.png)
Le projet qui nous challenge le plus, c’est d’obtenir une licence bancaire en France tout en fonctionnant sur une infrastructure 100 % macOS – une première pour une banque de détail. Lydia est aujourd’hui un établissement financier de monnaie électronique, mais nous avons fait le choix ambitieux de viser une licence auprès de la Banque de France, l’un des régulateurs les plus exigeants d’Europe. Nous avons décidé de nous soumettre à la réglementation française, au même niveau que des banques comme BNP ou Société Générale.
Ce choix implique un haut niveau d’exigence en matière de sécurité, de conformité et de gouvernance IT. Ce dont je suis particulièrement fier, c’est de relever ce défi tout en adoptant une infrastructure exclusivement sous macOS. Là où la plupart des banques fonctionnent sous Windows, nous devons adapter l’ensemble de nos outils (antivirus, EDR, DLP, etc.) à un environnement Apple, tout en répondant aux attentes d’un régulateur habitué aux standards Windows.
C’est un défi technique et organisationnel important, d’autant plus que nous partions d’un parc hybride (Chrome OS et macOS), que nous avons entièrement migré vers macOS. Ce projet est à la fois une source de fierté, un vrai challenge, et parfois une frustration, car il nous oblige à trouver des réponses innovantes aux exigences réglementaires qui ne sont pas toujours pensées pour macOS.
Le plus grand défi aujourd’hui pour un responsable des identités, c’est de gérer le shadow IT, c’est-à-dire la présence d’outils non approuvés ou non validés par l’équipe IT, tant sur le plan technique que sur le plan sécurité. Le vrai enjeu, c’est de savoir ce que l’on ignore. On peut se protéger contre des failles connues, comme le font la plupart des banques en utilisant par exemple CrowdStrike sur Windows pour pallier certaines vulnérabilités.
Mais ce qui est réellement problématique, c’est ce que l’on ne voit pas : un outil utilisé sans validation, un compte créé en dehors du cadre officiel, un appareil personnel non maîtrisé… Tout cela échappe au contrôle de l’IT. Et le risque devient critique, notamment lorsqu’un collaborateur quitte l’entreprise sans que l’on sache qu’il a accès à ces outils. Dans une stratégie de sécurité, ce manque de visibilité est l’un des points les plus graves, au même titre que la partie Bring Your Own Device. Un outil non maîtrisé ou un device non maîtrisé, c'est aussi grave.
J’ai longtemps observé ces nouveaux outils avec curiosité, et j’ai aussi vu certaines des plus grandes entreprises rater le virage de l’IA. Même des géants comme Google ou Apple ont pris du retard, et doivent maintenant investir des milliards pour le combler. Ce qui me frappe, c’est qu’en 2025, certains modèles peinent encore à répondre correctement à des questions très simples. Cela montre bien que l’IA, aujourd’hui, n’est pas toujours fiable.
Pour moi, le vrai enjeu, c’est d’apprendre à utiliser ces outils correctement. Savoir écrire un bon prompt, comprendre la nature des données que l’on envoie dans un modèle, savoir si le modèle est adapté, et surtout, garder un regard critique sur les réponses générées. Ce sont des compétences que l’on devrait enseigner dès le collège, et dans toutes les grandes écoles. Le copier-coller aveugle, sans remise en question, est selon moi le plus grand risque.
Un autre risque, c’est l’apparition d’une nouvelle forme de shadow IT. Des collaborateurs pourraient utiliser ChatGPT ou d’autres IA gratuites avec des comptes personnels, parfois pour traiter des informations sensibles comme des processus internes. Voilà ce qui pourrait être problématique. Chez Lydia, nous avons mis en place une politique stricte sur ces usages, ainsi que des solutions de Data Loss Protection pour détecter et encadrer ces pratiques. Pour l’instant, nos contrôles sont non invasifs, centrés sur le reporting, mais nous envisageons de les renforcer si nécessaire.
Je suis arrivé chez Lydia il y a plus de 11 ans, avec des rôles très variés : growth, marketing, support client, lutte contre la fraude… et aujourd’hui Head of IT. Même si je n’étais pas toujours officiellement en charge de l’IT, j’ai toujours eu un œil sur les sujets techniques, que ce soit la gestion des ordinateurs, du réseau ou des imprimantes.
À l’époque, c’était très start-up : chacun venait avec son propre Mac, on accédait à tout de partout, et on pilotait les accès dans un simple Google Sheet, avec des croix pour dire qui avait accès à quoi. En 2017, quand j’ai officiellement repris l’IT, on s’est rendu compte que cela ne suffisait plus. C’est là que j’ai commencé à m’intéresser à la gestion des identités (IAM), même si le terme n’était pas encore vraiment utilisé.
On a pris conscience qu’il fallait avoir une vision claire de nos outils, de qui y accède, quand les accès sont créés ou révoqués, et par qui. Aujourd’hui, on utilise des centaines d’outils, presque tous en SaaS. On ne pouvait donc plus se contenter de gérer cela manuellement. Il nous fallait de la traçabilité, de l’automatisation, et une vraie logique de gouvernance.
Je pense que nous avons été assez en avance sur ce sujet, bien avant que les grandes entreprises ne s’y intéressent vraiment.
Le meilleur conseil que j’ai reçu, je le dois à mon grand-père : « C’est à la fin du bal qu’on paie les musiciens. » Cela s’applique parfaitement à l’IT. Il ne faut pas se contenter de faire comme tout le monde, ni tomber dans le réflexe du yaka-fokon — du genre “il faut prendre Cisco pour le réseau” ou “Jamf pour gérer les Mac” simplement parce que c’est ce que tout le monde utilise.
Chez Lydia, on ne choisit jamais un outil parce que d’autres l’utilisent. Quand une société me présente une slide avec tous ses clients prestigieux, je leur dis tout de suite de passer à la suivante. Ce n’est pas un critère. Ce qui compte, c’est que l’outil réponde à nos besoins.
Il vaut mieux prendre le temps de bien analyser ses cas d’usage et de sélectionner l’outil qui convient, même s’il est moins connu, plutôt que de choisir le leader du marché par défaut. Avoir une Ferrari, c’est impressionnant, mais si vous avez une famille de six personnes et que vous roulez sur des chemins de terre, cela ne sert à rien. Ce qu’il vous faut, c’est un bon break Volvo. L’outil parfait n’est pas forcément le plus cher ni le plus en vue, mais celui qui fait bien ce que vous attendez de lui.
Sebastien travaille chez Lydia depuis 2013 dans différents départements et depuis 2023 en tant que responsable de l'informatique, de l'IAM et de la cybersécurité.
%20(1).png)
.png)
.png)
.png)