Connexion
Abonnez-vous

La Cour des comptes pointe (encore) les carences informatiques de l’Élysée

« En même temps... »

La Cour des comptes pointe (encore) les carences informatiques de l’Élysée

Le service en charge de l'informatique élyséenne, en sous-effectif, continue de pâtir d'un turn-over important. Au point de n'avoir toujours pas réussi à consolider l'inventaire de son parc matériel, ni finalisé la mise à jour de sa politique de sécurité, qui date de 2017. La Cour des comptes relève cela dit quelques améliorations.

Le 31 juillet à 15h35

Comme chaque année depuis 2009, la Cour des comptes a contrôlé les comptes et la gestion des services de la présidence de la République. Depuis 2018, elle réalise en outre un contrôle approfondi sur un domaine d’activité particulier de la présidence.

Après la sécurité (2020), l’immobilier et le patrimoine (2021) et les systèmes d’information et de communication (2022), la Cour a examiné cette année la direction des opérations. Un rapport qui ne traite que marginalement des questions numériques, mais qui permet de faire le point sur les problèmes soulevés l'an passé.

On y apprend que le service de l’informatique, des réseaux et du numérique (SIRN), chargé de l’informatique non classifiée de la présidence de la République, comprenait 23 agents au 31 décembre 2023. Le turn-over y est important.

Le rapport 2022 avait en effet constaté un « renouvellement élevé », dû en partie au changement d’équipe de direction, ayant débouché sur 13 départs et 10 arrivées, contre respectivement 7 et 6 en 2023.

Or, avec une cible inchangée de 28 équivalents temps plein (ETP), la problématique de sous-effectifs « continue à se poser », bien que de nouveaux recrutements aient eu lieu début 2024. Comme l'avait relevé la Cour en 2022, ces difficultés ont en effet « pu peser sur la capacité du service à mener tous les projets d’investissement souhaités et à engager de concert les démarches de transformation interne » :

« Les difficultés de recrutement ont […] pesé en 2023 sur la capacité à mettre en œuvre certains projets (investissement informatique, connaissance du parc matériel et applicatif, formalisation des procédures à l’arrivée et au départ des agents), mais la situation se stabilise. »

Ces difficultés de recrutement s’expliqueraient par des rémunérations inférieures à celles du secteur privé, « la présidence étant alignée sur le référentiel DINUM en la matière », et « l’impossibilité d’effectuer du télétravail ». Consciente de ces problématiques, la présidence dit travailler à l’amélioration de son attractivité et à la fidélisation de ses équipes.

18 des 907 ordinateurs de l'Élysée seraient introuvables

Ce turn-over, doublé d'un sous-effectif, a des conséquences. Dans son rapport sur l’exercice 2022, la Cour soulignait par exemple « la nécessité de consolider la connaissance du parc matériel ». Un inventaire d'autant plus important à réaliser que le SIRN estimait lui-même que son outil de gestion de l'inventaire ne recensait que « 95 % des matériels » :

« Cette connaissance est toutefois imparfaite : des matériels sont identifiés comme "à retrouver" (par exemple 18 ordinateurs sur un parc actif de 907 postes) et l’outil ne recense pas systématiquement le matériel acheté par d’autres services que le SIRN. Par exemple, la direction de la communication a acquis des ordinateurs Mac sans que cette information ne soit renseignée dans l’outil. »

Or, « du fait d’un manque de ressources internes », cet inventaire est resté limité aux seuls matériels informatiques situés au palais de l’Alma. Une des annexes de l'Élysée, où la présidence loge en toute discrétion les employés et collaborateurs les plus proches du président, dans 62 appartements.

« De manière générale, cette connaissance du parc matériel et applicatif, la mise en place d’outils appropriés et le maintien à jour de ces outils s’avèrent nécessaires au regard du turnover assez élevé des équipes », souligne le rapport.

Ce déficit de ressources humaines a aussi conduit à différer la formalisation de procédures à destination des agents en cas d’arrivée ou de départ. Elle devrait être « effective durant l’été 2024 ».

La révision du plan de reprise d’activité une nouvelle fois repoussée

En matière de nouvelles applications, la présidence s’engage par ailleurs dans la « réutilisation accrue des communs numériques », ainsi que dans le recours plus intensif à des logiciels ou progiciels « sur étagère ».

Une réflexion est aussi en cours sur l’utilisation de tout ou partie de la suite numérique de la DINUM ou du ministère de la Transition écologique. En outre, la webconférence de l’État est « désormais utilisable depuis les postes de travail de la Présidence ». Le rapport ne précise pas pourquoi elle ne l'était pas jusque-là.

Enfin, et dans la continuité des indications fournies l’an passé, « un système de sauvegarde unifié devrait être déployé en 2024 » pour améliorer la résilience et la capacité de reprise après un incident :

« Ce projet devrait être accompagné d’une mise à jour complète et d’une standardisation des procédures de sauvegarde afin de garantir la sécurité, la conformité et l’efficacité des opérations. »

« En revanche », souligne le rapport, la révision du plan de reprise d’activité « est une nouvelle fois repoussée », pour « tenir compte du décalage du projet de segmentation de la zone d’accès et de la zone transverse du système d’information ».

Une politique de sécurité des systèmes d’information datant de... 2017

Le passage consacré à la sécurité des systèmes d’information rappelle que, dans son rapport 2022, la Cour « relevait la bonne prise en compte de contraintes élevées de sécurité numérique tout en soulignant plusieurs carences ».

La Cour y déplorait en effet que la dernière actualisation formelle de la politique de sécurité des systèmes d’information (PSSI) datait de 2017. Elle « mérite une mise à jour, notamment à la suite de la réorganisation des services de la Présidence en 2019, de l’évolution de la cybermenace et de l’actualisation du socle réglementaire ».

La Cour des comptes plaidait également pour une politique de sensibilisation renforcée. Elle constatait en effet qu' « actuellement, la stratégie se structure autour d’une séance à destination des nouveaux arrivants », susceptible d'être alimentée de séances complémentaires « si le RSSI […] le juge nécessaire » :

« Afin de renforcer cette sensibilisation, la séance des nouveaux arrivants devrait être rendue obligatoire et la sensibilisation réalisée sur une base annuelle. La Présidence pourrait s’inspirer des mesures prises au niveau interministériel en chargeant le conseiller "numérique et données" de sensibiliser le reste du cabinet aux enjeux de sécurité numérique, voire en créant une instance à haut niveau consacrée à la sécurité numérique. »

La sécurité numérique serait désormais « affichée comme priorité » 

Un an plus tard, la Cour constate que la sécurité numérique serait désormais « affichée comme priorité » par les services de la présidence. « Plusieurs avancées » ont été réalisées ces derniers mois, qui « méritent d’être poursuivies ».

La PSSI de 2017 est pour sa part « en cours de révision et de validation ». Une cartographie des risques a aussi été réalisée « sur les enjeux applicables à la Présidence, avec une quantification de l’impact financier, légal, organisationnel et réputationnel ainsi que de la probabilité d’occurrence ».

De plus, la sensibilisation aux risques informatiques figure désormais parmi les « principaux objectifs » fixés au SIRN, « suscitant plusieurs initiatives ». Des campagnes d’hameçonnage ont aussi été lancées, des intervenants extérieurs spécialisés ont été sollicités, « notamment à destination des membres du cabinet », potentiellement les plus exposés.

La sensibilisation des agents participant aux voyages officiels et à leurs risques informatiques spécifiques a également été renforcée. Désormais, tous les membres du cabinet disposent d’un téléphone professionnel avec la messagerie sécurisée Olvid, « dont l’usage s’accroît au sein de la Présidence ». Le rapport ne donne pas de chiffres précis.

75 % de fonctionnaires en 2019, moins de 20 % en 2023

La Cour relève par ailleurs que la direction de la communication de la présidence, composée de 140 agents, a créé un « service dédié à la communication numérique ». Il réunit douze personnes et, « comme les années précédentes […] absorbe près de 90 % des dépenses d'investissement » :

« La croissance de l’activité numérique combinée aux efforts de dématérialisation induit de nouveaux besoins (marché de modération des discussions sur les réseaux sociaux, poste d’analyste de données) qui en remplacent d’autres (- 49 000 € de dépenses d’affranchissement en trois ans, moindre temps agent consacré à la gestion du courrier). »

Les deux tiers des 16 500 courriers reçus par mois (13 000 en 2022) le sont par voie électronique, débouchant sur une cascade de changements structurels. Cette dématérialisation a permis une « réduction importante » du département chargé de la correspondance, passé de 57 agents fin 2019 à 31 fin 2023 (- 46 %).

« Cette évolution est aussi statutaire », relève le rapport. Parmi les personnels chargés de la correspondance, 75 % étaient ainsi fonctionnaires en 2019. Ils n'étaient plus que 58 % en 2022, « et moins de 20 % en 2023 ». À l'inverse, les agents chargés de la communication numérique sont quant à eux « tous contractuels ».

Un rapport étrangement muet sur la conformité au RGPD

Depuis l’entrée en vigueur du RGPD, les fonctions de RSSI et de délégué à la protection des données personnelles (DPD) sont assurées par la même personne. Cependant, le rapport 2023 relevait que « la Présidence ne dispose pas d’un registre exhaustif des traitements de données personnelles ».

« Le DPD, avec l’appui du service métier traitant des données personnelles, a renseigné des fiches individuelles de traitements. Si ces dernières indiquent le responsable de traitement, la typologie des données et les mesures de sécurité mises en œuvre, elles n’identifient ni la base légale du traitement, ni la nécessité (ou non) d’effectuer une analyse d’impact relative à la protection des données. »

Soulignant que « sa contribution est nécessaire pour assurer le respect de la réglementation », la Cour des comptes évoquait pudiquement une « consolidation nécessaire en matière de protection des données personnelles ». Elle concluait que « la sensibilisation des agents à la protection des données, comme individus et responsables de projets, mériterait d’être renforcée » :

« De plus, l’appropriation par les services de cet enjeu et l’intégration en interne de ce dernier semblent imparfaites. Le DPD n’est pas associé à l’ensemble des traitements impliquant des données personnelles. »

Le rapport 2024 ne revient cependant pas sur ces problèmes de conformité au RGPD pourtant pointés du doigt l'an passé.

Commentaires (29)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
"En même temps..."

:dix: :bravo:
votre avatar
On se sent tellement mieux après avoir lu un tel rapport: rassuré, confiant, apaisé.
On peut se dire tellement de choses qu'on fait mieux que les services de la présidence!
votre avatar
Depuis l’entrée en vigueur du RGPD, les fonctions de RSSI et de délégué à la protection des données personnelles (DPD) sont assurées par la même personne.
Je ne suis pas certains que les fonctions de RSSI et de DPD soient compatibles (= rôle attribué à la même personne). Le DPD doit, en théorie, ne pas être en conflit d'intérêt dans le cadre de ses fonctions. Ce qu'il sera de facto s'il est également RSSI.

les rôles sont complémentaires (et doivent même collaborer ensemble sur par mal de sujets), mais ne peuvent pas être tenu par la même personne.
[edit] rajout du texte en italique
votre avatar
tu as entièrement raison ... mais va trouver des personnes câblées « Sécurité » :fou:
votre avatar
C'est si compliqué d'avoir un computrace-like et de bloquer les postes "à retrouver" dès le boot ?
votre avatar
T'as vu qu'il y a des Mac fantômes ...

Qui sait ce qui est offert dans l'une ou l'autre des 62 alcoves discrétionnaires :D ?

Je vois bien le petit informaticien du service expliquer que le mignon du moment n'a aucune notion de PSSI et qu'il fait courrir un risque pour la sécurité de l'état en surfant sur n'importe quoi avec son nouveau Mac :mdr:
votre avatar
J'ai eu connaissance de plusieurs cas de disparitions de matériel dans des administrations, et pas que du déclassé.
Par exemple, un magnifique laptop "gamer" avec CG haut-de-gamme, qui n'avait été commandé que pour du Word/Excel/mail, disparu d'un bureau fermé à clé, mais jamais recherché car le bureau était occupé par "quelqu'un de bien placé"...
Ou plus cocasse, un rack et ses switchs, patch panels et autres accessoires, tous encore dans leurs emblallages spécifiques, qui une fois passés la porte du bâtiment, ne sont jamais arrivés jusqu'au bureau de l'IT.

On pourrait croire que dans les hauts lieux de l'état, ça se passe plus sérieusement, mais on serait bien surpris.
votre avatar
Perso, l'article décrit les DSI que j'ai connues. Pour les disparitions, ça existe partout et à tous les niveaux, y compris dans le privé. De même que la com' qui exprime son côté artiste en commandant ses propres ressources (et en les faisant gérer par la DSI plus tard)
Il décrivent une DSI qui a un peu de retard sur les autres, mais si je devais sommer les points noirs des endroits où j'ai travaillé, j'aurais les mêmes.
votre avatar
A part le système de Ms, tu connais un seul système 'computrace like' qui fonctionne pour retrouver un ordi? Ou réellement le mettre à zéro à distance? Et n'est pas invalidé simplement en étant hors réseau?
votre avatar
Computrace est au niveau des bios sur les machines dell.
L enrollement d un mac sur le site Apple ne permet pas de faire la même chose ?
votre avatar
Mais que se passe t'il quand une machine computrace est volée? Comment peut-on retrouver l'ordi?
Je comprends qu'on puisse bloquer l'ordi s'il n'a pas été dans le réseau quelques jours, mais de là à le retrouver c'est forcément logiciel donc ça n'empêche pas grand-chose ...
D'où l'équivalent ms de l'enrollment
votre avatar
De mémoire, la puce physique réinstalle de force l'agent sur windows, du coup au premier accès Internet la localisation / commande d'effacement / bloquage est pris en compte.
votre avatar
Il doit y avoir un problème avec votre générateur de flux RSS, car depuis cet article (et ça concerne donc aussi ceux sur l’ARCEP et Apple), l’illustration ne s’affiche plus dans mon lecteur RSS (Vivaldi, en l’occurrence). L’inspecteur d’élément indique ceci : img src="/" […] à la place de l’URL de l’image WebP.
votre avatar
Idem sous Thunderbird, l'article sur Saint-Denis apparait avec son illustration, pas les suivants
votre avatar
pas de souci sur rssowlnix, ni sur le rss validator..." class="domain-link trusted-domain-link" title="https://next.ink/feed/)..." target="_blank" rel="noopener">next.ink Next ça a été corrigé entre temps?
votre avatar
Pareil sur Feedly
votre avatar
On regarde, thanks guys
votre avatar
Quand on lit entre les lignes, on se rend compte que la gestion est probablement pas très contrôlée et que le contrôle des logiciels installés semble inexistant. Rien que pour la solution de sauvegarde, je comprends : chacun fait sa propre sauvegarde de temps en temps… Ça fait peur à ce niveau de responsabilité…
votre avatar
complètement d'accord, y'a des coups d'pied au Q qui s'perdent !
votre avatar
Le problème du recrutement ? Non... sans blague ? c'est pareil dans le supérieur pour les postes liés à l'informatique, trop mal pays. Ceci étant, c'est pareil pour les profs malgré "leurs nombreuses vacances" ou "leur faible emploi du temps", peu de volontaires pour ce niveau de salaire.
votre avatar
A l'inverse, quelques conseils lors des recrutements: bien bien bien sonder les mokns de 35ans, peu fiables, exigeants...
Le salaire des profs ou des fonctionnaires, c'est pas non plus une catastrophe. Ça dépend pas mal du lieu de vie, mais à 2500/3000€ par mois, tu t'en sors pas mal
votre avatar
Je suis curieux de savoir pourquoi vous écrivez que les moins de 35 ans sont peu fiables et exigeants comparé à d'autres tranches d'âge.
votre avatar
Consignes qui se répandent. Les moins de 35ans ont une super réputation à cause de certains: ne viennent pas au travail, exigent des avantages, veulent compter le temps de déplacement en heures supp, démissionnent par abandon de poste, détournent le télétravail...

Malheureusement il y a tellement d'exemples qu'il y a maintenant une énorme méfiance.
votre avatar
Pour le salaire il faudra revoir les grilles, se serais plutôt 1450€ en début de carrière et 2500€ en fin de carrière une fois que tu a tous passer toute les classes, du moins pour un tech info (BAC +3, un concours a passer et lors de ton oral si tu n'a pas de certif on te dit au-revoir). Pour un ingé info tu commence au alentour de 1700€ et tu fini a 3000€ ( au bout de 25 à 30 ans :ooo: ). et ne pas oublier que sur les chiffres que j'ai donné tu a une prime inclus dedans qui représente la majorité de ton salaire (au dessus du smic) et qui ne sera par conséquent pas prit en compte pour ta retraite

De plus cela dépend aussi de ton ministère de rattachement (ou collectivité), clairement les salaire sont environ entre 35% à 50% inférieur que dans le privé. Il y a des avantages (du moins encore pour le moment) comme pour le calcul de la retraite.
votre avatar
J'ai jamais compris pourquoi ces DSI clairement pas fonctionnelles ne sont pas prises sous la tutelle de DSI beaucoup plus efficaces, telles que celles de la gendarmerie / ANFSI.
votre avatar
Oui, ça serait bien d'avoir de la mutualisation. Mais est-on si sûrs que la DSI de la gendarmerie est 'efficace'? (Pour les avoir rencontrés, il y a du bon, du moins bon, et du très bon mais ultra coûteux en ressources humaines, y compris hors DSI!)
votre avatar
Est ce que l'Elysée a vraiment besoin d'une DSI au final ? Ça ne pourrait pas être géré par un ministère ?
votre avatar
Et en période de cohabitation, ça se passerait comment ?

La Présidence a son propre budget et ses propres ressources.
votre avatar
Dans n'importe quelle DSI il y a cohabitation tout au long de l'année... Une même entreprise est supposée avoir des gens de droite, de gauche, des agnostique...

La Cour des comptes pointe (encore) les carences informatiques de l’Élysée

  • 18 des 907 ordinateurs de l'Élysée seraient introuvables

  • La révision du plan de reprise d’activité une nouvelle fois repoussée

  • Une politique de sécurité des systèmes d’information datant de... 2017

  • La sécurité numérique serait désormais « affichée comme priorité » 

  • 75 % de fonctionnaires en 2019, moins de 20 % en 2023

  • Un rapport étrangement muet sur la conformité au RGPD

Fermer