Sécurité et confidentialité sur ESG Extranet : ce qu’il faut savoir en 2026

Les écoles du groupe ESG ont progressivement centralisé la vie administrative de leurs étudiants, enseignants et personnels sur une plateforme extranet accessible depuis le domaine my-esg.fr et ses déclinaisons (ESG Luxe, ESG Executive Education). Le cadre réglementaire européen autour des données et du reporting de durabilité s’est durci entre 2024 et 2026. La question de la sécurité et de la confidentialité sur cet espace numérique mérite un examen concret.

Authentification MFA sur ESG Extranet : ce que le dispositif couvre et ce qu’il ne couvre pas

Depuis plusieurs mois, la page d’accueil de l’extranet ESG invite les utilisateurs à activer le MFA (Multi-Factor Authentication). Le principe repose sur un second facteur de vérification, en plus du mot de passe, lors de la connexion. Une procédure téléchargeable est mise à disposition pour guider étudiants et enseignants dans la configuration.

A lire en complément : Préparation et conception de projet : tout ce qu'il faut savoir pour réussir

Ce mécanisme réduit le risque d’accès frauduleux lié au vol ou à la réutilisation de mots de passe. En revanche, le MFA ne protège pas contre toutes les menaces. Il ne couvre ni l’interception de données en transit si le chiffrement TLS est mal configuré, ni les failles applicatives internes à la plateforme elle-même.

Un point reste flou : la procédure de connexion ne précise pas quel type de second facteur est proposé. Application d’authentification type TOTP, code par SMS, clé physique ? Le niveau de sécurité réel varie considérablement selon le mécanisme retenu. Les codes par SMS, par exemple, sont vulnérables au SIM swapping, une technique documentée depuis plusieurs années.

A découvrir également : Gestion d'entreprise et financière : tout ce qu'il faut savoir pour réussir

Responsable informatique supervisant la sécurité d'un serveur extranet dans une salle de données professionnelle

Données personnelles des étudiants : quelles informations circulent sur la plateforme

Un extranet de gestion scolaire centralise par nature des informations sensibles. Notes, relevés d’absences, documents administratifs, coordonnées personnelles, parfois des pièces d’identité ou des justificatifs de domicile : le volume de données personnelles stockées sur l’espace ESG est loin d’être négligeable.

Pour les utilisateurs, la question de fond porte sur la politique de conservation. Combien de temps ces documents restent-ils accessibles après la fin d’un cursus ? Qui y a accès en interne ? Les informations publiées sur la page de connexion de l’extranet ESG ne mentionnent pas de politique de rétention explicite, ni de lien vers une page de politique de confidentialité détaillée.

Dans le contexte du RGPD, toute plateforme traitant des données d’étudiants doit pouvoir justifier d’une base légale, d’une durée de conservation proportionnée et d’un droit d’accès effectif. Les étudiants qui souhaitent exercer leur droit de suppression ou de portabilité devraient pouvoir le faire depuis l’extranet, ou à défaut via un canal clairement identifié.

Reporting ESG et confidentialité : la pression réglementaire CSRD sur les extranets collaboratifs

Le terme « ESG » renvoie ici à un groupe d’écoles, mais il désigne aussi les critères Environnementaux, Sociaux et de Gouvernance utilisés dans le reporting d’entreprise. Cette double lecture n’est pas anodine : les extranets collaboratifs utilisés pour collecter et centraliser des données de durabilité sont directement concernés par les évolutions réglementaires européennes.

Les normes ESRS (European Sustainability Reporting Standards), applicables dans le cadre de la directive CSRD, imposent depuis les exercices 2025-2026 un format électronique xHTML unique pour les rapports de durabilité. Cette standardisation oblige les entreprises à centraliser et sécuriser les données issues de leurs plateformes collaboratives, extranets compris.

Les ESRS révisées prévoient par ailleurs des possibilités élargies d’omettre certaines informations sensibles lorsque leur divulgation pourrait nuire aux intérêts légitimes de l’entreprise, notamment en matière de secrets d’affaires et de cybersécurité des systèmes d’information. Les extranets sont explicitement visés par cette disposition.

Sanctions et audit obligatoire en France

Les informations ESG font désormais l’objet d’une vérification obligatoire par un commissaire aux comptes ou un organisme indépendant. En France, le défaut de certification peut entraîner une amende pouvant aller jusqu’à 75 000 euros, voire des peines de prison en cas d’obstruction au contrôle. Pour toute plateforme servant de point de collecte de données de durabilité, la traçabilité et l’intégrité des informations deviennent des obligations légales, pas de simples bonnes pratiques.

Gestion des accès et des rôles : le maillon souvent négligé

La sécurité d’un extranet ne se résume pas à la page de connexion. La granularité des droits d’accès détermine qui peut consulter, modifier ou exporter quels documents. Sur une plateforme partagée entre étudiants, enseignants et personnels administratifs, les profils sont hétérogènes.

  • Un enseignant devrait accéder aux notes de ses propres cours, pas à l’ensemble des relevés de l’école.
  • Un étudiant ne devrait voir que ses propres documents, sans possibilité de naviguer vers les dossiers d’autres utilisateurs.
  • Le personnel administratif a besoin d’un accès élargi, mais cet accès doit être journalisé et auditable.

Les retours terrain divergent sur ce point. Certaines plateformes extranet académiques appliquent un cloisonnement strict, d’autres fonctionnent avec des rôles trop larges hérités de configurations initiales jamais révisées. Sans audit régulier des permissions, les droits d’accès s’accumulent et deviennent incohérents avec les fonctions réelles des utilisateurs.

Deux collègues analysant des politiques de confidentialité sur un extranet ESG lors d'une réunion de conformité

Sécurité extranet ESG : les vérifications accessibles à tout utilisateur

Avant même de solliciter le service informatique, chaque utilisateur de l’extranet ESG peut vérifier quelques points concrets lors de sa prochaine connexion.

  • Le cadenas HTTPS est-il présent dans la barre d’adresse, et le certificat est-il émis pour le bon domaine (my-esg.fr ou ses sous-domaines) ?
  • Le MFA est-il activé sur le compte, et le second facteur repose-t-il sur une application d’authentification plutôt que sur un simple SMS ?
  • La session se ferme-t-elle automatiquement après une période d’inactivité, ou reste-t-elle ouverte indéfiniment sur un appareil partagé ?
  • Les documents téléchargés depuis la plateforme contiennent-ils des métadonnées (nom d’auteur, chemin réseau) qui ne devraient pas être exposées ?

Ces vérifications ne remplacent pas un audit technique, mais elles permettent de repérer des failles évidentes. La sécurité d’une plateforme de gestion repose autant sur les habitudes de ses utilisateurs que sur son architecture technique.

Le groupe ESG a posé un premier socle en déployant le MFA et en fournissant une procédure de connexion documentée. Les données disponibles ne permettent pas de conclure sur la robustesse complète du dispositif, notamment sur la politique de conservation des données ou la finesse du cloisonnement des rôles. Pour les étudiants et enseignants qui y déposent chaque semaine des documents personnels et des informations administratives, la vigilance individuelle reste le complément indispensable de toute mesure technique.

Ne manquez rien