L'Education nationale élargit sa gestion des identités

31/03/2006 à 07h00

Le ministère de l'Education s'est lancé dans un vaste chantier de gestion des identités qui touche déjà trente mille personnes, dans un projet qui en englobera 1,2 million. Les élèves et leurs parents pourraient également être inclus.

Alexandre Guyot, chef de projet de la gestion des identités au ministère de l'Education nationale

Alexandre Guyot affiche une double casquette. Il est à la fois RSSI de l'académie d'Orléans-Tours et chef de projet pour la gestion des identités au sein de son ministère de tutelle, l'Education nationale, pour le bureau des études techniques et des plans d'informatisation. Après ses études, il a intégré Compaq Telecom (racheté depuis par HP) en tant que développeur.

Il a, notamment, participé au développement de HP OpenView Service Quality Manager et au portage d'un module opérationnel de TeMIP (outil d'administration et de gestion des réseaux télécoms développé en C++ sous Compaq Tru64) en J2EE-Corba. En intégrant le service informatique de l'académie d'Orléans-Tours, il a pu relier ses trois axes de prédilection : les systèmes, les réseaux et le développement.

En sus de la gestion des identités, Alexandre Guyot a assuré le pilotage de la mise en place d'un outil de SSO Web. Il travaille sur les études liées aux problématiques de fédération des identités, prolongement naturel de la gestion des identités.

Le dossier fourni par l'Education nationale s'est révélé complet, structuré et mettant parfaitement en lumière la démarche globale opérée. L'approche de la gestion d'identités, forcément transversale, a imposé une réflexion sur des éléments techniques et organisationnels, à laquelle s'est ajoutée la sensibilisation des utilisateurs. Ce projet fédérateur englobe les infrastructures, les développements et l'exploitation. Masquer la complexité du système d'information à l'utilisateur, tout en élevant le niveau général de sécurité, a été l'un des objectifs affichés.Le but est de gérer 1,2 million de personnes, trente mille d'entre elles étant aujourd'hui prises en compte. La méthodologie utilisée pour l'évaluation des solutions techniques a bien été détaillée. Pour chaque solution, avantages et inconvénients ont été explicités. La solution doit s'appuyer sur des standards ouverts et interopérables, et pouvoir tourner sous Linux (RHAS). Le ministère est d'abord parti sur des outils open source et des développements internes pour revenir, au terme de l'analyse, à la solution commerciale RSA ClearTrust, de RSA Security.

Une pluralité de profils

La problématique s'est trouvée liée au référentiel de sécurité, à la notion de rôles ainsi qu'à la démultiplication des accès. Un point épineux tient dans la difficulté de gestion des habilitations, du fait de la délégation de rôles au sein d'établissements autonomes dans leur organisation. Par exemple, il n'est pas possible de savoir à l'avance les pouvoirs donnés par un chef d'établissement à un collaborateur sur une ressource donnée. Pour l'Education nationale, une habilitation se traduit par un droit d'accès à une URL ou un ensemble d'URL identifié par un nom fonctionnel. Les droits d'accès sont principalement donnés selon l'authentification, les valeurs d'attributs dans l'annuaire, ou l'appartenance à des groupes.Dans ce projet, il a fallu tenir compte d'une pluralité de profils avec leur mise à plat pour aboutir à la définition de moins de vingt profils macroscopiques. Chaque utilisateur accède à six ou sept applications et peut avoir plusieurs rôles. Il peut, par exemple, être à la fois le professeur de mathématiques d'une classe et son professeur principal. La suite logique de cette gestion se traduit aujourd'hui par la fédération des identités.

Olivier Ménager