La plateforme ultra-sensible des achats de l’État confiée à une entreprise canadienne : le gouvernement se défend 

Cybersécurité


Le géant canadien de l’informatique CGI « n’aura pas accès à des données sensibles », a expliqué le ministère du Budget et des Comptes publics. Ce dernier est revenu sur le choix d’avoir confié à CGI une partie du support de la plateforme de commandes publiques de l’État, en lieu et place d’une PME française, après la montée au créneau d’une trentaine de députés.

Pas d’accès aux données sensibles, une prestation limitée, une sécurité maîtrisée… Le gouvernement défend son choix de confier une partie de la gestion de la plateforme d’achats de l’État (appelée PLACE) à une société canadienne, CGI. Ce choix, fait au détriment d’Atexo, une PME française qui en avait jusque-là la responsabilité, avait inquiété une trentaine de députés. Le 17 octobre dernier, ces parlementaires avaient adressé une lettre au ministre de l’Économie, nous expliquait vingt-quatre heures plus tôt Loïc Kervran, meneur de la fronde et vice-président de la commission de la Défense de l’Assemblée nationale.

À lire aussi : Des députés dénoncent le choix d’une entreprise canadienne pour gérer la plate-forme ultra sensible des achats de l’État

Dans ce courrier – révélé par la Lettre A – les parlementaires demandaient « qu’on leur garantisse qu’il n’y a pas de mise en cause de la sécurité nationale » en choisissant une société canadienne pour une plateforme d’achats publics aussi sensible, précisait Loïc Kervran. 01net.com avait alors sollicité le ministère de l’Économie. C’est finalement le ministère du Budget et des Comptes publics qui nous a répondu, par courriel.

CGI n’aura pas accès à des données confidentielles, avance le ministère du Budget et des Comptes publics

Et ce dernier confirme que le géant canadien CGI prend bien la suite de la PME française Atexo, la passation s’achevant à la fin du mois de novembre. Mais pour le reste, « CGI n’aura pas accès à des données confidentielles », assure un conseiller de Laurent Saint-Martin, le ministre du Budget et des Comptes publics. La question était au cœur des préoccupations des parlementaires.

Car la plateforme, inconnue du grand public, centralise des informations hautement sensibles. On y trouve des dizaines de milliers d’appels d’offres dématérialisées de l’État, et surtout les réponses apportées par les entreprises françaises (et étrangères), soit leurs offres techniques et financières, souvent très confidentielles. « Les appels d’offres du ministère des Armées sur l’équipement GSM des hélicoptères, ou sur l’entretien des structures émergées et immergées de la Marine nationale dans le Finistère et le Morbihan » en font partie, nous détaillait jeudi 31 octobre Loïc Kervran. Au vu de la sensibilité de ces informations, la plateforme pourrait être utilisée à des fins « de renseignement et d’intelligence économique » par un État étranger, de quoi poser des questions de souveraineté et de sécurité, s’inquiétait l’élu du Cher.

« La sécurité des données paraît tout à fait maîtrisée »

Un point balayé par le ministère des Comptes publics, qui explique que la prestation en question confiée à CGI se limite à « des environnements qui ne reçoivent pas les réponses aux appels d’offres ». Le mastodonte nord-américain, décrit comme « un prestataire parmi d’autres de l’État dans l’exploitation et l’évolution de PLACE », a été chargé de prendre la suite d’Atexo sur la partie support. En détail, il s’agit de « l’aide de premier niveau aux utilisateurs et la tierce maintenance applicative », et de son amélioration.

C’est une autre société française (Open) qui aura la responsabilité d’exploiter « les environnements productifs qui reçoivent les appels d’offres et les réponses des entreprises », cette dernière ayant la mission « d’analyser et de traiter des incidents, ainsi que la tierce maintenance technique ». « CGI n’aura donc pas accès à la partie confidentielle de PLACE », et « la sécurité des données paraît tout à fait maîtrisée », insiste le ministère des Comptes publics, qui revient sur le contexte qui aurait poussé l’État à choisir CGI.

Des difficultés évoquées avec la PME française Atexo, jusqu’ici en partie chargée de la plateforme

Courant 2024, « des difficultés ont été rencontrées avec (la PME française) Atexo », qui était responsable du support de la plateforme depuis 2019, nous précise-t-on sans plus de détails. Alors que son contrat s’achevait cette année, le choix aurait été fait de passer non pas par un appel d’offres, mais par l’UGAP (Union des groupements d’achats publics), une centrale d’achats publics.

L’UGAP a le rôle d’intermédiaire entre les acheteurs publics (administrations, ministères, collectivités…) et les prestataires (les entreprises privées qui peuvent fournir des équipements ou des services comme ici, des prestations informatiques). La centrale d’achats négocie en amont des contrats-cadres avec différentes sociétés, puis propose un catalogue de prestations aux administrations ou collectivités qui n’ont plus qu’à passer commande, en cas de besoin.

Or ici, l’UGAP a conclu un accord général avec CGI sur des prestations informatiques pouvant couvrir « la refonte de la plateforme d’achat (…) qui s’appuie sur des composants logiciels en open source. Ils visent à offrir des interfaces avec d’autres SI pour permettre une dématérialisation de bout en bout et diffuser de nouveaux services », nous détaille-t-on. Et après une « mise en concurrence », « l’UGAP a (finalement) retenu pour le support (de la plateforme d’achats PACE) la société CGI France », indique le ministère.

« La “nationalité” d’une entreprise est un indicateur très imparfait »

Le fait de passer par l’UGAP (et non par un appel d’offres) ne favorise-t-il pas les grands groupes, capables de proposer différents services listés dans des contrats cadres au détriment des PME ? Et qu’en est-il de l’avis du secrétariat général de la défense et de la sécurité nationale, réclamé par les députés ? Dans leur lettre, les parlementaires demandaient au ministère de l’Économie d’avoir accès aux « éléments d’analyse de risque et, le cas échéant, (à) l’avis du secrétariat général de la défense et de la sécurité nationale concernant ce choix stratégique ».

Sur ce point, aucune réponse n’est donnée. Mais le ministère prend soin de revenir sur « la nationalité » du géant canadien. « Le droit européen ne permet pas d’attribuer un marché public sur la base de ce critère (de nationalité) ». Et le contrat a été passé avec CGI France, « filiale française du groupe canadien CGI » qui emploie « 15 000 salariés » dans l’Hexagone, nous est-il précisé. CGI est d’ailleurs « bien connue de l’État » puisqu’elle est son « 11ᵉ fournisseur en 2023, tous segments d’achats confondus », poursuit le conseiller. « La nationalité est un indicateur très imparfait » qui « ne dit rien de la localisation des emplois, ou du lieu de stockage effectif des données », ajoute-t-il encore. Cela convaincra-t-il les députés, inquiets du choix du gouvernement ?

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.