Cybersécurité et marchés publics : comprendre le CCSC et ses enjeux
Sommaire
Chaque année, la cybersécurité génère plus de 900 opportunités dans la commande publique. Ce chiffre en constante évolution témoigne de son rôle stratégique dans la protection des administrations et des citoyens. Face à la montée des cybermenaces, les collectivités publiques doivent intégrer des mesures robustes pour sécuriser leurs systèmes et infrastructures numériques. Cet article explore le cadre réglementaire, les bonnes pratiques et les enjeux de la cybersécurité dans les marchés publics pour répondre à ces défis.
Définition de cybersécurité et intérêt du CCSC
La cybersécurité est devenue un enjeu majeur à l’ère de la numérisation des services et des données. Dans le domaine des marchés publics, il est essentiel de protéger les informations sensibles des administrations et des citoyens contre les cyberattaques. C’est dans ce contexte qu’intervient le CCSC (Cadre de Confiance en Sécurité des Systèmes d’Information).
Le CCSC constitue un ensemble de recommandations et de clauses permettant d’intégrer des exigences de sécurité numérique dans les marchés publics. Il vise à garantir la protection des systèmes d’information utilisés par les pouvoirs adjudicateurs et les entreprises exécutant ces contrats. En imposant des normes de sécurité claires et homogènes, le CCSC contribue à réduire les risques de cyberattaques tout en renforçant la confiance dans les échanges entre les acteurs publics et privés.
L’arrêté du 18 septembre 2018 et ses impacts sur l’achat public
L’arrêté du 18 septembre 2018 a marqué une étape cruciale dans l’intégration des enjeux de cybersécurité dans les marchés publics. Ce texte impose aux acheteurs publics de prendre en compte la sécurité des systèmes d’information (SSI) dans leurs procédures de passation de marchés.
Principales mesures de l’arrêté :
- Prise en compte des risques de cybersécurité : les acheteurs doivent évaluer les risques liés à la sécurité des informations et définir des exigences appropriées.
- Inclusion de clauses spécifiques dans les contrats : les marchés publics doivent comporter des clauses types pour assurer la sécurité des prestations fournies.
- Suivi et contrôle : les fournisseurs doivent rendre compte de leurs engagements en matière de cybersécurité.
Cet arrêté permet de formaliser des pratiques jusqu’alors disparates et assure une meilleure protection des systèmes publics face à la montée des cyber-menaces.
Les clauses types de cybersécurité à inclure dans un contrat proposé en réponse à un marché public
Pour répondre aux exigences de l’arrêté, plusieurs clauses types peuvent être incluses dans les contrats de marchés publics. Ces clauses permettent de définir clairement les obligations des prestataires en matière de cybersécurité. Voici quelques exemples :
- Clause de gestion des incidents de sécurité :
- Obligation pour le fournisseur de notifier tout incident de sécurité dans un délai défini.
- Présentation d’un plan de réponse aux incidents.
- Clause de conformité aux référentiels :
- Respect des normes telles que l’ISO 27001 ou le RGS (Référentiel Général de Sécurité).
- Clause d’audit et de contrôle :
- Possibilité pour l’acheteur de vérifier le respect des exigences de sécurité pendant l’exécution du contrat.
- Clause de protection des données :
- Respect des dispositions du RGPD pour la protection des données personnelles traitées.
- Clause d’exigence technique :
- Utilisation de solutions chiffrées et de protocoles de sécurité validés.
L’inclusion de ces clauses permet de clarifier les attentes en matière de sécurité et d’engager les fournisseurs dans une démarche proactive de protection des systèmes.
Vous voulez en savoir davantage sur les marchés publics de cybersécurité ?
Découvrez notre dossier spécial contenant :
- Une analyse de la data de la cybersécurité
- La tendance 2024 voire 2025 pour ce secteur
- Les mesures de l’état pour contrer les cyberattaques
Les enjeux de la cybersécurité pour la commande publique
La commande publique représente un secteur stratégique en matière de cybersécurité, car les collectivités possèdent des nombreuses données sensibles à propos de leurs citoyen(ne)s.
Leurs objectifs principaux sont :
La protection des données sensibles
Les administrations traitent des millions d’informations confidentielles sur les concitoyens et leurs infrastructures. Une cyberattaque pourrait avoir des conséquences graves en matière de protection des données.
C’est pour cette raison précisément que les collectivités publiques ont un besoin croissant d’audits de sécurité informatique. Elles souhaitent identifier en amont les vulnérabilités de leurs systèmes et garantir la protection des données sensibles des citoyens. Ces audits permettent de prévenir les cyberattaques et d’assurer la conformité aux réglementations, tout en renforçant la résilience des infrastructures numériques.
La continuité des services publics
Une attaque informatique peut perturber les activités essentielles d’une collectivité ou d’un établissement public.
Désormais la plupart des services publics sont digitalisés, un dysfonctionnement pourrait paralyser toute une région.
La confiance des citoyens
La sécurité des systèmes d’information renforce la confiance des citoyens dans l’administration et dans les services numériques proposés. Cela passe principalement par la formation des agents publics, aux enjeux de la cybersécurité.
Former les agents publics à la cybersécurité est essentiel pour protéger les données sensibles des administrations contre les cybermenaces croissantes. Une formation adaptée permet de renforcer la vigilance face aux pratiques à risque, comme les phishing ou les failles de sécurité, tout en assurant une gestion sécurisée des systèmes d’information.
Un prestataire en charge de la maintenance et la sécurisation informatique d’une collectivité, doit garantir un service sans faille. Les labels sont de réels plus dans une candidature de cybersécurité.
Voici quelques exemples de labels reconnus :
- SecNumCloud
- PASSI (Prestataire de Services de Cybersécurité)
- ISO/IEC 27 001
- HDS (Hébergeur de données de santé)
- RGS (Référentiel général de sécurité)
- Label France Cybersecurity
La prévention des coûts liés aux cyberattaques
Une attaque réussie peut entraîner des coûts financiers élevés (restauration des systèmes, perte de données, etc.).
De nos jours les cyberattaques sont de véritables hold-up numériques ! Les cyber-attaquants prennent des données sensibles en otage et réclament une rançon. On parle alors de rançoncigiels.
Les hôpitaux sont principalement ciblés par ces attaques et les sommes demandées peuvent aller jusqu’à plusieurs dizaines voire centaines de milliers d’euros.
La réponse aux obligations légales
La prise en compte de la cybersécurité dans les marchés publics répond aux obligations imposées par des textes tels que le RGPD ou l’arrêté du 18 septembre 2018 cité plus haut.
La cybersécurité est un enjeu incontournable pour les marchés publics. De plus en plus encadrées, les exigences pour protéger les systèmes d’information des administrations sont désormais quasi obligatoires. En incluant la cybersécurité dans les marchés publics, les acteurs de la commande publique peuvent mieux répondre aux risques numériques tout en assurant la protection des données et la continuité des services publics.
Découvrez dès maintenant tous les appels d’offres de cybersécurité et positionnez-vous avant vos concurrents !
Vous serez également intéressé
Commande publique : définition, principes et réglementation
Écoquartier : quels sont les prérequis pour une bonne conception ?
Comment réussir votre étude de marché et éviter les pièges ?
Vous avez envie d’être informé lors de la publication de nouvelles ressources ?
Vecteur Plus vous propose de nouvelles ressources régulièrement et produit une newsletter mensuelle qui regroupe l’ensemble des nouveaux sujets abordés.