Un rapport de la Cour des comptes consacré aux systèmes d’information et de communication de l'Élysée révèle un sous-effectif persistant, 18 ordinateurs manquants, un manque de sensibilisation à la cybersécurité et une gestion particulièrement défaillante de son projet « le plus coûteux ».

Chaque année, le rapport de la Cour des comptes consacré à la gestion des services de la présidence de la République propose un « contrôle approfondi » d'un domaine d'activité particulier. Après s'être intéressé aux ressources humaines (2018), à l’organisation des services (2019), à la sécurité (2020), à l’immobilier et au patrimoine (2021), cette année, la Cour a examiné les systèmes d’information et de communication, « gérés par un service dédié et qui mobilisent 5 % de son budget, ce qui représente un niveau satisfaisant au regard d’entités de tailles comparables et compte tenu des contraintes de sécurité ».

On y apprend que l’informatique non classifiée y est gérée par le service de l’informatique, des réseaux et du numérique (SIRN), « composé de 28 agents dont un responsable » et organisé en trois départements et deux cellules :

un département des projets du SI (DPSI) de huit personnes, chargé de la conduite des projets et de l’environnement mis à disposition sur les postes de travail ;

un département d’exploitation et d’administration technique (DEAT) de neuf personnes et un apprenti, responsable de l’administration technique du système ;

un département d’assistance technique (DAT) de sept personnes et un apprenti, chargé de la mise à disposition de matériel et l’assistance informatique ;

une cellule maintien en condition de sécurité (MCS) de deux personnes, pour assurer le travail de MCS et la veille technique ;

un magasin, géré par une personne, chargé du stockage du matériel.

Le rapport souligne qu'une équipe de quatre personnes est dédiée aux enjeux de sécurité numérique et que « le RSSI, directement rattaché au DGS, dispose d’un adjoint et la cellule MCS, hiérarchiquement rattachée au SIRN, lui rend compte », tout en pâtissant d'un poste vacant.

« La dernière actualisation formelle de la politique de sécurité des systèmes d’information (PSSI) date de 2017 », s'étonne la Cour des comptes, pour qui la version en vigueur et mise à disposition des utilisateurs sur l’intranet, bien qu'annotée et consolidée de notes complémentaires, « mérite une mise à jour, notamment à la suite de la réorganisation des services de la Présidence en 2019, de l’évolution de la cybermenace et de l’actualisation du socle réglementaire ».

Des chartes informatiques utilisateur et administrateur sont par ailleurs formalisées mais, souligne le rapport, « celle à destination des administrateurs date de 2018 et mériterait d’être actualisée » :

« En outre, il est prévu qu’elle soit signée par les administrateurs à titre d’engagement, mais cela n’est en pratique pas fait. Il n’est pas exigé aux nouveaux arrivants de signature de la charte utilisateur, ce qui pourrait renforcer sa prise en compte. »

Microphones et caméras désactivés pour des raisons de sécurité