[Achat à la Fac] Achats publics et cybersécurité : enjeux et perspectives
achatpublic.info soutient les étudiants ! Désormais, nous publierons régulièrement certains travaux universitaires dédiés à la Commande publique. Depuis plusieurs mois, le sujet des cyber attaques inquiète les instituions publiques et privées, et bien évidemment les acheteurs publics. Mais y sont-ils suffisamment sensibilisés. Séphora Akre y a consacré son mémoire de Master 2 "Droit des achats publics" de l'Université Paris Saclay, sous la direction de Sébastien Taupiac. « Le cadre juridique reste encore fragile, car jusqu’à nos jours, il n’existe pas de réglementation spécifique liant cybersécurité et achat public. »
Si les avantages de la digitalisation, au sens large, sont bien appréhendés, les risques demeurent sous-estimés probablement du fait d’une mauvaise évaluation de ces derniers. A titre d’exemple, les procédures de passation des marchés publics sont aujourd’hui tributaires des systèmes d’information ; ainsi la moindre cyberattaque pourrait conduire à la violation des données, et in fine à la fragilisation de la procédure et du contrat. L’exposition des acheteurs publics dépasse ainsi largement le seul sujet d’une clause « cybersécurité » dans un cahier des charges d’achats de logiciels ! Tout le processus et toutes les procédures sont concernés.
Les techniques sophistiquées, les plus courantes, sont celles du ransomware (rançongiciels), du phishing (l’hameçonnage) et du ciblage des chaînes d’approvisionnement. Les conséquences sont souvent désastreuses, car elles touchent à l’image, voire à la réputation de ses établissements, au-delà des coûts directs et indirects supportés par l’institution à la suite d’une cyberattaque. La cybersécurité devient donc un enjeu majeur pour l’acheteur public et ce au stade du sourcing, de la procédure, mais aussi de l’exécution du marché.L’exposition des acheteurs publics dépasse ainsi largement le seul sujet d’une clause « cybersécurité » dans un cahier des charges d’achats de logiciels !
Ce sujet, plus que préoccupant, ne concerne pas uniquement l’acheteur public, mais l’ensemble des tiers intervenant dans le processus, à ce titre, les prestataires, les fournisseurs ou les sous-traitants. Le cadre juridique reste encore fragile, car jusqu’à nos jours, il n’existe pas de réglementations spécifique liant cybersécurité et achat public. Nulle part ne figurent de dispositions relatives à la cybersécurité dans le Code de la commande publique.
Les enjeux ne sont pas que réputationnels ou économiques, ils sont aussi réglementaires. Le sourcing tant « recommandé » constitue une phase d’exposition majeure et de fragilisation dans les échanges entre acheteurs et candidats potentiels.
Au stade de la procédure, l’acheteur devrait veiller par exemple à intégrer des clauses contractuelles dans les cahiers de charges, telles que : « définir et limiter le périmètre d’intervention des tiers dans le cadre des marchés d’assistance à maîtrise d’ouvrage ou d’œuvres ou à l’issue du marché, et/ou exercer un contrôle dans les locaux du titulaire pour vérifier que les dispositions en matière de destructions des données générées par les marchés ont bien été appliquées ».
Dans le cadre de l’exécution du marché, il pourrait être intéressant de mettre en place des référents « cybersécurité » dans les services achats pour gérer et piloter les risques liés à l’hébergement des données contractuels, à la sécurisation des coordonnées de paiement ou encore s’assurer de l’exécution des contrats au regard des engagements pris par les titulaires en matière de protection des données.
Cette insuffisante prise de conscience et des moyens mis en œuvre (expertise, plateforme, SI…) révèle un manque de culture numérique des acteurs, rappelant ainsi l’importance de la formation et de la sensibilisation. La mise en place dès 2023 au sein du Master 2 Droit des Achats Publics de l’Université Paris Saclay d’une session sur la cybersécurité appliquée à l’achat public est un premier pas à noter.
A relire aussi sur achatpublic.info :
- Menaces de cyber-attaques : les conseils de l’ANSSI
- Cyber attaques : l’ANSSI organise une ligne de défense régionale
- L'achat hospitalier lutte contre tous les virus !
- Cyberattaques : les acheteurs manquent d’assurance 2/2
- Cyberattaques : les acheteurs publics manquent d’assurance (1/2)
- Cyberattaques : les acheteurs doivent-ils rematérialiser ?
Sur le même sujet
Envoyer à un collègue
Directeur(trice) des Affaires Juridiques et de la Commande Publique (f/h)
- 01/07/2024
- Ville de La Teste de Buch
Chargé(e) de la commande publique (f/h)
- 30/06/2024
- Ville de Franconville
Gestionnaire marchés publics (f/h)
- 29/06/2024
- Golfe du Morbihan – Vannes agglomération
TA Strasbourg 16 mai 2024 Société Ingevo
-
Article réservé aux abonnés
- 02/07/24
- 11h07
TA Mayotte 4 juin 2024 SARL CMTB
-
Article réservé aux abonnés
- 02/07/24
- 07h07
TA Rouen 30 mai 2024 Société PRODIM
-
Article réservé aux abonnés
- 01/07/24
- 07h07
[Tribune] Jérôme André : « "Règle" des trois devis ? Voici pour les "purs et durs du droit" ! »
-
Article réservé aux abonnés
- 27/06/24 07h06
- Jérôme André
Crédibilité de l’offre : un critère d’évaluation redécouvert
-
Article réservé aux abonnés
- 27/06/24 07h06
- Mathieu Laugier
Concurrence en berne : la lettre de mission du Conseil de l'Union européenne à la Commission
-
Article réservé aux abonnés
- 24/06/24 06h06
- Etienne Ducluseau
Zéro sur le critère prix : aucune irrégularité dans la méthode de notation
-
Article réservé aux abonnés
- 26/06/24
- 07h06
Un même opérateur candidatant seul et en groupement présente des candidatures différentes
-
Article réservé aux abonnés
- 24/06/24
- 06h06