La sécurité en matière d’achats publics

Dématérialisation et archivage électronique

Marchés publics dématérialisés

La sécurité dans le processus de dématérialisation des achats publics

L’article 56 du Code des marchés publics oblige les acheteurs publics à prendre toutes les mesures nécessaires pour la réception des candidatures et des offres par voie électronique. Comme le démontre le « Guide technique pour la sécurité de la dématérialisation des achats publics » (1) élaboré sous l’égide du Ministère de l’Economie et des finances, cette dématérialisation implique une étude préalable de l’ensemble des problématiques inhérentes à la sécurité de la future plate-forme. Un audit préalable des besoins en sécurité informatique doit donc être effectuée par la collectivité avant la mise en place de sa plate-forme dématérialisée. A ce titre, la personne publique doit par exemple quantifier ses besoins en termes de confidentialité et d’intégrité des informations, de disponibilité des systèmes, d’opposabilité des procédures internes ou encore, de traçabilité des actions menées.

Anticiper l’ensemble des risques liés à la dématérialisation des achats publics avant la mise en place de la plate-forme par la collectivité territoriale.

Il est demandé aux candidats d’ acquérir un certificat électronique au minimum de « niveau 2 » auprès d’un prestataire référencé, puis de contrôler que les certificats ne seront utilisés que par leurs seuls titulaires. Ils doivent en outre vérifier, avant l’envoi de leurs candidatures et de leurs offres, que les pièces qu’ils transmettent ne contiennent pas de virus, puisque la présence d’un virus est susceptible d’entraîner l’élimination d’office du candidat. L’acheteur public doit quant à lui, prendre deux types de mesures.

Tout d’abord, des mesures de sécurisation de la plate-forme de dématérialisation, afin que celle-ci permette de manière sûre d’horodater et de tracer toutes les actions, tout en garantissant l’intégrité et l’origine des documents. La mise en place et la mise à jour d’un pare-feu, d’un système de détection d’intrusion, d’un anti-virus ou encore d’un certificat de serveur sont par exemple primordiales. Ensuite, d’un point de vue organisationnel, tous les agents publics intervenant en matière de marchés dématérialisés doivent être identifiées et leurs rôles strictement délimités. L’accès des agents aux marchés dématérialisés doit faire l’objet d’un contrôle transparent, en vue de démontrer, le cas échéant, que toutes les précautions ont été prises, par exemple lors de la phase d’ouverture des candidatures et des offres.

Guide à consulter sur :
www.men.minefi.gouv.fr

(Mise en ligne Septembre 2008)