De manière générale, la cybersécurité dans les achats publics reste encore loin d’être considérée comme l’affaire de tous. On constate que la crise sanitaire, la montée en puissance des nouvelles technologies, la transformation numérique des systèmes d’achats et plus simplement la dématérialisation, n’ont malheureusement pas exacerbé cette prise de conscience nécessaire.

Si les avantages de la digitalisation, au sens large, sont bien appréhendés, les risques demeurent sous-estimés probablement du fait d’une mauvaise évaluation de ces derniers. A titre d’exemple, les procédures de passation des marchés publics sont aujourd’hui tributaires des systèmes d’information ; ainsi la moindre cyberattaque pourrait conduire à la violation des données, et in fine à la fragilisation de la procédure et du contrat. L’exposition des acheteurs publics dépasse ainsi largement le seul sujet d’une clause « cybersécurité » dans un cahier des charges d’achats de logiciels ! Tout le processus et toutes les procédures sont concernés.

L’exposition des acheteurs publics dépasse ainsi largement le seul sujet d’une clause « cybersécurité » dans un cahier des charges d’achats de logiciels !

Les techniques sophistiquées, les plus courantes, sont celles du ransomware (rançongiciels), du phishing (l’hameçonnage) et du ciblage des chaînes d’approvisionnement. Les conséquences sont souvent désastreuses, car elles touchent à l’image, voire à la réputation de ses établissements, au-delà des coûts directs et indirects supportés par l’institution à la suite d’une cyberattaque. La cybersécurité devient donc un enjeu majeur pour l’acheteur public et ce au stade du sourcing, de la procédure, mais aussi de l’exécution du marché.

Ce sujet, plus que préoccupant, ne concerne pas uniquement l’acheteur public, mais l’ensemble des tiers intervenant dans le processus, à ce titre, les prestataires, les fournisseurs ou les sous-traitants. Le cadre juridique reste encore fragile, car jusqu’à nos jours, il n’existe pas de réglementations spécifique liant cybersécurité et achat public. Nulle part ne figurent de dispositions relatives à la cybersécurité dans le Code de la commande publique.

Les enjeux ne sont pas que réputationnels ou économiques, ils sont aussi réglementaires. Le sourcing tant « recommandé » constitue une phase d’exposition majeure et de fragilisation dans les échanges entre acheteurs et candidats potentiels.

Au stade de la procédure, l’acheteur devrait veiller par exemple à intégrer des clauses contractuelles dans les cahiers de charges, telles que : « définir et limiter le périmètre d’intervention des tiers dans le cadre des marchés d’assistance à maîtrise d’ouvrage ou d’œuvres ou à l’issue du marché, et/ou exercer un contrôle dans les locaux du titulaire pour vérifier que les dispositions en matière de destructions des données générées par les marchés ont bien été appliquées ».

Dans le cadre de l’exécution du marché, il pourrait être intéressant de mettre en place des référents « cybersécurité » dans les services achats pour gérer et piloter les risques liés à l’hébergement des données contractuels, à la sécurisation des coordonnées de paiement ou encore s’assurer de l’exécution des contrats au regard des engagements pris par les titulaires en matière de protection des données.