La Cour des comptes publie un flot aussi incessant qu'instructif de rapports. Après la transformation numérique du secteur et des services publics, le programme SIRHEN ou encore Pôle Emploi, c'est au tour de Parcoursup de passer sur le grill des sages de la rue Cambon. Dans son dernier ouvrage, la Cour émet un constat pour le moins contrasté sur la plateforme d'orientation et de choix d'affectation dans l'enseignement supérieur des lycéens : « la plateforme Parcoursup fonctionne de manière satisfaisante, mais s’expose à des risques qui doivent être impérativement réduits. La procédure d’affectation souffre encore d’un défaut de transparence, seule garante de l’équité. La réussite étudiante, quant à elle, largement financée, fait l’objet d’un manque de suivi qui compromet, in fine, la mesure de son éventuel succès ».
Parmi les différents aspects de Parcoursup passés au crible, on trouve notamment ceux liés au système d'information, au code utilisé et aux mesures de sécurité informatique prises pour supporter cette plateforme. Ces derniers sont cependant loin de donner satisfaction aux yeux de la Cour : « Les faiblesses du système d’information en matière de sécurité, de performance et de robustesse n’ont pas été rectifiées », peut-on lire dans le rapport, suite au passage de flambeau opéré en 2018 entre la très controversée plateforme APB (admission post bac) et Parcoursup. « La gestion de Parcoursup en mode projet autour de seulement quelques personnes particulièrement compétentes et motivées, a permis de mettre en place Parcoursup rapidement, mais fragilise un dispositif aujourd’hui sans direction stratégique ni gouvernance satisfaisantes ».
Synthèse des risques identifiés dans le cadre de l’audit de code réalisé par Audit Cast et Bearing Point pour la Cour des comptes. Les notes sont données sur une échelle de 1 à 4. 1 correspond à un risque maximal et 4 à un risque minimal. (crédit : D.R.)
Bearing Point et Orange Cyberdéfense mobilisés par la Cour des comptes pour les audits
Pour appuyer son analyse, la Cour des comptes a fait réaliser plusieurs audits, l'un dédié au code de Parcoursup par Audit Cast et Bearing Point, un second sur la sécurité par Orange Cyberdéfense. « Les résultats montrent que Parcoursup présente un indice de qualité totale de 2,28 sur une échelle de 4, la note de 1 correspondant à un risque très élevé et la note de 4 à un risque faible. Il s’agit d’un résultat médiocre, avec un niveau de risque élevé. Pour des applications comparables, c’est-à-dire de plus de 10 ans, la note moyenne constatée par les auditeurs mandatés est de 2,80. Parcoursup se situe donc à un niveau de qualité plus faible que d’autres logiciels d’âge similaire. Dans le cadre de cet audit, 1 582 violations critiques ont été identifiées. Il s’agit de failles dans le code qui doivent être corrigées rapidement », peut-on lire dans le rapport.
Cartographie réseau de Parcoursup. *Contient les services dont les autres dispositifs ont besoin pour fonctionner comme le serveur DNS, le service de messagerie... (crédit : cahier des charges simplifié de Parcoursup)
Dans son audit de novembre 2018, Orange Cyberdéfense a révélé des failles de sécurité importantes au sein de l'applicatif web de Parcoursup. « Le rapport fait état de 11 vulnérabilités, dont 1 présente un risque critique, 5 présentent un risque majeur, et 5 des risques plus modérés ». L'audit estime par ailleurs que les mesures de sécurité intégrées ne sont pas en adéquation avec les différents référentiels de l'ANSSI. La Cour des comptes émet également plusieurs recommandations : améliorer les mesures de sécurité en mettant en place des plans d'actions formalisées et en corrigeant les failles de sécurité identifiées, mettre en place une matrice de séparation des tâches pour les établissements afin de limiter le risque de transaction frauduleuse, mettre en oeuvre des comptes nominatifs pour les profils d'administration ainsi qu'une matrice de séparation des tâches pour le pôle informatique du SCN (services centraux et des services à compétence nationale) afin de limiter le risque de transaction frauduleuse. Un point positif ressort concernant la sauvegarde du système « en adéquation avec les différents référentiels existants » et dont « la réalisation de l’ensemble des sauvegardes permet de couvrir les risques de perte de données en cas d’incident ou d’intrusion.
« La plateforme Parcoursup a été qualifiée par l'ANSSI depuis 2018 comme opérateur de service essentiel de l'Etat, de la même manière que la CNIL a à plusieurs reprises reconnu que c'était une plateforme sécurisée et qu'il n'y avait aucun souci sur la base du RGPD. Les équipes travaillent pour une amélioration en continue de la plateforme et l'appréciation de la Cour des comptes ne signifie pas que la plateforme est insécurisée. Dès 2019 le ministère avait mis en place des moyens pour renforcer l'équipe de Parcoursup en recrutant des agents qui travaillent sur ces questions et gérer les enjeux de procédure avec un objectif de ne pas permettre d'incident, ce qui a été le cas. », indique un porte-parole du Ministère de l'Enseignement Supérieur, de la Recherche et de l'Innovation contacté par la rédaction.
Il ajoute, « Parcoursup a été lancée rapidement avec toutes les contraintes que vous connaissez, la Cour a salué la performance qui a été faite. Les équipes ont vocation à être étendues et stabilisées et les moyens nécessaires seront mis pour que la plateforme s'améliore. Le ministère a oeuvré pour que les impacts de la loi relative à l'orientation et à la réussite des étudiants soient étudiés et les processus de contrôle externes encouragés. Un peu plus de 2/3 ans après on prend acte de ce premier bilan pour le mesurer »,