La Cybersécurité, le suivi et la sécurisation des biens et des personnes sont des enjeux majeurs de l’achat public en 2022. Nous reprenons ci-dessous l’excellent article de M. Sébastien TAUPIAC, Directeur du développement / Verso Healthcare, publié sur Weka.
Bernard RUBINSTEIN
_____________________________________
Tout comme les entreprises du secteur privé, la sphère publique s’est engagée dans une transformation numérique indispensable. Celle-ci a d’ailleurs été fortement accélérée par la crise sanitaire toujours en cours.
Ainsi toutes les structures publiques (hôpitaux, écoles, mairies, ministères, …), dans la recherche constante d’une gestion plus efficiente et résiliente, ont numérisé leurs services, digitalisé les accès, déployé des solutions connectés ou encore mis en place des systèmes d’information et infrastructures conséquentes… Une digitalisation qui ne rime malheureusement pas toujours avec sécurisation. Cette transformation offre ainsi aux hackers et criminels informatiques des opportunités croissantes de démontrer leurs talents mais surtout de s’enrichir via la demande de rançons ou encore le vol de données sensibles et/ou personnelles. La proximité de l’élection présidentielle devrait sans nul doute exacerber leur motivation à des fins notamment de déstabilisation.
Si le secteur de la santé est souvent, par la médiatisation des nombreuses cyberattaques, considéré comme fortement exposé ; aucun service public n’échappe à la nécessité de prévenir ce risque et de lutter contre ses conséquences.
« Un dossier médical se négocie ainsi désormais entre 50 et 250 euros sur le darknet ».
Quels sont les impacts directs et indirects sur l’achat public ?
Lorsque l’on associe cybersécurité et achat public, on pense souvent aux enjeux liés au choix d’un prestataire de cybersécurité. Si cet angle est important (WEKA l’ayant d’ailleurs abordé dans le cadre d’un article dédié au secteur de la santé), il ne doit pas faire oublier deux autres angles essentiels que sont :
- L’intégration de la cybersécurité sur l’ensemble de ses procédures d’achat qu’elles soient de gré à gré ou formalisées ou qu’elles portent sur des marchés de fourniture, de service ou de travaux,
- La cyber sécurisation des procédures d’achat considérant que les données liées internes ou externes, exploitées à l’occasion de leur réalisation, présentent un caractère personnel et/ou sensible et donc intéressent des acteurs malintentionnés.
Ces deux aspects sont précisés ci-après.
L’intégration des enjeux liés à la cybersécurité sur l’ensemble du processus achat
Par expérience, et dans un contexte de digitalisation croissante, de très nombreux marchés publics de fournitures, de services et de travaux sont concernés. À minima sous l’angle réglementaire lié aux données personnelles et au RGPD mais aussi sous l’angle cybersécurité. Plusieurs exemples peuvent être cités :
- Acquisition d’équipements médicaux connectés au système d’information de l’hôpital ;
- Gestion de parcs de lits médicaux intégrant des lits connectés par exemple en Ehpad ;
- Acquisition d’équipements techniques intégrant une télémaintenance en collectivité ;
- Prestations de service de télésurveillance au sein d’un ministère ;
- Gestion de flotte automobile intégrant des fonctionnalités d’interactions avec les véhicules ;
- Construction d’un bâtiment public intégrant de la domotique.
Autant d’exemples qui témoignent d’une quasi-systématisation de cet enjeu sur le portfolio achat des acteurs publics.
L’ensemble du processus achat est concerné : définition du besoin, sourcing des entreprises, dossiers de consultation des entreprises (clauses techniques, clauses administratives, critères de choix, …), exécution du contrat (upgrades, avenants, …). Si les procédures formalisées sont naturellement pensées pour intégrer ce type d’exigences et clauses, de nombreuses questions commencent à se poser sur les marchés passés sous formalisme simplifié ou sans formalisme sous les seuils. En effet, le manque de contractualisation détaillée ou encore d’analyse potentielle des solutions ne permettent pas toujours d’encadrer la passation et l’exécution des marchés concernés créant un vide juridique alors souvent préjudiciable à l’acheteur.
Le recours à des centrales d’achat ou la passation de procédures formalisées semblent être ainsi à privilégier dans le cadre d’opérations d’achat intégrant des enjeux importants de sécurité numérique ou de cybersécurité.
La cybersécurisation des procédures d’achat
Si la dématérialisation des procédures de marché publics s’est imposée, non sans mal, dans notre paysage de l’achat public, la digitalisation de ces processus a inévitablement engendré les risques associés. En effet, si les acheteurs peuvent à juste titre faire confiance aux profils acheteurs disponibles sur le marché, de nombreuses zones d’ombres subsistent en amont de la publication et en aval de la contractualisation. Si les données publiées par l’acheteur ont un caractère public, il est indispensable de préserver la liberté d’accès, le transparence et surtout l’égalité de traitement. Les risques sont par exemple les suivants :
- Accès à des éléments audio ou écrits en phase de sourcing ;
- Accès au dossier de consultation avant sa publication ;
- Accès aux réponses des candidats une fois décryptées.
Autant de situations potentielles liées à des défauts de sécurisation des accès et des données au sein de l’établissement public sans oublier la crise qui a conduit de nombreux acheteurs à réaliser via des clés USB, disques durs externes ou pire encore des transferts via certaines plateformes, des analyses d’offres à leur domicile via un environnement informatique non sécurisé.
On parle souvent communément de cybersécurité et de cyberattaques laissant croire que le risque se limite aux attaques informatiques provenant de l’extérieur. Or il n’en est rien. Les risques sont nombreux en matière de sécurité numérique y compris au sein de son organisation. C’est pour répondre à ces besoins que WEKA propose ses décryptages et conseils de mise en pratique au travers de son fonds documentaire « Marchés publics » ; c’est pour ces mêmes raisons objectives que WEKA, en partenariat avec l’APASP et la chaire « Achat public » de la Fondation Paris-Saclay Université, a imaginé pour 2022 ses « Masterclasses Achat public » afin de répondre au mieux et de manière la plus interactive possible aux besoins de plus en plus nombreux des acteurs de la commande publique.
Sébastien TAUPIAC
Directeur du développement / Verso Healthcare