La Cour des comptes pointe (encore) les carences informatiques de l’Élysée

Le service en charge de l'informatique élyséenne, en sous-effectif, continue de pâtir d'un turn-over important. Au point de n'avoir toujours pas réussi à consolider l'inventaire de son parc matériel, ni finalisé la mise à jour de sa politique de sécurité, qui date de 2017. La Cour des comptes relève cela dit quelques améliorations.

Comme chaque année depuis 2009, la Cour des comptes a contrôlé les comptes et la gestion des services de la présidence de la République. Depuis 2018, elle réalise en outre un contrôle approfondi sur un domaine d’activité particulier de la présidence.

Après la sécurité (2020), l’immobilier et le patrimoine (2021) et les systèmes d’information et de communication (2022), la Cour a examiné cette année la direction des opérations. Un rapport qui ne traite que marginalement des questions numériques, mais qui permet de faire le point sur les problèmes soulevés l'an passé.

On y apprend que le service de l’informatique, des réseaux et du numérique (SIRN), chargé de l’informatique non classifiée de la présidence de la République, comprenait 23 agents au 31 décembre 2023. Le turn-over y est important.

Le rapport 2022 avait en effet constaté un « renouvellement élevé », dû en partie au changement d’équipe de direction, ayant débouché sur 13 départs et 10 arrivées, contre respectivement 7 et 6 en 2023.

Or, avec une cible inchangée de 28 équivalents temps plein (ETP), la problématique de sous-effectifs « continue à se poser », bien que de nouveaux recrutements aient eu lieu début 2024. Comme l'avait relevé la Cour en 2022, ces difficultés ont en effet « pu peser sur la capacité du service à mener tous les projets d’investissement souhaités et à engager de concert les démarches de transformation interne » :

« Les difficultés de recrutement ont […] pesé en 2023 sur la capacité à mettre en œuvre certains projets (investissement informatique, connaissance du parc matériel et applicatif, formalisation des procédures à l’arrivée et au départ des agents), mais la situation se stabilise. »

Ces difficultés de recrutement s’expliqueraient par des rémunérations inférieures à celles du secteur privé, « la présidence étant alignée sur le référentiel DINUM en la matière », et « l’impossibilité d’effectuer du télétravail ». Consciente de ces problématiques, la présidence dit travailler à l’amélioration de son attractivité et à la fidélisation de ses équipes.

18 des 907 ordinateurs de l'Élysée seraient introuvables

Ce turn-over, doublé d'un sous-effectif, a des conséquences. Dans son rapport sur l’exercice 2022, la Cour soulignait par exemple « la nécessité de consolider la connaissance du parc matériel ». Un inventaire d'autant plus important à réaliser que le SIRN estimait lui-même que son outil de gestion de l'inventaire ne recensait que « 95 % des matériels » :

« Cette connaissance est toutefois imparfaite : des matériels sont identifiés comme "à retrouver" (par exemple 18 ordinateurs sur un parc actif de 907 postes) et l’outil ne recense pas systématiquement le matériel acheté par d’autres services que le SIRN. Par exemple, la direction de la communication a acquis des ordinateurs Mac sans que cette information ne soit renseignée dans l’outil. »

Or, « du fait d’un manque de ressources internes », cet inventaire est resté limité aux seuls matériels informatiques situés au palais de l’Alma. Une des annexes de l'Élysée, où la présidence loge en toute discrétion les employés et collaborateurs les plus proches du président, dans 62 appartements.

« De manière générale, cette connaissance du parc matériel et applicatif, la mise en place d’outils appropriés et le maintien à jour de ces outils s’avèrent nécessaires au regard du turnover assez élevé des équipes », souligne le rapport.

Ce déficit de ressources humaines a aussi conduit à différer la formalisation de procédures à destination des agents en cas d’arrivée ou de départ. Elle devrait être « effective durant l’été 2024 ».

La révision du plan de reprise d’activité une nouvelle fois repoussée

En matière de nouvelles applications, la présidence s’engage par ailleurs dans la « réutilisation accrue des communs numériques », ainsi que dans le recours plus intensif à des logiciels ou progiciels « sur étagère ».

Une réflexion est aussi en cours sur l’utilisation de tout ou partie de la suite numérique de la DINUM ou du ministère de la Transition écologique. En outre, la webconférence de l’État est « désormais utilisable depuis les postes de travail de la Présidence ». Le rapport ne précise pas pourquoi elle ne l'était pas jusque-là.

• La Dinum sous l'œil critique de la Cour des comptes

Enfin, et dans la continuité des indications fournies l’an passé, « un système de sauvegarde unifié devrait être déployé en 2024 » pour améliorer la résilience et la capacité de reprise après un incident :

« Ce projet devrait être accompagné d’une mise à jour complète et d’une standardisation des procédures de sauvegarde afin de garantir la sécurité, la conformité et l’efficacité des opérations. »

« En revanche », souligne le rapport, la révision du plan de reprise d’activité « est une nouvelle fois repoussée », pour « tenir compte du décalage du projet de segmentation de la zone d’accès et de la zone transverse du système d’information ».

Une politique de sécurité des systèmes d’information datant de... 2017

Le passage consacré à la sécurité des systèmes d’information rappelle que, dans son rapport 2022, la Cour « relevait la bonne prise en compte de contraintes élevées de sécurité numérique tout en soulignant plusieurs carences ».

La Cour y déplorait en effet que la dernière actualisation formelle de la politique de sécurité des systèmes d’information (PSSI) datait de 2017. Elle « mérite une mise à jour, notamment à la suite de la réorganisation des services de la Présidence en 2019, de l’évolution de la cybermenace et de l’actualisation du socle réglementaire ».

La Cour des comptes plaidait également pour une politique de sensibilisation renforcée. Elle constatait en effet qu' « actuellement, la stratégie se structure autour d’une séance à destination des nouveaux arrivants », susceptible d'être alimentée de séances complémentaires « si le RSSI […] le juge nécessaire » :

« Afin de renforcer cette sensibilisation, la séance des nouveaux arrivants devrait être rendue obligatoire et la sensibilisation réalisée sur une base annuelle. La Présidence pourrait s’inspirer des mesures prises au niveau interministériel en chargeant le conseiller "numérique et données" de sensibiliser le reste du cabinet aux enjeux de sécurité numérique, voire en créant une instance à haut niveau consacrée à la sécurité numérique. »

La sécurité numérique serait désormais « affichée comme priorité » 

Un an plus tard, la Cour constate que la sécurité numérique serait désormais « affichée comme priorité » par les services de la présidence. « Plusieurs avancées » ont été réalisées ces derniers mois, qui « méritent d’être poursuivies ».

La PSSI de 2017 est pour sa part « en cours de révision et de validation ». Une cartographie des risques a aussi été réalisée « sur les enjeux applicables à la Présidence, avec une quantification de l’impact financier, légal, organisationnel et réputationnel ainsi que de la probabilité d’occurrence ».

De plus, la sensibilisation aux risques informatiques figure désormais parmi les « principaux objectifs » fixés au SIRN, « suscitant plusieurs initiatives ». Des campagnes d’hameçonnage ont aussi été lancées, des intervenants extérieurs spécialisés ont été sollicités, « notamment à destination des membres du cabinet », potentiellement les plus exposés.

La sensibilisation des agents participant aux voyages officiels et à leurs risques informatiques spécifiques a également été renforcée. Désormais, tous les membres du cabinet disposent d’un téléphone professionnel avec la messagerie sécurisée Olvid, « dont l’usage s’accroît au sein de la Présidence ». Le rapport ne donne pas de chiffres précis.

• Olvid gouvernemental : « les ministres étrangers utilisent tous WhatsApp ou Telegram »…

75 % de fonctionnaires en 2019, moins de 20 % en 2023

La Cour relève par ailleurs que la direction de la communication de la présidence, composée de 140 agents, a créé un « service dédié à la communication numérique ». Il réunit douze personnes et, « comme les années précédentes […] absorbe près de 90 % des dépenses d'investissement » :

« La croissance de l’activité numérique combinée aux efforts de dématérialisation induit de nouveaux besoins (marché de modération des discussions sur les réseaux sociaux, poste d’analyste de données) qui en remplacent d’autres (- 49 000 € de dépenses d’affranchissement en trois ans, moindre temps agent consacré à la gestion du courrier). »

Les deux tiers des 16 500 courriers reçus par mois (13 000 en 2022) le sont par voie électronique, débouchant sur une cascade de changements structurels. Cette dématérialisation a permis une « réduction importante » du département chargé de la correspondance, passé de 57 agents fin 2019 à 31 fin 2023 (- 46 %).

« Cette évolution est aussi statutaire », relève le rapport. Parmi les personnels chargés de la correspondance, 75 % étaient ainsi fonctionnaires en 2019. Ils n'étaient plus que 58 % en 2022, « et moins de 20 % en 2023 ». À l'inverse, les agents chargés de la communication numérique sont quant à eux « tous contractuels ».

Un rapport étrangement muet sur la conformité au RGPD

Depuis l’entrée en vigueur du RGPD, les fonctions de RSSI et de délégué à la protection des données personnelles (DPD) sont assurées par la même personne. Cependant, le rapport 2023 relevait que « la Présidence ne dispose pas d’un registre exhaustif des traitements de données personnelles ».

« Le DPD, avec l’appui du service métier traitant des données personnelles, a renseigné des fiches individuelles de traitements. Si ces dernières indiquent le responsable de traitement, la typologie des données et les mesures de sécurité mises en œuvre, elles n’identifient ni la base légale du traitement, ni la nécessité (ou non) d’effectuer une analyse d’impact relative à la protection des données. »

Soulignant que « sa contribution est nécessaire pour assurer le respect de la réglementation », la Cour des comptes évoquait pudiquement une « consolidation nécessaire en matière de protection des données personnelles ». Elle concluait que « la sensibilisation des agents à la protection des données, comme individus et responsables de projets, mériterait d’être renforcée » :

« De plus, l’appropriation par les services de cet enjeu et l’intégration en interne de ce dernier semblent imparfaites. Le DPD n’est pas associé à l’ensemble des traitements impliquant des données personnelles. »

Le rapport 2024 ne revient cependant pas sur ces problèmes de conformité au RGPD pourtant pointés du doigt l'an passé.

• Les systèmes d’information de la présidence de la République ne seraient pas conformes au RGPD