Cybersécurité : la commande publique au défi de la résilience

Almond

Face à la menace cyber, les acteurs publics doivent accélérer. En facilitant l'accès à des prestations référencées, les centrales d'achat s'imposent comme un levier de performance.

Collectivités, hôpitaux, établissements médico-sociaux : les acteurs publics de santé sont en première ligne face aux attaques cyber qui peuvent désorganiser un service, bloquer une administration, fragiliser la confiance des usagers.

La multiplication des fuites de données, hameçonnages et faux ordres de virement a accéléré la prise de conscience. Et maintenant ? Comment lancer rapidement les bons chantiers ? Comment sécuriser une procédure d’achat cyber ? Comment choisir des prestations adaptées quand les moyens humains, budgétaires et techniques sont contraints ?

Le frein n’est pas toujours technologique ; il est aussi administratif, contractuel et organisationnel. Entre l’expression du besoin, la rédaction du cahier des charges, l’analyse des offres et le déploiement, plusieurs mois peuvent s’écouler. En cybersécurité, ce temps compte : une vulnérabilité connue ne cesse pas d’exister parce qu’une procédure d’achat est en cours. Le cybercriminel, lui, n’attend pas la notification du marché…

Acheter plus vite, acheter mieux

C’est dans ce contexte que les centrales d’achat et cadres mutualisés prennent tout leur sens. La CANUT, le RESAH, la CAIH ou encore GIGALIS contribuent à structurer l’accès des acteurs publics à des prestations cyber de référence, dans des cadres contractuels lisibles et sécurisés. Le partenariat récemment noué entre l’UGAP et Cybermalveillance.gouv.fr va dans le même sens : faire de l’achat public un relais d’acculturation et d’accès aux bons dispositifs cyber.

Leur valeur ajoutée est concrète : tarifs optimisés, réduction des délais, mutualisation de l’expertise, clarification des périmètres, accès à des prestataires référencés, sécurisation juridique. Pour une commune, un hôpital ou un établissement médico-social qui ne dispose pas toujours d’équipes spécialisées, ce sont des leviers opérationnels très concrets.

Cette dynamique est essentielle, car la cybersécurité ne peut pas rester réservée aux organisations les mieux dotées. La menace concerne tout le secteur public ; la réponse doit donc pouvoir passer à l’échelle. Les centrales d’achat y contribuent en rendant le marché cyber plus accessible et en diffusant des standards communs.

Mais acheter mieux ne signifie pas seulement acheter plus vite. En cybersécurité, le bon achat est celui qui répond au bon risque, au bon moment, avec des engagements clairs et une capacité de suivi dans la durée. Un audit ou un programme de sensibilisation prennent toute leur valeur lorsqu’ils s’inscrivent dans une trajectoire cohérente, du diagnostic à la planification des actions.

Une confiance à organiser

La mutualisation est l’une des réponses les plus efficaces à la dispersion des moyens publics. Elle évite d’abord à chaque structure de repartir de zéro, en s’appuyant sur des cadres et des retours d’expérience. Elle renforce ensuite le pouvoir de négociation des acheteurs publics et rapproche leurs besoins d’un écosystème de prestataires référencés. Bien utilisée, la commande publique devient ainsi un outil de confiance pour l’écosystème, capable d’accélérer les projets tout en maintenant un haut niveau d’exigence.

Cette confiance doit toutefois être organisée. Les élus, directions générales, DSI, responsables métiers et acheteurs publics ont chacun un rôle à jouer : identifier les services critiques, prioriser les données sensibles, anticiper les scénarios de crise et suivre l’efficacité des mesures engagées.

C’est précisément cette articulation qui fera la différence. Les centrales d’achat apportent un cadre, une vitesse d’exécution et une capacité de mutualisation précieuse. L’accompagnement permet de relier ces dispositifs aux réalités de chaque organisation : taille, maturité, contraintes métier, obligations réglementaires, ressources disponibles.

Face à une menace industrialisée, l’achat public s’impose ainsi comme un maillon structurant de la résilience cyber. L’enjeu est clair : mieux acheter, mieux piloter, mieux protéger.