A VOIR

|

Cyber-sécurité : un niveau “insuffisant” à la CPS selon la CTC

Publié le

Après avoir contrôlé le budget de la CPS en juin dernier, la Chambre Territoriale des Comptes (CTC) s'est penchée sur sa gestion des systèmes informatiques. Entre une faible dématérialisation, déjà observée, et des retards techniques, c'est principalement la question de la cyber-sécurité et protection des données au sein de la CPS qui interroge.

Publié le 23/11/2022 à 10:25 - Mise à jour le 23/11/2022 à 10:43
Lecture 2 minutes

Après avoir contrôlé le budget de la CPS en juin dernier, la Chambre Territoriale des Comptes (CTC) s'est penchée sur sa gestion des systèmes informatiques. Entre une faible dématérialisation, déjà observée, et des retards techniques, c'est principalement la question de la cyber-sécurité et protection des données au sein de la CPS qui interroge.

Alors que la réforme de la PSG approche, la CTC a rendu son rapport sur les systèmes d’information de la Caisse de Prévoyance Sociale (CPS). Un rapport basé sur une analyse depuis 2014, soit la période correspondant à la mise en œuvre du Schéma directeur des systèmes d’information élaboré fin 2013.

Après le contrôle du budget en juin dernier, la CTC examine cette fois-ci trois thèmes : l’organisation et les moyens du SI, la sécurité et la protection des données, ainsi que la mise en œuvre de la dématérialisation. Sur les deux derniers points, les observations de la juridiction sont nombreuses.

Le contrôle a notamment mis en évidence “l’absence de mise à jour de la cartographie des risques liés aux systèmes d’information, ainsi que des documents cadres peu opérationnels“. Concrètement, le réseau interne “n’a pas bénéficié de tests suffisamment réguliers au regard des bonnes pratiques“. En cas d’attaque informatique, la CPS n’est pas protégée, son plan de défense n’étant pas encore prêt.

Un niveau de sécurité insuffisant

Point sensible, la protection des données n’a été que partiellement et récemment renforcée, suite à l’entrée en vigueur du règlement général sur la protection des données (RGPD) en 2019. Or, la CPS détient des données confidentielles au niveau médical, et d’autres informations sensibles sur les rémunérations des cotisants, qui sont susceptibles de fuiter à travers l’accès à l’outil de production statistique. En matière de cyber-sécurité de la CPS, le constat de la CTC est ainsi sans appel : le niveau est tout simplement “insuffisant“.

Exemple choisi par la CTC pour illustrer cette faible sécurité en interne, celui d’un agent de la CPS qui “a eu accès au fichier des dates de naissance des employés de la CPS” pour leur souhaiter leur anniversaire.

Une dématérialisation qui traîne

Par ailleurs la CTC relève que la dématérialisation avance, certes, mais pas à la vitesse espérée. La CTC prend l’exemple des quelques 59% d’agents dont le travail est principalement de scanner des pièces ou à réaliser des saisies manuelles, piquant la CPS dans un cliché bureaucratique.

La liste des couacs est relativement longue : dans les usages par exemple, la feuille de soins électronique n’est pas ou peu utilisée par les médecins libéraux, et la CPS n’est pas suffisamment associée aux autres structures : “S’agissant des projets qui nécessitent un travail en commun avec d’autres structures (ministère de la Santé, Centre Hospitalier de la Polynésie française, et l’Agence de régulation de l’action sanitaire et sociale), les constats mettent en évidence la faible association de la CPS pour le projet d’Observatoire des données de santé ou pour le projet de dossier médical partagé, non créés à ce jour“.

La CTC conclut en indiquant ses quatre recommandations ci-dessous :

Recommandation n°1 : Évaluer, dès 2022, la dette technique du système d’information afin de définir les moyens de la résorber

Recommandation n°2 : Procéder, dès 2022, à la revue des habilitations des agents

Recommandation n°3 : Définir, dès 2022, une feuille de route opérationnelle pour la dématérialisation

Recommandation n°4 : Participer, dès 2022, à la création d’une structure de coordination des systèmes d’information