Tahiti Infos

Une CPS cyber-fragile


Tahiti, le 22 novembre 2022 - Dans son dernier rapport sur les systèmes d’information de la Caisse de prévoyance sociale, la Chambre territoriale des comptes pointe du doigt le retard technique et la faible avancée de la dématérialisation au sein de l’organisme. Mais c’est surtout la question de la sécurité et l’absence de protection des données qui font l’objet des principales observations de la juridiction.
 
En juin dernier, la Chambre territoriale des comptes (CTC) avait consacré près de 200 pages à examiner la gestion de la Caisse de prévoyance sociale (CPS), sa “situation financière très précaire” et ses “retards accumulés” en termes de pilotage du financement des régimes sociaux. Cinq mois plus tard, la CTC revient à la charge et tire une deuxième sonnette d’alarme. Dans un nouveau rapport, plus spécifique, sur la qualité des systèmes d’information au sein de l’organisme, la juridiction pointe cette fois-ci les errements de la CPS dont les outils informatiques ne sont clairement pas au niveau des enjeux, avec notamment un retard dans la dématérialisation et des failles importantes en matière de protection des données.
 
Dette technique” importante
 
Qu’est-ce qu’un bon système d’information ?” La question est posée d’emblée par la juridiction. La CTC s’est ainsi penchée sur les moyens, matériels et logiciels, mis en œuvre par la Caisse pour assurer la gestion, le traitement, le transport, la diffusion et le stockage de l’information au sein de l’organisme. Si la CPS a mis en place en 2013 un schéma directeur pour perfectionner ses systèmes d’information, force est de constater que les avancées ont été faibles. Le cadre a bien changé avec une réorganisation des services et la création d’une direction dédiée, mais les méthodes font du surplace. “Cent cinquante procédures (…) sont obsolètes et nécessitent des mises à jour qui n’ont pas été programmées.”
 
Et si les effectifs ont augmenté, ils peinent toujours à répondre aux besoins de la CPS qui doit ainsi faire appel à des prestataires extérieurs – développeurs et techniciens – du fait d’un retard technique important. Le schéma directeur prévoyait en effet une refonte des applications utilisées et écrites sous COBOL, “un langage informatique qui existe depuis les années 60” maîtrisé par quelques rares spécialistes sur le fenua, pour passer sur un socle technique plus moderne. “Force est de constater que le changement d’environnement général n’a pas abouti à ce jour”, souligne la CTC qui relève que la CPS fonctionne avec pas moins de 140 applications et logiciels différents. La juridiction suggère la création d’“un système unifié permettant aux utilisateurs des différents métiers de travailler dans un environnement applicatif commun avec des bases de données communes”.
 
Encore hésitante à mettre en place un véritable data center centralisé, la CPS peine aussi à prévoir ses investissements informatiques. Les coûts pour assurer la maintenance ont ainsi quadruplé depuis 2015, une grande partie de l’activité étant consacrée “à la maintenance de l’existant” qualifié de “millefeuille technique”. Personnels insuffisants, logiciels dépassés, matériels à remplacer, autant d’éléments qui conduisent la Chambre à constater l’existence d’une importante “dette technique” à évaluer plus précisément.
 
Une dématérialisation pas matérialisée
 
Pour la CTC, “le rythme de la transformation numérique risque d’être toutefois insuffisant par rapport aux nécessités et aux enjeux à venir tels que les réformes de la protection sociale généralisée ou la dématérialisation”. Le retard technique s’accentue en effet avec les faibles avancées de la CPS en matière de dématérialisation des démarches et des procédures. Si quelques plateformes de services sont disponibles en ligne, la CPS est, sur ce point, plus dans le constat que dans l’action. La dématérialisation pourrait fiabiliser les données et faciliter les contrôles et permettre une suppression progressive du papier. Or, de nombreux contrôles manuels sont encore de mise sur les factures d’assurance maladie et, dans ses relations avec le CHPF, la CPS fait encore des “pointages chronophages” à la main. Dans son précédent rapport, la CTC avait ainsi pointé du doigt que 299 des 507 agents effectuaient à titre principal, en 2021, des tâches consistant à scanner des pièces ou à réaliser des saisies manuelles des pièces. Pour la CTC, “malgré les chantiers enclenchés, l’objectif 0 papier reste encore lointain”. Pourtant, il s’agit d’une “priorité” pour laquelle la Chambre recommande la définition d’“une feuille de route opérationnelle”.
 
Des difficultés de fonctionnement en interne qui s’accompagnent d’une relative mise à l’écart de la CPS dans l’instauration d’un espace numérique de santé prévu dans le Schéma d’organisation sanitaire (SOS). Ainsi, “aucune coordination et synergie” avec le CHPF sur les systèmes d’information des deux structures n’est constatée par la CTC qui relève également, à regret, que la CPS n’a pas été associée à la mise en place de l’Observatoire des données de santé ou le projet de dossier médical partagé avec le déploiement du dossier patient informatisé (DPI). Quant à la feuille de soins électronique, seuls 10% des professionnels de santé – les pharmaciens – procèdent à la télétransmission.
 
Pas sereins” face aux cyber-attaques
 
Mais c’est surtout sur la question de la sécurité et de la protection des données que la CTC concentre ses principales recommandations. Détentrice de données confidentielles au niveau médical mais également d’informations sensibles sur les rémunérations des cotisants, la CPS n’a pas mis en place les actions pour identifier les risques et les mesures pour les réduire. Le schéma directeur de 2013 était muet sur la politique de sécurité et la protection des données. Une cartographique des risques informatiques existe bien mais n’est plus actualisée depuis 2015. Si quelques documents généraux ont bien été rédigés par la suite, peu d’entre eux présentent des instructions opérationnelles. Pour la CTC, la CPS présente en matière de sécurité informatique “un niveau de sécurité insuffisant” avec des risques évidents. Ainsi, un “risque très fort” existe dans la divulgation ou le détournement d’informations confidentielles à travers l’accès à l’outil de production des statistiques. Parfois en interne. Le rapport relève que, “dans le but sympathique de souhaiter les anniversaires à ses collègues, un agent de la CPS a eu accès au fichier des dates de naissance des employés de la CPS. La consultation de ce type d’informations, loin d’être anecdotique, révèle une faible protection des données disponibles”. D’où la nécessité de revoir les habilitations des agents.
 
En externe, la CPS est tout autant exposée aux risques d’attaques. Des audits, tardifs, sur les plateformes en ligne ont montré un niveau de sécurité insuffisant ainsi que la faible sécurité des mots de passe. Des tests d’intrusion ne sont que très rarement réalisés et la CPS ne participe pas aux simulations de cyber-attaque. Quant au plan de reprise d’activité, qui précise les procédures à mettre en œuvre après un incident critique avec la remise en route des serveurs et l’utilisation des sauvegardes, il est enfin en cours d’élaboration mais la vulnérabilité est perceptible. Selon un cadre de la CPS, “en termes de reprise d’activité sur le backup et retour sur site de production, nous ne sommes pas sereins sur la question”. Pour la Chambre, “la protection des données ne semble pas avoir bénéficié d’une attention forte de la part de la CPS avant une période récente” alors que “ce thème aurait dû être considéré comme prioritaire compte tenu de l’activité de la CPS”.

 
 

Rédigé par Sébastien Petit le Mardi 22 Novembre 2022 à 19:28 | Lu 2617 fois