La connexion aux plateformes Berger-Levrault (BL.Citoyens, Magnus, WeSedit RH) reste un point de friction sous-estimé dans les directions RH et SI des collectivités. En 2026, le durcissement des exigences de cybersécurité et la structuration de la gouvernance des données chez l’éditeur changent concrètement les pratiques de gestion des accès au SIRH.
Authentification SIRH et programme CaRE : ce qui change pour les connexions Berger-Levrault
L’Agence du Numérique en Santé (ANS) pilote le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), qui impose aux établissements publics et de santé des mécanismes d’authentification indépendants et durcis pour accéder aux infrastructures de sauvegarde. L’audit formel du niveau de sécurité des annuaires Active Directory est requis en fin de phase opérationnelle.
A voir aussi : Notre regard sur la solution SIRH permettant une meilleure gestion RH en 2026
Pour les collectivités et établissements sanitaires équipés en solutions Berger-Levrault, la conséquence directe est claire : un simple couple identifiant/mot de passe partagé entre services ne suffit plus. Nous recommandons de traiter la connexion au SIRH comme un périmètre à part entière dans le plan de sécurisation, et non comme un sous-ensemble de l’annuaire bureautique.
Concrètement, cela signifie séparer les comptes de service applicatifs des comptes nominatifs agents, et activer systématiquement le MFA lorsque la solution le permet. Sur les modules WeSedit RH et Magnus, la gestion des habilitations doit être revue à chaque mouvement de personnel, pas uniquement lors des campagnes annuelles de paie.
Lire également : Zimbra mercure : connexion sécurisée et règles à respecter en 2026
Gouvernance des données et gestion des habilitations sur les outils Berger-Levrault
Berger-Levrault a créé un poste de Data Governance Manager chargé de structurer, déployer et piloter la gouvernance Data du groupe, y compris les dispositifs opérationnels de gestion des accès et de qualité des données. Ce signal est à prendre au sérieux par les responsables SI clients.
La montée en puissance de cette fonction impacte les pratiques de connexion de deux manières. D’abord, la traçabilité des accès aux dossiers agents (données de paie, formations, indicateurs RH) devient un livrable attendu lors des audits internes. Ensuite, la cartographie des flux entre outils, par exemple entre le module de gestion des collectivités et le portail de services aux agents, doit être documentée formellement.
Cartographier les flux de données entre modules
Nous observons que la plupart des collectivités connectées aux solutions Berger-Levrault n’ont pas de cartographie à jour des échanges entre modules. Un agent RH accède à WeSedit RH pour la paie, à un portail de formation pour le plan de développement des compétences, et parfois à un module tiers pour la gestion du temps de travail.
Chaque point de connexion est un vecteur de risque si les habilitations ne sont pas synchronisées. La bonne pratique consiste à maintenir un registre centralisé des comptes actifs par module, avec une revue trimestrielle minimum. Ce registre sert aussi de base pour répondre aux demandes d’accès RGPD des agents sur leurs dossiers.
- Lister tous les modules Berger-Levrault utilisés (paie, ressources humaines, gestion des collectivités, portail agent) et leurs administrateurs fonctionnels respectifs
- Identifier les comptes partagés ou génériques encore actifs et planifier leur suppression ou leur remplacement par des comptes nominatifs
- Documenter les droits d’accès par profil métier (gestionnaire paie, responsable formation, directeur RH) et les valider avec le DPO
Formation des équipes RH à la connexion sécurisée : un levier sous-exploité
La majorité des incidents de connexion sur les solutions Berger-Levrault que nous rencontrons en collectivité ne sont pas techniques. Ils viennent d’un défaut de formation des utilisateurs finaux : mot de passe noté sur un post-it, session partagée entre collègues, oubli de déconnexion sur un poste en libre-service.
Former les gestionnaires RH à la connexion sécurisée réduit la charge du support SI de façon mesurable. Un plan de formation ciblé ne demande pas un budget conséquent, mais il suppose d’intégrer le sujet dans le parcours d’accueil de tout nouvel agent ayant accès au SIRH.
Points à couvrir dans la formation connexion SIRH
Le contenu ne doit pas se limiter à « comment se connecter ». Il doit traiter les réflexes de sécurité opérationnelle adaptés au contexte Berger-Levrault :
- Procédure de réinitialisation autonome du mot de passe sans solliciter le service informatique
- Reconnaissance des tentatives de phishing ciblant les portails de gestion RH et de paie
- Signalement immédiat d’un comportement anormal après connexion (données modifiées, accès à des dossiers hors périmètre)
- Règles de déconnexion systématique en fin de session, notamment sur les postes partagés dans les services de collectivités
Indicateurs de suivi pour piloter la sécurité des connexions SIRH
Mettre en place des bonnes pratiques sans indicateurs de suivi revient à naviguer sans tableau de bord. Nous recommandons aux responsables SI de suivre au minimum trois métriques liées à la connexion Berger-Levrault.
Le taux de comptes inactifs depuis plus de 90 jours est le premier signal d’alerte. Un compte dormant associé à un agent muté ou parti représente une faille exploitable. Le deuxième indicateur est le nombre de réinitialisations de mot de passe par mois, qui reflète la maturité des utilisateurs. Le troisième est le délai moyen de désactivation d’un compte après départ d’un agent, qui doit idéalement rester inférieur à une semaine.
Ces indicateurs se construisent à partir des journaux d’accès disponibles dans les solutions Berger-Levrault et dans l’annuaire Active Directory. Leur croisement avec les données du dossier agent (date de fin de contrat, changement d’affectation) automatise une partie du travail de revue.
La sécurisation de la connexion Berger-Levrault n’est pas un projet ponctuel. C’est un processus récurrent, aligné sur les mouvements de personnel et les évolutions réglementaires. Les collectivités et établissements qui intègrent ces pratiques dans leur cycle de gestion RH courant, plutôt que dans un plan cybersécurité isolé, gagnent en fiabilité sur l’ensemble de leur chaîne de données.
