L’ESSEC Business School, créée en 1907, regroupe trois campus à Cergy, La Défense et Singapour. Elle accueille près de 10 000 étudiants et voit son avenir dans sa capacité à leur fournir des services variés, tout au long de leur vie. Catherine Croiziers de Lacvivier explique comment la transformation de l’école est profondément liée au sujet de la sécurité numérique en prenant l’exemple de son projet d’Identity Access Management mené avec le cabinet de conseil Synetis.

Quel est le lien entre un projet d’IAM* et la transformation globale d’une institution comme l’ESSEC Business School ?

L’IAM est un pilier et un outil clé pour monter en puissance dans notre stratégie digitale. Celle-ci s’appuie sur une vision plus harmonieuse du système d’information de l’ESSEC Business School, qui doit nous permettre de proposer des services plus facilement aux étudiants, mais aussi aux alumnis  (les anciens élèves, ndlr) et au personnel. C’est une vision étendue du rôle de l’école, qui ne peut se faire sans avoir une vraie maîtrise et un haut niveau de sécurité sur les informations et les services concernés. Ceux-ci doivent favoriser les rencontres, les échanges… alors qu’en parallèle notre périmètre augmente. Géographiquement d’abord, car après avoir ouvert le campus de Singapour, nous prévoyons les installations au Maroc et sur l’Île Maurice, mais aussi en termes d’usages : nouvelles formes d’enseignement à distance, meilleures prises en compte des outils utilisés par les étudiants…

En quoi cette vision implique-t-elle une transformation au niveau de la DSI ?

Mon parcours m’a permis de cumuler de nombreuses expériences dans des secteurs très différents et d’apporter un regard neuf lorsque j’ai rejoint l’école, il y a un peu plus de 3 ans. Parmi les approches que j’ai rapidement mises en place : la transformation en mode agile des équipes, qui représentent une quarantaine de personnes en incluant les prestataires permanents. Le but a été d’insuffler plus largement un changement de culture pour permettre à l’intelligence collective de vraiment profiter à tous les projets. Réunions debout, partage d’informations permanent, coopération proactive plutôt que simple collaboration à la demande… Ces évolutions sont nécessaires pour mieux composer avec la complexité actuelle d’un système d’information. C’est ce qui permet à la DSI de vivre au rythme des transformations de toute l’école.

L’IAM vient s’intégrer naturellement au sein de ces nouveaux usages ?

Le nombre d’annuaires différents et le cumul de listings sont le résultat naturel de la croissance très forte que connait l’ESSEC ces dernières années. Cela aurait été difficile à rationaliser sans cette couche IAM fournit par RSA que nous a aidés à mettre en place le cabinet de conseil Synetis.
A terme, notre objectif est d’incarner une entreprise neuronale, qui aura été capable d’aplatir sa hiérarchie et d’avoir développé un fonctionnement transverse efficace. En plus d’être particulièrement important d’un point de vue sécurité, un projet tel que celui que nous avons mené fluidifie fortement le système d’information, qui doit se calquer sur cette vision d’entreprise. En effet, il est inutile de se projeter sur ces nouveaux usages – que ce soient ceux des étudiants ou en interne, si un utilisateur doit multiplier les démarches et se confronter au caractère monolithique du système d’information, dès qu’il essaye d’interagir avec l’école. A ce titre, l’IAM n’est pas qu’un sujet sécurité, c’est bien un accélérateur pour notre transformation.

Est-il vraiment facile de faire percevoir un projet qui a une étiquette « sécurité » comme un accélérateur ?

Notre directeur général, Jean-Michel Blanquer, a une très forte appétence pour appliquer la philosophie de la stratégie digitale aux réalités opérationnelles de notre structure. Cela aide à réconcilier la vision globale de l’organisation avec un projet qui pourrait sinon être perçu uniquement comme technique par d’autres services. De la même façon, la collaboration avec Patrick Blum, le responsable de la sécurité du système d’information (RSSI) et correspondant informatique et liberté (CIL) de l’ESSEC Business School, a permis à la dimension sécurité et vie privée d’être intégrée dès l’origine – contrairement à ce que l’on reproche à beaucoup de projets digitaux.

Au sein de l’ESSEC, le RSSI est sous votre responsabilité : est-ce sa place naturelle face à ces enjeux de transformation ?

De manière générale, il y a une attention particulière à porter sur les relations entre le DSI et le RSSI et d’autant plus si le second est rattaché au premier dans l’organigramme. Le DSI a alors le devoir de l’accompagner, de favoriser son autonomie et surtout de ne pas faire de mélange des genres ! En effet, on ne peut pas ignorer que le regard du DSI va favoriser au maximum l’ouverture du système pour innover. Il faut pourtant savoir garder une intransigeance totale sur les « trésors » qui ne doivent pas être compromis. Les DSI doivent donc se former en permanence pour trouve le bon équilibre entre innovation, user experience, et sécurité, sans devenir complètement schizophrène.

Que considérez-vous comme un trésor ?

Notre référentiel de données par exemple. Nous fournissons à nos étudiants une adresse e-mail à vie par exemple ; ce qui permet à nos 47 000 alumnis de par le monde, de rester très investis dans la communauté ESSEC. Si nous mettons en place des services pour favoriser ces interactions sur le long terme, même au-delà du cadre des études, notre responsabilité vis-à-vis de l’accès aux données, des données personnelles, des identités, est donc extrêmement importante. C’est une pierre angulaire pour le futur digital de l’ESSEC.

En parallèle, nous réfléchissons donc à l’évolution de notre gouvernance sécurité pour mieux prendre en compte toutes formes de risques. C’est la continuation logique de notre vision stratégique : la sécurité ne peut pas être qu’une question de système d’information. Elle doit associer intelligemment la sécurité physique, les services généraux, les enjeux de communications externe et interne et toute la vie quotidienne de l’organisation.

*La gestion des identités et des accès permet d’administrer  les droits des utilisateurs qui interagissent avec le système d’information, pour maîtriser qui a accès à quelle information et service à travers le temps.

Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête ! Découvrez dans notre dernier guide le portrait-robot de cet acteur incontournable de la transformation numérique. > Je télécharge