Dans un monde de plus en plus interconnecté, la cybersécurité devient un enjeu stratégique et économique clé, notamment dans les marchés publics qui traitent une grande quantité de données sensibles et d’informations confidentielles. La protection de ces données contre les cyberattaques est essentielle pour garantir la confidentialité, l’intégrité et la disponibilité des informations, tout en préservant la confiance du public. Ainsi, la cybersécurité ne se limite pas à des mesures techniques mais requiert une stratégie globale incluant sensibilisation, formation et adaptation aux menaces pour assurer la sécurité et l’efficience des services publics à l’ère numérique.
Enjeux de la cybersécurité dans les achats publics
Risques liés aux achats publics
Les achats publics sont particulièrement vulnérables à diverses cybermenaces. Les attaques de la chaîne d’approvisionnement sont parmi les plus préoccupantes puisqu’elles impliquent l’infiltration de logiciels malveillants dans les produits ou services achetés avant même leur livraison. Par exemple, un logiciel utilisé par une administration peut être compromis avant son installation, permettant ainsi aux attaquants d’accéder aux systèmes internes.
L’espionnage économique est une autre menace sérieuse. Des acteurs malveillants, souvent soutenus par des États, cherchent à obtenir des informations sensibles sur les offres ou les stratégies des entreprises soumissionnaires, qui peuvent ensuite être utilisées pour manipuler les résultats des appels d’offres ou pour obtenir un avantage concurrentiel.
La cybercriminalité, incluant les ransomwares et les vols de données, représente également un risque important. Les ransomwares, en particulier, peuvent paralyser les systèmes informatiques des organismes publics, les rendant indisponibles jusqu’au paiement d’une rançon.
Ces attaques peuvent entraîner de graves conséquences telles que la fuite ou le vol d’informations, la perte de confiance des utilisateurs, l’arrêt ou le ralentissement provisoire des services, et la violation de la confidentialité. Ces impacts compromettent la fiabilité des institutions publiques et affectent les citoyens qui dépendent de leurs services.
En plus des conséquences opérationnelles, les cyberattaques imposent des coûts financiers importants, incluant les dépenses pour réparer les systèmes compromis, renforcer les infrastructures de sécurité ou payer les rançons dans le cas de ransomware. Les coûts indirects, tels que la perte de productivité et l’intégration de mesures préventives, augmentent également le fardeau financier.
Nouveaux défis de la cybersécurité
Suite au développement du numérique et aux modes de travail qui y sont associés, de nouveaux points de vigilance sont à tenir en compte :
- Développement des services numériques et territoires connectés : la création de services croisant d’importants flux de données dans le but d’améliorer l’expériences des utilisateurs nécessite une maîtrise des réglementations sur le traitement des données et la sécurisation des flux afin d’éviter les détournements ;
- Révolution des modes de travail : avec l’accélération du télétravail pendant le COVID, les administrations ont été contraintes de sécuriser davantage leurs échanges numériques ;
- Dépendance aux prestataires externes : la gestion et la sécurisation des infrastructures informatiques par des prestataires externes augmentent la vulnérabilité des organismes publics puisqu’ils offrent des voies complémentaires d’attaque ;
- Adoption du Cloud : bien qu’il soit un levier majeur de la transformation digitale, le Cloud comporte un risque accru de cyberattaques. En effet, la complexité de conception et de migration des données ainsi que les enjeux de sécurité sous-jacents sont souvent sous-estimés ;
- Ransomware-as-a-Service (RaaS) : ce modèle fournit des services complets d’attaque à moindre coût aux hackers, multipliant ainsi les menaces contre les entités publiques.
Stratégies pour renforcer la cybersécurité dans les achats publics
Politiques et régulations
Plusieurs lois et régulations encadrent la cybersécurité dans les achats publics. La plus connue est le Règlement général sur la protection des données (RGPD), qui impose des exigences strictes en matière de protection des données personnelles. Les entités publiques doivent s’assurer que leurs fournisseurs respectent ces exigences, notamment lorsqu’il s’agit de traiter des données sensibles.
La directive NIS 2 (Network and Information Systems) de l’Union européenne vise à améliorer la cybersécurité dans les infrastructures critiques, y compris celles utilisées pour les achats publics. Elle oblige les États membres à adopter des mesures de sécurité et à signaler les incidents de sécurité significatifs.
Les gouvernements et agences spécialisées jouent un rôle primordial dans le renforcement de la cybersécurité. Ils doivent établir des normes et des lignes directrices claires pour les entités publiques. Par exemple, l’Agence européenne pour la sécurité des réseaux et de l’information (ENISA) fournit des recommandations et des bonnes pratiques pour améliorer la cybersécurité.
Les autorités publiques doivent également offrir des ressources pour la formation et l’audit de sécurité. Par exemple, des programmes de formation en cybersécurité peuvent aider les employés des organismes publics à comprendre les risques et à adopter des pratiques de sécurité efficaces.
Enfin, la collaboration entre les secteurs public et privé est fondamentale. Les autorités publiques peuvent faciliter cette collaboration en organisant des forums de discussion, des ateliers et des exercices de simulation pour partager les connaissances et les expériences.
Solutions techniques et organisationnelles
L’adoption de technologies de sécurité avancées est essentielle pour sécuriser les processus d’achat. La cryptographie permet de protéger les données sensibles pendant leur transmission et leur stockage, comme c’est le cas du chiffrement des communications entre les entités publiques et les fournisseurs qui peut empêcher les interceptions malveillantes.
L’authentification multifacteur renforce la sécurité des accès en exigeant plusieurs formes de vérification avant d’accéder aux systèmes. Ainsi, en plus d’un mot de passe, un utilisateur peut être tenu de fournir un code envoyé à son téléphone portable.
Par ailleurs, la surveillance continue des systèmes aide à détecter et répondre rapidement aux incidents de sécurité. Les systèmes de détection et de prévention d’intrusion peuvent identifier et bloquer les activités suspectes en temps réel. Il existe aussi des solutions de gestion des informations et des événements de sécurité permettant de centraliser et d’analyser les logs de sécurité pour détecter les comportements anormaux.
Un autre aspect clé pour maintenir un haut niveau de cybersécurité est la formation continue du personnel et des partenaires. Les employés doivent être formés aux bonnes pratiques de sécurité, telles que l’utilisation de mots de passe forts, la reconnaissance des emails de phishing et la manipulation sécurisée des données sensibles. De ce fait, des simulations régulières d’incidents de cybersécurité peuvent aider à préparer les équipes à réagir efficacement en cas d’attaque.
Enfin, la sensibilisation aux risques cybernétiques doit également être intégrée dans les procédures d’achat. Les entités publiques doivent évaluer les pratiques de sécurité de leurs fournisseurs potentiels et inclure des exigences de sécurité dans les appels d’offres et les contrats. Par exemple, les fournisseurs peuvent être tenus de prouver leur conformité avec des normes de sécurité reconnues, telles que ISO/IEC 27001.
La cybersécurité dans les achats publics est un défi majeur. En comprenant les risques et en adoptant des stratégies robustes, les entités publiques peuvent mieux protéger leurs processus d’achat contre les cybermenaces. Il est important de continuer à renforcer les régulations, à adopter des technologies de pointe, et à investir dans la formation et la sensibilisation du personnel. Les parties prenantes doivent agir de manière proactive pour garantir la sécurité et la résilience des achats publics à l’avenir. En mettant en œuvre ces mesures, les entités publiques peuvent non seulement protéger leurs systèmes et leurs données, mais aussi renforcer la confiance des citoyens dans les institutions et les services publics.
Article rédigé par Sarah Expósito, chargée de marketing et communication digitale