Investir enfin dans la sécurité informatique à la DGFiP : une urgence, pas une variable d’ajustement
Alors que chaque jour se succèdent des nouvelles de fuites de données, la CFDT Finances publiques fait un point sur la situation à la DGFIP. Depuis des années les alertes s’accumulent, les incidents se multiplient et les discours officiels se veulent plus fermes sur la cybersécurité. Pourtant, sur le terrain, le constat reste le même : les investissements humains et matériels ne suivent pas le niveau des risques. La sécurité informatique continue trop souvent d’être traitée comme une dépense que l’on peut différer, alors même qu’elle conditionne la protection des agents, des usagers, des données et la crédibilité à notre administration.
Un décalage entre les ambitions affichées et les moyens réellement engagés
L’État reconnaît lui-même l’intensification de la menace cyber. Mais ces annonces ne peuvent masquer une réalité persistante : pour de nombreuses applications, à la dette technologique s’ajoute une dette de sécurité. Les projets de sécurisation des données prennent du retard car victime d’arbitrages en leur défaveur.
Le problème est connu
Les projets de sécurisation renforcés des postes de travail sont sans cesse reportés. À force d’arbitrages défavorables et de calendriers repoussés, on laisse perdurer des environnements qui ne répondent plus au niveau d’exigence imposé par la menace. Cette situation est d’autant plus anormale, que d’autres administrations de notre ministère ont fait cet effort. Des fuites de données massives ont montré paradoxalement que nos applications supportaient une charge importante alors que normalement les performances doivent se dégrader en cas d’un nombre de consultations anormales
Menace quantique sur nos clés de cryptage
Alors que les ordinateurs quantiques feront prochainement leur arrivée, il est important de durcir et d'adapter le cryptage de nos données dès maintenant .
L’IA est aussi bien un atout qu’une menace
Les nouveaux modèles d’IA permettent de détecter bien en amont les failles de sécurités informatiques : notre manque de moyens ne permet pas de s’en servir contrairement à ceux qui attaquent notre système d’information. Mais restons lucide car de nombreux piratages sont simples et ne nécessitent pas une expertise très complexe.
API un angle mort sous-estimé
L’accès aux données par des tiers via les API est une fragilité. À mesure que les systèmes de données s’interconnectent et que les échanges se multiplient avec des prestataires ou des plateformes partenaires, la surface d’exposition s’élargit. Une faille de sécurité ou une faiblesse de contrôle chez un tiers peut suffire à compromettre l’ensemble du système de la DGFIP et à mettre en cause sa sécurité informatique interne.
L’arrivée de la facturation électronique
L’avènement de cette réforme va intensifier la circulation de données économiques, fiscales et parfois personnelles entre plateformes et acteurs externes. Plus les flux deviennent massifs et interconnectés, plus l’exigence de sécurité doit être relevé.
Il faut le dire clairement : la fuite de données ne pourra jamais être totalement évitée. Mais ce constat ne doit pas servir de prétexte à l’inaction. Il est possible d’en limiter le nombre, la portée et la gravité en limitant le volume de données pouvant être extrait, à condition d’investir réellement, de sécuriser les postes de travail, de mieux contrôler les accès tiers et d’anticiper les effets de la facturation électronique.
Notre administration dit être humble sur ce sujet : peut-être, mais pour la CFDT Finances publiques cette excuse ne doit pas masquer le manque de moyens humains et techniques.
