Nous contacter
Memority

La gestion des identités et des accès : un levier pour l'indépendance numérique des collectivités territoriales

Les 23 et 24 juin derniers, Memority a participé au CoTer Numérique, le congrès réunissant les décideurs des collectivités territoriales françaises.

Les 23 et 24 juin derniers, Memority a participé au CoTer Numérique, le congrès réunissant les décideurs des collectivités territoriales françaises.

À cette occasion, j'ai pu animer un atelier autour d’une problématique devenue centrale pour les administrations : « La gestion des accès et des identités : un levier pour l’indépendance numérique des collectivités territoriales ».


Quand un seul compte ouvre toutes les portes

377 418 candidats dont les données personnelles ont été dérobées via les identifiants compromis d'un compte gestionnaire. 1,2 million de dossiers du fichier FICOBA accessibles après l'usurpation des identifiants d'un fonctionnaire. Des données de santé consultées illégitimement grâce à l'usurpation de l'identité de professionnels de santé.


Ces incidents n'ont pas grand-chose en commun, si ce n'est leur origine : dans chaque cas, ce n'est pas un système qui a été attaqué de front. C'est une identité qui a été compromise et des droits d'accès insuffisamment maîtrisés qui ont fait le reste.


Pour les collectivités territoriales et les acteurs publics, la question n'est plus de savoir si ce type d'incident peut se produire. Elle est de savoir comment l'empêcher, et comment en limiter l'impact lorsqu'il survient. La réponse passe, de manière croissante, par une maîtrise rigoureuse des identités numériques et des accès. Ce que l'on appelle l'IAM : Identity and Access Management.


Découvrez notre livre blanc : “Gestion des identités numériques dans le service public”.


Au travers de nombreux cas d’usages, ce livre blanc démontre en quoi l’IAM est aujourd’hui un levier stratégique majeur permettant aux institutions, administrations et entreprises d’être plus sécurisées, plus agiles et conformes aux exigences réglementaires.


Télécharger le livre blanc en cliquant ici


Cinq pressions simultanées sur les SI publics

Les directions des systèmes d'information des collectivités n'ont jamais eu à faire face à autant de tensions simultanées.


  • La transformation numérique accélère. Numérisation des services aux citoyens, dématérialisation des démarches administratives, multiplication des agents en mobilité : le SI s'ouvre, se distribue et le périmètre des accès à gérer explose.

  • Les systèmes d'information s'interconnectent. Les échanges entre structures publiques se multiplient, les partenaires extérieurs accèdent aux applicatifs internes, les identités « externes » deviennent aussi critiques que les identités « internes ».

  • La smart city crée de nouvelles surfaces d'exposition. Capteurs, objets connectés, identités non-humaines : les systèmes industriels des collectivités s'hybrident avec le numérique. Chaque nouvelle connexion est un vecteur de risque potentiel.

  • La réglementation se durcit et s'élargit. NIS2, LPM, PSSI-E, règlement sur l'IA : les obligations se multiplient et s'étendent à de nouveaux périmètres.

  • La souveraineté numérique devient une exigence politique. Les données des citoyens et les processus régaliens ne peuvent pas dépendre de juridictions étrangères. Ce n'est plus une option : c'est une exigence posée par l'État et attendue par les élus.

Face à ces cinq pressions, l'IAM s'impose comme la réponse transverse. Non pas parce qu'il résout tout, mais parce qu'il est au cœur de tout : chaque accès, chaque identité, chaque donnée sensible passe par lui.



L'IAM bien au-delà de la cybersécurité


Il est réducteur de positionner l'IAM uniquement comme un outil de sécurité. Il l'est, bien sûr. Mais son périmètre de valeur est bien plus large.


Sur le plan de la cybersécurité, une gouvernance des identités robuste permet de détecter les comptes orphelins, les droits excessifs, les connexions anormales. C'est la première ligne de défense contre les attaques par usurpation d'identité, qui représentent aujourd'hui la voie d'entrée privilégiée dans les organisations publiques.


Sur le plan de l'expérience utilisateur, un IAM bien conçu simplifie la vie des agents : accès unifiés via le SSO, portail libre-service pour les demandes d'habilitation, réduction des tickets au helpdesk. Les agents passent moins de temps à gérer leurs accès et plus de temps à servir les citoyens.


Sur le plan de la transformation, l'IAM est le socle qui permet d'intégrer de nouveaux usages rapidement et en toute sécurité : nouveaux partenaires à raccorder, nouvelles applications à déployer, nouvelles populations d'utilisateurs à intégrer. Sans IAM industrialisé, chaque nouveau projet devient un chantier d'accès à traiter manuellement.


Sur le plan de l'autonomie, l'IAM est ce qui permet à une collectivité de rester maîtresse de ses données et de ses processus, indépendamment des décisions d'éditeurs tiers ou de prestataires externes.


Ces quatre dimensions dessinent un enjeu qui dépasse de loin le seul département sécurité. L'IAM est désormais un projet de direction générale.



Ce que les régulateurs ont déjà décidé pour vous


Les évolutions réglementaires renforcent progressivement les exigences autour de la gestion des identités.


NIS2 impose désormais le MFA sur les accès critiques. Elle exige une notification d'incident sous 24 heures, ce qui est strictement impossible sans une piste d'audit IAM complète et exploitable. Elle inclut la gestion des identités tierces dans le périmètre réglementaire et engage la responsabilité personnelle des dirigeants en cas de manquement. Pour les collectivités concernées, c'est une obligation de résultat.


L'AI Act, moins souvent évoqué dans ce contexte, introduit une exigence de traçabilité des accès pour les systèmes d'IA à haut risque. Autrement dit, les outils d'IA déployés dans les administrations pour l'analyse de dossiers ou la gestion de prestations devront pouvoir justifier qui y accède, dans quel contexte, et avec quelles autorisations. C'est en substance un projet IGA. Le Shadow AI, c'est le nouveau Shadow IT.


La question n'est donc plus « Faut-il investir dans l'IAM ? ». Mais qui va déclencher l'investissement en premier ? Vos attaquants, vos régulateurs ou vous-même ?



La dépendance juridictionnelle : l'angle oublié


Parmi les enjeux de souveraineté numérique, un angle reste insuffisamment adressé dans les collectivités : la juridiction sous laquelle opère votre solution IAM.


L'IAM est par nature le système qui centralise les informations les plus sensibles de votre organisation. Il sait qui accède à quoi, à quel moment, depuis quel poste, avec quels droits. C'est précisément ce qui en fait un levier stratégique. Mais c'est aussi ce qui en fait une cible et un risque, si la solution retenue est soumise à des lois extraterritoriales.


Le Patriot Act, le FISA, le Cloud Act : ces textes permettent à des autorités étrangères d'accéder aux données hébergées ou gérées par des entreprises américaines, sans en informer les propriétaires des données. La question « votre IAM est-il soumis à ces lois ? » ne se pose pas encore assez dans les appels d'offres publics. Elle devrait être systématique.


Maîtriser son IAM, c'est donc aussi maîtriser une dépendance stratégique : s'assurer que les règles d'habilitation de vos systèmes sensibles et les identités de vos agents restent dans un périmètre de confiance que vous définissez vous-même.

Publié par

Alexis de Calan, Directeur du développement

Alexis de Calan

Directeur du Développement

Alexis de Calan est cofondateur de Memority, où il pilote le développement en France et à l'international. Fort de plus de 20 ans d'expérience dans l'IT et la cybersécurité, il dispose d'une expertise reconnue des enjeux IAM et d'une vision stratégique et opérationnelle des transformations de la sécurité numérique dans les grandes organisations.

Articles récents

Presentation visual for the new My Discovery offer by Memority, with the tagline "Govern the invisible" on a teal gradient background.

MY-Discovery : ce que votre IAM ne voit pas

Calendrier

16 juin 2026

Memority lance MY-Discovery, sa nouvelle offre de visibilité étendue des identités et des accès. Quatrième pilier de l'Identity Factory, elle étend la gouvernance des identités et des accès au-delà du périmètre déclaré.

Lire l'article
FlècheFlèche

S3NS qualifié SecNumCloud 3.2 : Memority disponible sur PREMI3NS

Calendrier

13 mai 2026

Grâce à la qualification SecNumCloud 3.2 obtenue par S3NS, Memority renforce son engagement pour proposer des solutions IAM sécurisées, conformes et adaptées aux exigences des organisations publiques et privées françaises.

Lire l'article
FlècheFlèche
Memority : exercice de crise avec CGI

La gestion de crise : une véritable opportunité de sensibilisation

Calendrier

21 avril 2026

Et si la gestion de crise ne concernait pas que les décideurs ? En impliquant l’ensemble des collaborateurs dans une simulation immersive, cet exercice révèle les enjeux réels, développe les bons réflexes et renforce la culture collective face aux situations critiques.

Lire l'article
FlècheFlèche
FlècheVoir tous les articles
FlècheFlèche