[Achat à la Fac] Achats publics et cybersécurité : enjeux et perspectives
achatpublic.info soutient les étudiants ! Désormais, nous publierons régulièrement certains travaux universitaires dédiés à la Commande publique. Depuis plusieurs mois, le sujet des cyber attaques inquiète les instituions publiques et privées, et bien évidemment les acheteurs publics. Mais y sont-ils suffisamment sensibilisés. Séphora Akre y a consacré son mémoire de Master 2 "Droit des achats publics" de l'Université Paris Saclay, sous la direction de Sébastien Taupiac. « Le cadre juridique reste encore fragile, car jusqu’à nos jours, il n’existe pas de réglementation spécifique liant cybersécurité et achat public. »
Si les avantages de la digitalisation, au sens large, sont bien appréhendés, les risques demeurent sous-estimés probablement du fait d’une mauvaise évaluation de ces derniers. A titre d’exemple, les procédures de passation des marchés publics sont aujourd’hui tributaires des systèmes d’information ; ainsi la moindre cyberattaque pourrait conduire à la violation des données, et in fine à la fragilisation de la procédure et du contrat. L’exposition des acheteurs publics dépasse ainsi largement le seul sujet d’une clause « cybersécurité » dans un cahier des charges d’achats de logiciels ! Tout le processus et toutes les procédures sont concernés.
Les techniques sophistiquées, les plus courantes, sont celles du ransomware (rançongiciels), du phishing (l’hameçonnage) et du ciblage des chaînes d’approvisionnement. Les conséquences sont souvent désastreuses, car elles touchent à l’image, voire à la réputation de ses établissements, au-delà des coûts directs et indirects supportés par l’institution à la suite d’une cyberattaque. La cybersécurité devient donc un enjeu majeur pour l’acheteur public et ce au stade du sourcing, de la procédure, mais aussi de l’exécution du marché.L’exposition des acheteurs publics dépasse ainsi largement le seul sujet d’une clause « cybersécurité » dans un cahier des charges d’achats de logiciels !
Ce sujet, plus que préoccupant, ne concerne pas uniquement l’acheteur public, mais l’ensemble des tiers intervenant dans le processus, à ce titre, les prestataires, les fournisseurs ou les sous-traitants. Le cadre juridique reste encore fragile, car jusqu’à nos jours, il n’existe pas de réglementations spécifique liant cybersécurité et achat public. Nulle part ne figurent de dispositions relatives à la cybersécurité dans le Code de la commande publique.
Les enjeux ne sont pas que réputationnels ou économiques, ils sont aussi réglementaires. Le sourcing tant « recommandé » constitue une phase d’exposition majeure et de fragilisation dans les échanges entre acheteurs et candidats potentiels.
Au stade de la procédure, l’acheteur devrait veiller par exemple à intégrer des clauses contractuelles dans les cahiers de charges, telles que : « définir et limiter le périmètre d’intervention des tiers dans le cadre des marchés d’assistance à maîtrise d’ouvrage ou d’œuvres ou à l’issue du marché, et/ou exercer un contrôle dans les locaux du titulaire pour vérifier que les dispositions en matière de destructions des données générées par les marchés ont bien été appliquées ».
Dans le cadre de l’exécution du marché, il pourrait être intéressant de mettre en place des référents « cybersécurité » dans les services achats pour gérer et piloter les risques liés à l’hébergement des données contractuels, à la sécurisation des coordonnées de paiement ou encore s’assurer de l’exécution des contrats au regard des engagements pris par les titulaires en matière de protection des données.
Cette insuffisante prise de conscience et des moyens mis en œuvre (expertise, plateforme, SI…) révèle un manque de culture numérique des acteurs, rappelant ainsi l’importance de la formation et de la sensibilisation. La mise en place dès 2023 au sein du Master 2 Droit des Achats Publics de l’Université Paris Saclay d’une session sur la cybersécurité appliquée à l’achat public est un premier pas à noter.
A relire aussi sur achatpublic.info :
- Menaces de cyber-attaques : les conseils de l’ANSSI
- Cyber attaques : l’ANSSI organise une ligne de défense régionale
- L'achat hospitalier lutte contre tous les virus !
- Cyberattaques : les acheteurs manquent d’assurance 2/2
- Cyberattaques : les acheteurs publics manquent d’assurance (1/2)
- Cyberattaques : les acheteurs doivent-ils rematérialiser ?
Sur le même sujet
Envoyer à un collègue
- 28/04/2024
- CETID
Jursite commande publique et achats (f/h)
- 25/04/2024
- SEMINOR
Gestionnaire comptable marchés publics (f/h)
- 24/04/2024
- Conseil Départemental de l'Hérault
CE 3 avril 2024 SCI Victor Hugo 21
-
Article réservé aux abonnés
- 25/04/24
- 07h04
TA Paris 6 mars 2024 SAS Otago Productions
-
Article réservé aux abonnés
- 25/04/24
- 07h04
TA Bastia 12 mars 2024 Société Bureau GDA
-
Article réservé aux abonnés
- 24/04/24
- 07h04
Les contrats de la commande publique, c’est aussi une question de financement
-
Article réservé aux abonnés
- 22/04/24 06h04
- Mathieu Laugier
Un marché public irrégulier annulé… à la demande de l’acheteur public
-
Article réservé aux abonnés
- 25/04/24 06h04
- Mathieu Laugier
[Interview] Benoit Mercuzot : « Les élus ne peuvent pas être étrangers au process d’achat public ! »
-
Article réservé aux abonnés
- 23/04/24 07h04
- Jean-Marc Joannès
La « performance des achats publics » : un cursus de formation plein d’avenir
-
Article réservé aux abonnés
- 24/04/24 07h04
- Mathieu Laugier
Pas de suspicion d’OAB malgré un écart entre les montants des offres de 70%
-
Article réservé aux abonnés
- 24/04/24
- 07h04