendre avoir tout résolu.

Le fil qui relie 2012 à 2023

Ce même mécanisme, je l'ai retrouvé des années plus tard sur un tout autre sujet : la paie des AED et des AESH en académie de Normandie. Je l'ai documentée dans un article récent. Là aussi, un incident concret a rendu visible une fragilité organisationnelle : une rupture de paiement en septembre 2023. Cette fragilité existait depuis plusieurs années, sans que personne ne la traite jamais à la racine.

Dans les deux cas, la technologie n'était ni la cause du problème, ni la solution. Elle révélait une organisation, des procédures et une gouvernance qui n'avaient pas suivi le rythme des risques réels. Et dans les deux cas, il a fallu un incident pour que le sujet devienne enfin prioritaire pour la direction.

Cette réflexion sur la gouvernance des identités et des accès continue d'éclairer mes analyses actuelles, notamment lorsqu'il est question d'identités numériques, de services cloud ou de protection des données dans les systèmes d'information publics.

Conclusion

Le véritable enseignement n'est pas qu'un marché IAM ait échoué en 2012.

Il est qu'il a fallu une fraude pour rendre visible un risque qui existait déjà.

Dans les systèmes d'information publics, la meilleure gouvernance est celle qui agit avant que l'incident ne vienne lui donner raison.

Document source : note interne que j'ai rédigée et signée le 14 septembre 2017 en tant que DSI-RSSI de l'académie de Versailles, publiée ici à des fins de transparence et de retour d'expérience.
Jacky Galicher — Consultant, ancien DSI de l'académie de Normandie, ancien DSI-RSSI de l'académie de Versailles

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut