
[Achat à la Fac] Achats publics et cybersécurité : enjeux et perspectives
achatpublic.info soutient les étudiants ! Désormais, nous publierons régulièrement certains travaux universitaires dédiés à la Commande publique. Depuis plusieurs mois, le sujet des cyber attaques inquiète les instituions publiques et privées, et bien évidemment les acheteurs publics. Mais y sont-ils suffisamment sensibilisés. Séphora Akre y a consacré son mémoire de Master 2 "Droit des achats publics" de l'Université Paris Saclay, sous la direction de Sébastien Taupiac. « Le cadre juridique reste encore fragile, car jusqu’à nos jours, il n’existe pas de réglementation spécifique liant cybersécurité et achat public. »

Si les avantages de la digitalisation, au sens large, sont bien appréhendés, les risques demeurent sous-estimés probablement du fait d’une mauvaise évaluation de ces derniers. A titre d’exemple, les procédures de passation des marchés publics sont aujourd’hui tributaires des systèmes d’information ; ainsi la moindre cyberattaque pourrait conduire à la violation des données, et in fine à la fragilisation de la procédure et du contrat. L’exposition des acheteurs publics dépasse ainsi largement le seul sujet d’une clause « cybersécurité » dans un cahier des charges d’achats de logiciels ! Tout le processus et toutes les procédures sont concernés.
Les techniques sophistiquées, les plus courantes, sont celles du ransomware (rançongiciels), du phishing (l’hameçonnage) et du ciblage des chaînes d’approvisionnement. Les conséquences sont souvent désastreuses, car elles touchent à l’image, voire à la réputation de ses établissements, au-delà des coûts directs et indirects supportés par l’institution à la suite d’une cyberattaque. La cybersécurité devient donc un enjeu majeur pour l’acheteur public et ce au stade du sourcing, de la procédure, mais aussi de l’exécution du marché.L’exposition des acheteurs publics dépasse ainsi largement le seul sujet d’une clause « cybersécurité » dans un cahier des charges d’achats de logiciels !
Ce sujet, plus que préoccupant, ne concerne pas uniquement l’acheteur public, mais l’ensemble des tiers intervenant dans le processus, à ce titre, les prestataires, les fournisseurs ou les sous-traitants. Le cadre juridique reste encore fragile, car jusqu’à nos jours, il n’existe pas de réglementations spécifique liant cybersécurité et achat public. Nulle part ne figurent de dispositions relatives à la cybersécurité dans le Code de la commande publique.
Les enjeux ne sont pas que réputationnels ou économiques, ils sont aussi réglementaires. Le sourcing tant « recommandé » constitue une phase d’exposition majeure et de fragilisation dans les échanges entre acheteurs et candidats potentiels.
Au stade de la procédure, l’acheteur devrait veiller par exemple à intégrer des clauses contractuelles dans les cahiers de charges, telles que : « définir et limiter le périmètre d’intervention des tiers dans le cadre des marchés d’assistance à maîtrise d’ouvrage ou d’œuvres ou à l’issue du marché, et/ou exercer un contrôle dans les locaux du titulaire pour vérifier que les dispositions en matière de destructions des données générées par les marchés ont bien été appliquées ».
Dans le cadre de l’exécution du marché, il pourrait être intéressant de mettre en place des référents « cybersécurité » dans les services achats pour gérer et piloter les risques liés à l’hébergement des données contractuels, à la sécurisation des coordonnées de paiement ou encore s’assurer de l’exécution des contrats au regard des engagements pris par les titulaires en matière de protection des données.
Cette insuffisante prise de conscience et des moyens mis en œuvre (expertise, plateforme, SI…) révèle un manque de culture numérique des acteurs, rappelant ainsi l’importance de la formation et de la sensibilisation. La mise en place dès 2023 au sein du Master 2 Droit des Achats Publics de l’Université Paris Saclay d’une session sur la cybersécurité appliquée à l’achat public est un premier pas à noter.
A relire aussi sur achatpublic.info :
- Menaces de cyber-attaques : les conseils de l’ANSSI
- Cyber attaques : l’ANSSI organise une ligne de défense régionale
- L'achat hospitalier lutte contre tous les virus !
- Cyberattaques : les acheteurs manquent d’assurance 2/2
- Cyberattaques : les acheteurs publics manquent d’assurance (1/2)
- Cyberattaques : les acheteurs doivent-ils rematérialiser ?
Sur le même sujet


Envoyer à un collègue
Chargé de la commande publique (f/h)
- 28/05/2025
- Ville de Bouc Bel Air
Gestionnaire marchés publics (f/h)
- 27/05/2025
- Communauté de communes du Pays d'Ancenis
Gestionnaire de la commande publique (f/h)
- 26/05/2025
- Communauté de Communes du Bassin d'Aubenas
TA Polynésie 24 avril 2025 Société CGPNI
-
Article réservé aux abonnés
- 06/06/25
- 07h06
TA Toulouse 17 avril 2025 Société FXC Europe
-
Article réservé aux abonnés
- 05/06/25
- 07h06
TA Orléans 16 avril 2025 Société Colas France
-
Article réservé aux abonnés
- 04/06/25
- 07h06
Achat durable : les “goodies”, côté obscur des Spasers
-
Article réservé aux abonnés
- 02/06/25 06h06
- Jean-François Gazon
L’utilisation de l’IAG dans la sélection des offres : des zones de réticence
-
Article réservé aux abonnés
- 05/06/25 06h06
- Johanna Granat
-
Article réservé aux abonnés
- 04/06/25
- 06h06
Marché public et évaluation des offres : un cas pratique sanctionné par le juge
-
Article réservé aux abonnés
- 02/06/25
- 06h06
Respect du planning dans un marché de travaux : un critère de jugement des offres critiquable
-
Article réservé aux abonnés
- 03/06/25
- 06h06