Les points noirs du fichier TES épinglés par le rapport ANSSI et DINSIC

Les points noirs du fichier TES épinglés par le rapport ANSSI et DINSIC

Failles, identification, etc.

37

Les points noirs du fichier TES épinglés par le rapport ANSSI et DINSIC

À une semaine du FIC, le Forum international de la cybersécurité à Lille, l’ANSSI et la DINSIC ont remis leur rapport sur le fichier des titres électroniques sécurisés, cette méga base agrégeant les données notamment biométriques des cartes nationales d’identité et des passeports. Une certitude : les conclusions du document sont très mitigées.

La naissance de TES par un décret en Conseil d’État publié le 30 octobre 2016 a provoqué un bel émoi : ce fichier monstre, contre le principe duquel le PS s’était opposé en 2012, a pour ambition de devenir le plus grand fichier biométrique français. Cela en rassemblant les empreintes et la photo du visage de tous les porteurs de ces titres.

Potentiellement, comme l'a souligné la CNIL, il peut concerner l’ensemble de la population française. Les aigreurs de la Commission sont d’autant plus vives qu’« aucun autre système n’a été étudié et présenté comme voie alternative. Cela n’a pas été discuté avec la CNIL. On n’a pas été saisi d’un dispositif d’alternatif ».

La CNIL, comme le Conseil national du numérique ou le Conseil d’État dans son avis, et bien d’autres, ont tous regretté l’absence de procédure parlementaire qui aurait permis d’ouvrir un débat solide. Et pour cause, pour Isabelle Falque-Pierrotin, présidente de la gardienne des données personnelles, « en constituant cette base, on franchit un pas dans le type de société qui est la nôtre. La menace terroriste est évidente (…) Mais est-ce que pour autant cette menace justifie que l’État constitue un fichier qui enregistre de manière permanente et indélébile des données biométriques sur l’ensemble de la population, ceci permettant le cas échéant d’identifier les personnes ? ».

Pour éteindre l’incendie institutionnel et médiatique, Bernard Cazeneuve a finalement demandé un audit à l’Agence nationale de la sécurité des systèmes d'information (ANSSI) et à la Direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC). Leur rapport a été publié hier sur le site du ministère.

Pas de publicité de la lettre de mission, un rapport scanné 

Regrettons d’ores et déjà que la lettre de saisine n’a pas fait l’objet de la moindre publicité (nous allons donc la solliciter, au besoin par procédure CADA). On découvre cependant que la demande de Bernard Cazeneuve « porte uniquement sur le fichier TES existant ».

En bons éclairagistes, la DINISC et l’ASIC expliquent qu’ «en effet, l’objectif n’a pas été de concevoir un nouveau système de gestion des cartes nationales d’identité, fondé sur d’autres types d’architectures techniques et logicielles, potentiellement plus distribuées et couplées à des moyens techniques différents, notamment en matière de capture de données biométriques ». En clair : le ministre n’a pas voulu que ces deux entités puissent imaginer d’alternative à TES, les obligeant à se concentrer uniquement sur la beauté du système litigieux. 

Autre petite contrariété, seul a été diffusé un scan du rapport, non le texte source. Judicieux : cela évite toute indexation par les moteurs incapables de reconnaissance de caractère.

L'identification par empreinte techniquement possible

Pour lire cet avis, il est amusant de faire des allers-retours avec les conclusions tirées par le ministère de l’Intérieur. « Je prends pleinement acte des conclusions de ce rapport, qui établissent clairement que le système « TES » est « compatible avec la sensibilité des données qu’il contient », dans son architecture comme dans ses conditions d’usage » tambourine Bruno Le Roux.

Le nouveau ministre de l’Intérieur tient à ajouter que « le rapport établit que les usages de ce système par les agents de préfecture et ceux de l’Agence nationale des titres sécurisés, le cas échéant à la demande de la police judiciaire ou des autorités judiciaires, sont pleinement conformes aux textes qui régissent ce traitement de données ».

Cependant, la sélection est très sélective. Le Roux oublie de poursuivre sa lecture notamment ce passage du rapport où est pointé une sécurité globale « perfectible ». Pire : ce système « peut techniquement être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques ». Et ce contrairement à ce qu’assurait Bernard Cazeneuve, à savoir un TES cantonné à un processus d’authentification et non pas d’identification à l’aide des seules données biométriques. 

Pour renverser cette logique, il suffirait de reconstruire une base de données complète « à partir du lien unidirectionnel existant ». Un tel changement de finalité sera difficile, mais seulement si « des mesures de sécurité techniques, fonctionnelles et organisationnelles auront été mises en place ». Démonstration douloureuse que ces mesures ne l’ont pas encore été.

Les avantages et les autres points noirs de TES

La DINSIC et l’ANSSI remarquent que TES a des avantages. Pour les passeports, seuls documents concernés avant le décret, il permet « de lutter plus efficacement contre les usurpations d’identité », il simplifie la vie de l’usager, autorisant la prédemande en ligne, la dématérialisation du timbre fiscal, tout en accélérant la phase d’instruction avant la remise du titre. De plus, il renforce la traçabilité lors des accès par les agents. « Sous réserve d’offrir un niveau de sécurité suffisant », module les deux entités, ces garanties seraient étendues aux demandes de carte nationale d’identité.

Compte tenu de la sensibilité des données biométriques, ces deux acteurs recommandent toutefois que ces informations soient chiffrées, du moins pour la gestion des titres depuis les mairies ou les préfectures, tout en confiant à une autorité tierce « la capacité de les déchiffrer ». Ainsi, « ni le ministère ni l’autorité tierce n’aurait seul les moyens de déchiffrer complètement ces données, dès lors que plusieurs clés de chiffrement seraient utilisées ».

Dans le cadre des réquisitions judiciaires, les mêmes rappellent qu’OPJ, procureurs et juges d’instruction peuvent déjà obtenir communication des informations détenues par TES ou les préfectures et les autres administrations. Les OPJ peuvent ainsi butiner les empreintes digitales collectées sur formulaire papier dans le cadre de la CNI. De son côté, TES devrait permettre d’assurer le traitement et la traçabilité des requêtes, systèmes qui n’existent pas aujourd’hui.

Cependant, ANSSI et DINSIC recommandent malgré tout que soient analysés « les risques de dévoiement de l’utilisation des données traitées par TES ou d’exfiltration de tout ou partie de ces données ». On en retient là encore qu’une telle analyse n’a donc pas été faite complètement en amont de la publication du décret « Halloween », puisque son existence n’aurait pas rendu nécessaire une telle remarque.

Avant son déploiement, il y a eu certes bien eu des analyses de risques reposant sur plusieurs scénarios d’actes malveillants, d’où ont été déduites des mesures de réponse. Le rapport demande cependant que ces analyses soient « affinées (…) notamment en adaptant davantage les scénarios de risque à la nature des données à protéger ». Même remarque : si un tel affinage est sollicité, c’est que son absence est jugée problématique.

Des sous-traitants du fichier TES

D’autres craintes émergent s’agissant du choix par l’ANTS, l’Autorité nationale des titres sécurisés, de faire appel à des sous-traitants pour gérer ces données ultra-sensibles. Une telle politique « est susceptible d’augmenter la surface d’exposition du système à d’éventuelles attaques ». Le rapport plaide du coup pour « la mise en place d’une gestion stricte et formalisée des sous-traitants intervenant sur le système TES notamment à travers des exigences contractuelles adaptées ». Là encore, cette gestion manque à l’appel aujourd’hui, mais heureusement, cette démarche a été « engagée » dans le cadre du renouvellement du marché de prestation. Ouf !

Pour revenir à la problématique du lien unidirectionnel, la recommandation n°6 du rapport demande au gouvernement de prendre en compte « les préconisations du référentiel général de sécurité concernant les mécanismes cryptographiques ».  Promis juré, cependant, l’ANTS aurait déjà prévu d’y revenir dès cette année, tout en optant pour un chiffrement des données biométriques et des pièces justificatives versées au dossier par les citoyens confiants.

Des vulnérabilités classées secret-défense

Page 9 du document, on découvre qu’un « certain nombre de vulnérabilités de gravité variable » ont été relevées lors des tests d’intrusion. « La configuration et les pratiques d’administrations de certains équipements du centre serveurs ne sont pas conformes à l’état de l’art ».

D’autres failles ont été épinglées « dans l’application métier ». ANSSI et DINSIC demandent en réaction qu’un « référentiel de sécurisation applicable à l’ensemble des équipements du système TES, ainsi qu’un référentiel de développement sécurisé des applications » soit défini et surtout mis en œuvre. Impossible d’en savoir plus sur le détail des vulnérabilités : ces lacunes ont été listées dans un rapport séparé protégé par le secret défense.

Dans ses conclusions, l’étude note que toutes les questions soulevées par la biométrie et le fichage exigent « un important débat de société ». En clair, le rapport dézingue lui aussi le choix gouvernemental d’avoir choisi ce véhicule administratif plutôt qu’un débat parlementaire, suivi d’une loi comme l’autorisaient pourtant les textes...

Malgré la perfection de son fichier TES, le gouvernement promet de reprendre « à son compte l’ensemble des recommandations proposées par cet audit visant à améliorer la protection de l’application contre les risques d’intrusion ainsi que la robustesse du lien unidirectionnel entre ses données alphanumériques et biométriques ». Celles-ci devraient être prises en compte. De plus, associée aux deux auteurs du rapport, une commission d’homologation se réunira d’ici février « pour se prononcer sur l’analyse des risques et la conformité des mesures de maîtrise de ces risques ».

On reste malgré tout stupéfait des conclusions de ce document dont l’existence même traduit un léger problème organisationnel dans la gestion de cette base fichant 60 millions de Français. Notons enfin que la DINSIC et l'ANSSI sont auditionnées ce matin à l'Assemblée nationale. Nous reviendrons sur cette audition.

Commentaires (37)


ah tiens, l’impossibilité technique de l’identification à partir des données biométriques, argument phare de l’actuel premier ministre, serait du gros bullshit?



je tombe des nues. <img data-src=" />


Ca donne juste envie de pleurer

Ils trafiqueront 2-3 trucs, diront que tout a été comblé, et tout ira bien sans avoir à consulter de nouveau ces autorités mal polies…



Et dans quelques années la France rejoindra la liste des pays dont la liste des habitants contenant des infos biométriques a été piratée



Et on aura toujours des écervelés pour nous dire que c’était l’avenir, qu’il faut en passer là, que c’est pas grave, que tout a été mis en oeuvre pour la sécurité mais que là c’était des super giga HaXXor de la mort et qu’ils ont rien pu faire contre, etc

&nbsp;


Pour avoir un fichier regroupant les photos du visage de l’ensemble de la population, n’aurait-il pas été plus simple d’utiliser les données de facebook ? <img data-src=" />


le type de société qui est la nôtre



une sécurité globale « perfective »



J’ai mal à ma langue.


Si en plus c’est mal fait, cela fait vraiment très très peur… Vraiment n’importe quoi ce gouvernement. On aura touché le fond et creusé à la dynamite.


Alors on a “un certain nombre de vulnérabilités de gravité variable”, un rapport scanné&nbsp;pour éviter l’indexation, un déni total des libertés et des recommandations de la CNIL, un truc passé en loucedé pendant un pont….

Ça mériterais bien une bonne claque dans la gueule moi je dis…&nbsp;<img data-src=" />








Kotegaeshi a écrit :



le type de société qui est la nôtre



une sécurité globale « perfective »



J’ai mal à ma langue.





Pourquoi? Ce sont des tournures de phrases très efficientes je trouve





Sinon, personne a prévu de passer ça à l’OCR?









jackjack2 a écrit :



Sinon, personne a prévu de passer ça à l’OCR?






 Bon du coup je viens de le faire :&nbsp;http://docdro.id/rdVnGpR  

Peut mieux faire mais bon c'est déjà ça d'ici une version propre

Par contre je sais pas où la mettre pour que ça se fasse indexer



&nbsp;

Edit: sur pastebin déjà&nbsp;http://pastebin.com/REYKx19i









jackjack2 a écrit :



Et dans quelques années la France rejoindra la liste des pays dont la liste des habitants contenant des infos biométriques a été piratée



Et on aura toujours des écervelés pour nous dire que c’était l’avenir, qu’il faut en passer là, que c’est pas grave, que tout a été mis en oeuvre pour la sécurité mais que là c’était des super giga HaXXor de la mort et qu’ils ont rien pu faire contre, etc





perso jsuis plus inquiet des possibles futures utilisations légales du fichier que de se faire hacker la base par les russes (j’ai pas dit que c’était pas inquiétant, note bien).

quand on voit le niveau du législateur en la matière, et la volonté nette d’un certain nombre de députés (d’une possible future majorité) d’activer l’identification pour tracer en live toute la populace via la vidéosurveillance, on est en droit de se poser quelques questions sur notre avenir.



après l’identification auto et le traçage live, l’étape d’après c’est quoi? les precogs?

en fout déjà en résidence des gens pour des trucs qu’ils pourraient faire, y’a qu’un pas…









hellmut a écrit :



perso jsuis plus inquiet des possibles futures utilisations légales du fichier que de se faire hacker la base par les russes (j’ai pas dit que c’était pas inquiétant, note bien).

quand on voit le niveau du législateur en la matière, et la volonté nette d’un certain nombre de députés (d’une possible future majorité) d’activer l’identification pour tracer en live toute la populace via la vidéosurveillance, on est en droit de se poser quelques questions sur notre avenir.



après l’identification auto et le traçage live, l’étape d’après c’est quoi? les precogs?

en fout déjà en résidence des gens pour des trucs qu’ils pourraient faire, y’a qu’un pas…





Tout à fait, d’ailleurs ça rejoint le point 4 “Propositions d’évolution à moyen et long terme” du rapport (mais ils prennent plus de pincettes, forcément)

&nbsp;









Marc Rees a écrit :



Autre petite contrariété, seul a été diffusé un scan du rapport, non le texte source. Judicieux : cela évite toute indexation par les moteurs incapables de reconnaissance de caractère.





Judicieux ? Ça fait juste gagner quelques heures et encore, il y a toujours quelqu’un pour faire de l’OCR dessus et le publier dans la foulée. Si c’est intentionnel (je veux dire hormis une justification crédible de ne pas avoir livré le PDF), c’est d’autant plus ridicule.







Trollalalala a écrit :



Alors on a […] un truc passé en loucedé pendant un pont….

Ça mériterais bien une bonne claque dans la gueule moi je dis… <img data-src=" />





<img data-src=" />

Bon sang, un décret du Conseil d’État ne peut PAS être publié “en douce”, c’est tout ce qu’il y a d’officiel. Pendant encore combien d’années on lira ce genre d’ânerie ?

(comme de prétendre que l’Assemblée Nationale a voté “en douce” quelque chose, alors que c’est filmé et qu’ensuite c’est publié au Journal Officiel)

Une autre remarque c’est que tout décret ou loi contestable est immédiatement contesté (on l’a vu pour le fichier TES en particulier), c’est de toutes façons impossible de faire “en douce”.









jackjack2 a écrit :



Pourquoi? Ce sont des tournures de phrases très efficientes je trouve





Barbare, tu paieras pour ce crime ! <img data-src=" />









jackjack2 a écrit :



Pourquoi? Ce sont des tournures de phrases très efficientes je trouve





Joli :-) .







hellmut a écrit :



perso jsuis plus inquiet des possibles futures utilisations légales du fichier que de se faire hacker la base par les russes (j’ai pas dit que c’était pas inquiétant, note bien).





Je ne pense pas que ça intéresse les hackers russes (liés au gouvernement), mais sûrement n’importe quelle groupe malveillant.







Marc Rees a écrit :



un « certain nombre de vulnérabilités de gravité variable » ont été relevées lors des tests d’intrusion. « La configuration et les pratiques d’administrations de certains équipements du centre serveurs ne sont pas conformes à l’état de l’art ».





Je me demande dans quelle mesure ce sont de réelles vulnérabilités. Je dis ça parce que dans une boîte on m’a déjà demandé de jeter un oeil au respect des règles de sécurité, indiquées dans un document de référence, et une bonne partie de ces règles ne servait à rien concrètement, ce n’était pas comme ça qu’on allait compromettre le système.









V_E_B a écrit :



Barbare, tu paieras pour ce crime ! <img data-src=" />





Comme même, je ne peux pas m’empêcher de penser que tu fais les gros bras parce qu’on est dans un monde digital ici. Au jour d’aujourd’hui, si cela s’avère vrai, il ne risque rien. <img data-src=" />



(4 hit combo !)



Tout le monde s’offusque de ce médiatique fichier TES alors que les outils de Palentir à côté t’es sûrement dans une autre dimension… Comme quoi on occupe les journalistes d’un côté mais les vraies choses se passent ailleurs…




Bref, ce fichier n'est qu'une unification d'un procédé déjà existant depuis belle lurette. Ca ne changera rien du tout pour moi ni pour des millions de personnes... A un moment il faut arrêter avec cette politique d'opposition permanente à tout ce que l'on peut faire.... On dirait Mélanchon, toujours contester mais ne jamais rien proposer. D'ailleurs ce sera le premier larbin à avoir craché toute l'année sur le PS mais à appeler à voter pour eux aux Présidentielles... La cocufication de l'électeur dans toute sa splendeur...    





<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Ok il y a des ratés dans le TES mais tout n’est pas pourri là-dedans. Avec les modifications nécessaires ce fichier deviendra utile pour combattre toutes les diverses formes de crimes et délits.&nbsp;



<img data-src=" />&nbsp;<img data-src=" />&nbsp;<img data-src=" />&nbsp;<img data-src=" />


“Pas de publicité de la lettre de mission, un rapport scanné” -&gt; <img data-src=" />&nbsp;Moi j’appelle ça passer en douce, après d’accord y’avais moyen de s’en informer de par soi-même, comme la plupart des gens font, ou pas….&nbsp;


#ctOS








OlivierJ a écrit :



Je me demande dans quelle mesure ce sont de réelles vulnérabilités. Je dis ça parce que dans une boîte on m’a déjà demandé de jeter un oeil au respect des règles de sécurité, indiquées dans un document de référence, et une bonne partie de ces règles ne servait à rien concrètement, ce n’était pas comme ça qu’on allait compromettre le système.





Comme il s’agit de l’ANSSI (plutôt au niveau sur le sujet) et de résultats de tests d’intrusion (et pas simplement d’audit sur “papier”), j’aurais tendance à dire qu’elles sont réelles.









Trollalalala a écrit :



“Pas de publicité de la lettre de mission, un rapport scanné” -&gt; <img data-src=" /> Moi j’appelle ça passer en douce, après d’accord y’avais moyen de s’en informer de par soi-même, comme la plupart des gens font, ou pas….





Ça ne passe pas “en douce” vu que tout le monde en parle le jour même. Et le rapport, même numérisé, est publié par les autorités. Si t’arrives à appeler ça “en douce”, chapeau. <img data-src=" />









matroska a écrit :



A un moment il faut arrêter avec cette politique d’opposition permanente à tout ce que l’on peut faire…. On dirait Mélanchon, toujours contester mais ne jamais rien proposer.

&nbsp;





Lis le rapport de la CNIL, celui des ANSSI/DINSIC, celui du CNNum, et les propositions dans le cadre de la consultation publique du CNNum

Ils foisonnent d’idées pour faire de cette base TES un outil intelligent, pratique, garant des libertés et sécurisé (au hasard: gabarit des empreintes, commission indépendante de l’exécutif qui déchiffre les infos, information au titulaire que sa fiche a été lue/modifiée, logs poussés, etc, etc, etc………)

Bref, lis



Après fais l’autruche si tu veux



T’as rien compris à mon ressenti et à mon commentaire. Je suis plutôt pour le fichier TES avec les modifications nécessaires mentionnées par l’ANSSI.



<img data-src=" />


Moi ce qui me rend fou c’est que ça passe dans les mains de sous traitants. Selon moi tout devrait être géré dans et par une antenne du gouvernement spécifiquement créé pour l’occasion. Quitte a embaucher des vrais pros de la sécurité, des gens qui reflechissent… là ça pue les coflits d’intérêts si les Thales et Cie s’en occuppent. Toute la chaîne devrait être maîtrisée et gérée en interne.


pour le run pourquoi pas, mais pour le build c’est pas très pratique d’embaucher. ou alors en CDD, mais dans le secteur, le CDD c’est pas vraiment la norme. ^^


Peu importe, il faut évoluer et s’adapter avec son temps (je parle du secteur public). Là c’est une question extrêmement importante, s’il faut remiser au grenier des vieux principes pour embaucher différemment, faut y aller.



En tout cas ça ne me convient absolument pas qu’une ou des société(s) privée(s) s’occupent du SI qui gère, traite, et stocke de telles données. Il ne s’agit pas d’un simple mot de passe quoi…. Ils fument les mecs.



Puisque cela nous concerne tous, quitte à ne pas avoir le choix du “Go / No go” on devrait avoir à minima notre mot à dire sur l’implémentation et sur le choix des intervenants.


ce que je dis c’est que l’Etat va pas embaucher en CDI X ingénieurs à X mille par mois pour une mission de quelques mois. donc on fait quoi? du CDD? de l’intérim (lol)?

quel ingé va se barrer de sa boite en CDI pour aller se faire embaucher par l’Etat en CDD pour une mission de 6 mois / 1 an?

personne.



donc tu paies du presta pour le build, c’est évident.

après pour le run, où les mecs touchent réellement aux données, pourquoi pas une équipe en interne (ce qui est sans aucun doute le cas, au moins en partie).








Nozalys a écrit :



Moi ce qui me rend fou c’est que ça passe dans les mains de sous traitants. Selon moi tout devrait être géré dans et par une antenne du gouvernement spécifiquement créé pour l’occasion. Quitte a embaucher des vrais pros de la sécurité, des gens qui reflechissent… là ça pue les coflits d’intérêts si les Thales et Cie s’en occuppent. Toute la chaîne devrait être maîtrisée et gérée en interne.





Quels conflits d’intérêts ?

Thalès a d’ailleurs une habitude de gérer les projets sensibles de l’État, on ne met pas n’importe qui de la boîte dans ces projets.







Nozalys a écrit :



En tout cas ça ne me convient absolument pas qu’une ou des société(s) privée(s) s’occupent du SI qui gère, traite, et stocke de telles données. Il ne s’agit pas d’un simple mot de passe quoi…. Ils fument les mecs.





C’est une habitude pour l’État de faire appel à des compétences du secteur privé pour ses besoins techniques. On n’embauche pas des gens pour faire des missions de quelques mois, et on peut faire appel à des sociétés et des gens directement compétents sur la question.







hellmut a écrit :



ce que je dis c’est que l’Etat va pas embaucher en CDI X ingénieurs à X mille par mois pour une mission de quelques mois. donc on fait quoi? du CDD? de l’intérim (lol)?

[…]

donc tu paies du presta pour le build, c’est évident.

après pour le run, où les mecs touchent réellement aux données, pourquoi pas une équipe en interne (ce qui est sans aucun doute le cas, au moins en partie).





Oui, et même pour l’exploitation (le “run”), il est aussi fait appel (selon les domaines) à des prestataires externes, c’est une forme d’efficacité. Quand l’État sait faire les choses un peu efficacement, on ne va pas se plaindre.









OlivierJ a écrit :



Oui, et même pour l’exploitation (le “run”), il est aussi fait appel (selon les domaines) à des prestataires externes, c’est une forme d’efficacité. Quand l’État sait faire les choses un peu efficacement, on ne va pas se plaindre.





je te le fais pas dire. <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Ben moi ça ne me plaît pas. Je comprends le modèle économique derrière, mais c’est pas pour autant que je le trouve normal. Au contraire, l’état devrait embaucher (même en CDI) des gens techniquement compétent, car ce genre de projet nécessitera toujours de la maintenance importante, des upgrades conséquents en terme de sécurité, etc. Et même, au delà de ça, ces gens peuvent être parfaitement utiles sur plein d’autres projets.



Les conflits d’intérêts sont simples : ces sociétés ont d’autres clients que l’Etat. Et ces clients peuvent être dans d’autres pays. Pour le reste, salariés formés ou pas, triés sur le volet ou pas, c’est du domaine du chantage et de la corruption.









hellmut a écrit :



ce que je dis c’est que l’Etat va pas embaucher en CDI X ingénieurs





Du coup, si. Il ne le fera pas, mais devrait.



[Début de H.S.]

Arrêtons l’hypocrisie, on est toujours en train de gueuler sur les différentes entités étatiques et gouvernementales, car en ce qui concerne les domaines numérique/informatique ils n’y connaissent rien, sont à côté de la plaque, bla bla, etc. Évidement puisqu’il n’y a personne de réellement compétent, pas de gens dont c’est le métier. Alors ils font quoi ? Ils commandent des rapports d’experts qui prennent des plombes à être rédigés et qui font surtout appels aux copains des copains des copains, et parfois quelques consultations de vrais pros dont c’est le métier, mais dont les paroles, avis et explications seront mal (ou pas) retranscrites.



Bref un fichu gros bordel pour pondre un rapport qui au final ne sert plus à rien.



Alors oui, moi je suis convaincu que l’État devrait embaucher des gens 100% technique, et au-delà de leur mission initiale pour laquelle ils auraient été embauchés (ici la création/maintenance du système TES), ils seraient garant d’une véritable évolution de nos génialissimes instance gouvernementales…



Et encore une fois : on ne met pas ce genre de données à des sociétés privées, bordel ! <img data-src=" />



L’État dispose aussi de gens compétents en interne, mais la majorité des tâches informatiques est confiée à des prestataires, jugés plus à jour et plus expérimentés. L’expérience d’un chef de projet ou d’un architecte qui fait ça depuis quelques années est intéressante et c’est plus difficile d’avoir la même en restant employé par l’État sur des missions plus étroites.



A noter aussi qu’un ministère bien géré (comme l’est probablement Bercy) répartit le recours au privé en mettant aussi en concurrence et en contrôle croisé : par exemple une équipe de maintenance à Bercy est constituée essentiellement de gens de Cap Gemini, mais est contrôlée en parallèle par un interne et par quelqu’un d’Atos. Le site de la télédéclaration des impôts est développé par Accenture (c’est arrivé) et peut être “recetté”/validé par des gens d’une autre SSII.



J’ai déjà travaillé comme prestataire pour le ministère des finances, j’ai parfois eu accès physique à un de leurs serveurs, mais il y avait toujours un interne qui regardait ce que je faisais. Pour l’accès aux données sensibles, je ne suis pas sûr que les prestataires ont accès à tout facilement et la possibilité de faire n’importe quoi.


Merci pour ce partage d’expérience.



J’espère que c’est toujours fait comme ça. Néanmoins je n’arrive pas à m’en convaincre …


Vu le nombre de SI au niveau de l’état, je trouverais étonnant que l’état ne soit pas capable d’avoir les compétences en internes, et serait incapable d’avoir des experts à jour.



Ensuite c’est un choix : tout décentraliser et donner les clés des SI à plusieurs entreprises, ou internaliser.



L’intérêt d’externaliser ce n’est pas le cout , ou les compétences, mais une question de contrat (pénalités possibles, délais et date butoir, obligations de résultats, …).

L’intérêt d’internaliser est souvent moins cher (on supprime un certain nombre de marges, commissions, et marketing/avant-vente/marge.) avec la main sur le SI.

Par contre demande plus de travail niveau RH (recherche de profil plus complexe / différents que d’habitude, avancement différents car ces des profils qui attendent autre chose ) , et l’incapacité de se retourner contre quelqu’un si il y a une merde.


Au vu des discussions sur le SI de l’Etat, les CDI, CDD et presta, je pose ça là à toute fins utiles, ça pourrait bousculer quelques idées reçues :

https://beta.gouv.fr/communaute.html


Est-ce que tu as bien compris de quoi il s’agissait ?



Il y a un total de 33 personnes concernées par ton joli graphique.








briaeros007 a écrit :



Vu le nombre de SI au niveau de l’état, je trouverais étonnant que l’état ne soit pas capable d’avoir les compétences en internes, et serait incapable d’avoir des experts à jour.





En théorie, l’État pourrait avoir sa propre SSII, mais en pratique il ne le fait pas. Il faudrait demander à un responsable de ministère (Bercy par exemple) pourquoi ce n’est pas le cas.

Je crois que tu en as parlé, il y a aussi un certain confort pour un service de l’État de faire appel à un prestataire, c’est plus facile pour mettre la pression ou négocier des pénalités. Même pour une boîte privée, c’est le cas.









WereWindle a écrit :



Comme même, je ne peux pas m’empêcher de penser que tu fais les gros bras parce qu’on est dans un monde digital ici. Au jour d’aujourd’hui, si cela s’avère vrai, il ne risque rien. <img data-src=" />



(4 hit combo !)





<img data-src=" />

Mécréaaaaant !









WereWindle a écrit :



Comme même, je ne peux pas m’empêcher de penser que tu fais les gros bras parce qu’on est dans un monde digital ici. Au jour d’aujourd’hui, si cela s’avère vrai, il ne risque rien. <img data-src=" />



(4 hit combo !)





J’avoue, c’était “joli”.







V_E_B a écrit :



<img data-src=" />

Mécréaaaaant !





Arf









Trollalalala a écrit :



Alors on a “un certain nombre de vulnérabilités de gravité variable”, un rapport scanné&nbsp;pour éviter l’indexation, un déni total des libertés et des recommandations de la CNIL, un truc passé en loucedé pendant un pont….

Ça mériterais bien une bonne claque dans la gueule moi je dis…&nbsp;<img data-src=" />





Oui, une bonne baffe a 49,3 Km/H par exemple … <img data-src=" />



Fermer