
[Achat à la Fac] Achats publics et cybersécurité : enjeux et perspectives
achatpublic.info soutient les étudiants ! Désormais, nous publierons régulièrement certains travaux universitaires dédiés à la Commande publique. Depuis plusieurs mois, le sujet des cyber attaques inquiète les instituions publiques et privées, et bien évidemment les acheteurs publics. Mais y sont-ils suffisamment sensibilisés. Séphora Akre y a consacré son mémoire de Master 2 "Droit des achats publics" de l'Université Paris Saclay, sous la direction de Sébastien Taupiac. « Le cadre juridique reste encore fragile, car jusqu’à nos jours, il n’existe pas de réglementation spécifique liant cybersécurité et achat public. »

Si les avantages de la digitalisation, au sens large, sont bien appréhendés, les risques demeurent sous-estimés probablement du fait d’une mauvaise évaluation de ces derniers. A titre d’exemple, les procédures de passation des marchés publics sont aujourd’hui tributaires des systèmes d’information ; ainsi la moindre cyberattaque pourrait conduire à la violation des données, et in fine à la fragilisation de la procédure et du contrat. L’exposition des acheteurs publics dépasse ainsi largement le seul sujet d’une clause « cybersécurité » dans un cahier des charges d’achats de logiciels ! Tout le processus et toutes les procédures sont concernés.
Les techniques sophistiquées, les plus courantes, sont celles du ransomware (rançongiciels), du phishing (l’hameçonnage) et du ciblage des chaînes d’approvisionnement. Les conséquences sont souvent désastreuses, car elles touchent à l’image, voire à la réputation de ses établissements, au-delà des coûts directs et indirects supportés par l’institution à la suite d’une cyberattaque. La cybersécurité devient donc un enjeu majeur pour l’acheteur public et ce au stade du sourcing, de la procédure, mais aussi de l’exécution du marché.L’exposition des acheteurs publics dépasse ainsi largement le seul sujet d’une clause « cybersécurité » dans un cahier des charges d’achats de logiciels !
Ce sujet, plus que préoccupant, ne concerne pas uniquement l’acheteur public, mais l’ensemble des tiers intervenant dans le processus, à ce titre, les prestataires, les fournisseurs ou les sous-traitants. Le cadre juridique reste encore fragile, car jusqu’à nos jours, il n’existe pas de réglementations spécifique liant cybersécurité et achat public. Nulle part ne figurent de dispositions relatives à la cybersécurité dans le Code de la commande publique.
Les enjeux ne sont pas que réputationnels ou économiques, ils sont aussi réglementaires. Le sourcing tant « recommandé » constitue une phase d’exposition majeure et de fragilisation dans les échanges entre acheteurs et candidats potentiels.
Au stade de la procédure, l’acheteur devrait veiller par exemple à intégrer des clauses contractuelles dans les cahiers de charges, telles que : « définir et limiter le périmètre d’intervention des tiers dans le cadre des marchés d’assistance à maîtrise d’ouvrage ou d’œuvres ou à l’issue du marché, et/ou exercer un contrôle dans les locaux du titulaire pour vérifier que les dispositions en matière de destructions des données générées par les marchés ont bien été appliquées ».
Dans le cadre de l’exécution du marché, il pourrait être intéressant de mettre en place des référents « cybersécurité » dans les services achats pour gérer et piloter les risques liés à l’hébergement des données contractuels, à la sécurisation des coordonnées de paiement ou encore s’assurer de l’exécution des contrats au regard des engagements pris par les titulaires en matière de protection des données.
Cette insuffisante prise de conscience et des moyens mis en œuvre (expertise, plateforme, SI…) révèle un manque de culture numérique des acteurs, rappelant ainsi l’importance de la formation et de la sensibilisation. La mise en place dès 2023 au sein du Master 2 Droit des Achats Publics de l’Université Paris Saclay d’une session sur la cybersécurité appliquée à l’achat public est un premier pas à noter.
A relire aussi sur achatpublic.info :
- Menaces de cyber-attaques : les conseils de l’ANSSI
- Cyber attaques : l’ANSSI organise une ligne de défense régionale
- L'achat hospitalier lutte contre tous les virus !
- Cyberattaques : les acheteurs manquent d’assurance 2/2
- Cyberattaques : les acheteurs publics manquent d’assurance (1/2)
- Cyberattaques : les acheteurs doivent-ils rematérialiser ?
Sur le même sujet


Envoyer à un collègue
Juriste conseil et contentieux de la commande publique (f/h)
- 02/09/2025
- Département des Hauts-de-Seine
Juriste affaires générales et achats publics (f/h)
- 02/09/2025
- Communauté de Communes Beaucaire Terre d’Argence
Responsable finances et commande publique (f/h)
- 02/09/2025
- Ville du Pellerin
TA Cergy-Pontoise 2 juillet 2025 Société Le Vigilant Sécurité Privée
-
Article réservé aux abonnés
- 05/09/25
- 07h09
TUE 23 juillet 2025 BT Global Services Belgium
-
Article réservé aux abonnés
- 04/09/25
- 07h09
TA Melun 24 juin 2025 Société OSB
-
Article réservé aux abonnés
- 03/09/25
- 11h09
Validation d’un critère environnemental évaluant la politique générale des candidats à un marché public
-
Article réservé aux abonnés
- 02/09/25 06h09
- Mathieu Laugier
Acheteur public : un métier sous tensions, selon la Commission d’enquête du Sénat
-
Article réservé aux abonnés
- 03/09/25 06h09
- Jean-Marc Joannès
Attributaire déchu d’un marché public : le classement des soumissionnaires à revoir ?
-
Article réservé aux abonnés
- 04/09/25 06h09
- Mathieu Laugier
Top 3 des méthodes pour repenser la commande publique !
-
Article réservé aux abonnés
- 29/08/25 06h08
- Johanna Granat