Gouvernance IT · Témoignage

La sécurité des données passe par la qualité du code —
ce que sept ans de décisions difficiles m'ont appris

Il y a des décisions qu'on ne prend pas par confort. En 2018, le Recteur de l'Académie de Versailles décide de fusionner les datacenters de la DANE et de la DSI pour des raisons budgétaires. La DANE résiste, arguant que son hébergeur privé affiche un meilleur taux de disponibilité que la DSI interne.

Le Secrétaire Général me demande mon accord. J'ai dit oui — sous une condition. Un audit de code préalable. Ma position était simple et non négociable : je ne voulais pas introduire des failles de sécurité dans mon datacenter par des développements réalisés par des enseignants.

Le malentendu fondamental : disponibilité n'est pas sécurité

La DANE avait un argument séduisant en apparence. Son hébergeur privé affichait des taux de disponibilité supérieurs à ceux que la DSI interne pouvait garantir. Dans la culture opérationnelle d'une direction du numérique éducatif, c'est un argument fort — les enseignants veulent que leurs outils fonctionnent, maintenant, sans interruption.

Mais la disponibilité et la sécurité ne mesurent pas la même chose. Une application peut être disponible 99,9% du temps et embarquer vingt vulnérabilités critiques. Elle peut afficher un uptime parfait tout en stockant des données personnelles d'élèves dans des conditions non conformes au RGPD. Elle peut tourner sans interruption sur des composants open source dont les failles sont publiquement documentées depuis des mois.

Le taux de disponibilité est un indicateur de confort opérationnel. La qualité du code est un indicateur de maîtrise du risque. Ce ne sont pas les mêmes objets — et les confondre revient à évaluer la solidité d'un immeuble à l'aune de la beauté de sa façade.


2018-2019, Académie de Versailles : l'audit comme condition de la décision

Nous avons mandaté CAST pour analyser statiquement les deux applications principales développées par les équipes internes de la DANE : ELEA, la plateforme pédagogique basée sur Moodle, et la Ferme de blogs, basée sur dotclear. Plus de dix-huit mille blogs de classes avaient déjà été créés sur cette dernière. Ces applications fonctionnaient bien. Leur disponibilité était correcte. Personne n'avait eu de raison formelle de s'en inquiéter. L'audit a changé cette perception.

ELEA : des CVE critiques et une non-conformité RGPD structurelle

Sur ELEA, la version de Moodle utilisée — la 3.2.8 — n'était plus supportée depuis environ un an au moment de l'audit. L'analyse des composants tiers a mis en évidence plusieurs CVE critiques : PHPMailer (dont deux CVE critiques permettant l'exécution de code à distance), Moodle lui-même (plus d'une dizaine de CVE dont deux critiques), ADOdb. Des composants que personne n'avait eu la visibilité de voir, parce que personne n'avait disposé de l'outillage pour les regarder.

Et surtout — point décisif dans le contexte de 2018 — Moodle 3.2.8 n'était pas conforme RGPD par défaut. Le règlement venait d'entrer en vigueur en mai. Accueillir cette application dans le datacenter de la DSI sans correction préalable aurait fait peser sur la DSI la responsabilité d'une non-conformité dont elle n'était pas l'auteure.

La Ferme de blogs : un risque stratégique invisible aux indicateurs habituels

Sur la Ferme de blogs, aucune CVE dans le code spécifique. Mais l'audit a mis en évidence la fragilité structurelle de l'écosystème dotclear : communauté restreinte, plugins dont les dernières mises à jour dataient parfois de 2009, infrastructure logicielle en retard. C'est le type de signal qui ne remonte jamais dans un ticket d'incident. Il n'apparaît que quand on regarde le code — vraiment.

Ce que l'audit a produit : une décision formelle documentée

Ce n'était pas une victoire de la DSI sur la DANE. C'était une victoire de la méthode sur le rapport de forces. La DANE a procédé aux montées de version requises. Le 14 novembre 2019, j'ai signé en tant que DSI-RSSI une note officielle au Secrétaire Général actant la fermeture du datacenter de Vitry-sur-Seine.

« L'audit de code effectué par la société CAST a confirmé la possibilité de porter ELEA en production sous réserve d'une montée de version réalisée depuis par la DANE. »

— Note officielle au Secrétaire Général de l'Académie de Versailles · 14 novembre 2019 · Jacky Galicher, DSI-RSSI

L'audit n'a pas bloqué la migration — il l'a conditionnée et sécurisée. La migration a été organisée en cinq lots, s'échelonnant sur 2019 et 2020, sous pilotage conjoint du DAN et du DSI.


2020-2022, Académie de Normandie : la méthode demandée, différée, puis déployée

Je dirigeais alors le SI de l'Académie de Normandie, issue de la fusion historique des académies de Caen et de Rouen — la première fusion académique de l'Éducation nationale. Deux systèmes d'information, deux cultures techniques, deux équipes qui avaient chacune leurs habitudes, leurs fiertés, leurs applications isofonctionnelles. Choisir l'une plutôt que l'autre n'était pas une décision technique — c'était une décision politique au sens le plus sensible du terme.

Décembre 2020 : la demande formelle et la réponse inadaptée

Dès décembre 2020, j'ai formalisé une demande de financement pour le diagnostic sécurité et qualité du code des applications locales de Caen et Rouen, portant explicitement sur CAST Highlight. La DNE a proposé en retour d'utiliser Checkmarx, l'outil disponible pour les développeurs du pôle national.

Checkmarx aide les développeurs à écrire du code plus sûr en cours de développement. CAST Highlight permet au DSI de piloter le risque applicatif à l'échelle d'un portefeuille entier, benchmarké sur des milliers d'applications. Proposer l'un à la place de l'autre, c'est proposer un marteau quand on demande un niveau à bulle. Cette confusion entre outillage développeur et outillage gouvernance est emblématique d'une incompréhension structurelle du rôle du DSI dans le secteur public.

Le score qualité comme arbitre neutre dans la fusion

J'ai maintenu la démarche et obtenu le financement. Pour les applications isofonctionnelles, j'ai appliqué un principe simple : soumettre les candidats à CAST Highlight et retenir celui qui présentait la meilleure qualité de code. Ce dispositif a dépersonnalisé les conflits — ce n'était plus l'équipe de Caen contre l'équipe de Rouen, mais une application contre une autre, sur des critères publics et incontestables. C'est ce que j'appelle le management par la donnée dans un contexte conflictuel.

Les chiffres du portefeuille Normandie (rapport décembre 2022)

Quarante-cinq applications analysées. Le portefeuille se situait au-dessus de la moyenne du marché — mais cette moyenne masquait des réalités préoccupantes sur les composants open source, qui représentaient 63% du code source du portefeuille.

125 vulnérabilités critiques potentielles distinctes
496 vulnérabilités de haute sévérité
58% des composants open source âgés de plus de 5 ans
37 composants à risque juridique sur les licences

Ces chiffres ne sont pas des abstractions. Derrière le composant Moodle recensé avec 251 CVE identifiées, il y a des applications en production utilisées chaque jour par des enseignants et des élèves. Ces risques existaient avant l'audit. L'audit les a rendus visibles — et donc actionnables.

Une réussite interrompue

J'ai obtenu le financement de CAST Highlight. Les analyses ont été conduites. Le rapport de décembre 2022 en est le résultat tangible. La méthode a fonctionné jusqu'au bout de ce que j'ai pu en piloter.

Ce qui n'a pas survécu à mon départ, c'est la continuité. Après mon départ, l'administration centrale a considérablement réduit le budget de la DSI — en invoquant la fusion comme source d'économies attendues. La démarche qualité en faisait partie. Comme le projet de virtualisation, que la DNE avait pourtant co-financé à hauteur de près d'un million d'euros quelques mois plus tôt.

Une réussite interrompue n'est pas un échec de méthode. C'est un échec de continuité institutionnelle. Quand on supprime les outils qui permettent de savoir ce qu'on possède et ce qu'on risque, on ne fait pas des économies — on crée de l'aveuglement organisé et on reporte sur les années suivantes, avec intérêts, les coûts qu'on refuse de voir aujourd'hui.


Ce que tout DSI devrait pouvoir exiger

La disponibilité n'est pas la sécurité.

Un hébergeur privé peut afficher un uptime supérieur à une DSI publique et héberger du code truffé de CVE critiques. Les deux dimensions doivent être mesurées séparément — et présentées séparément à la direction générale.

Conditionner son accord à un audit de code, c'est un acte de gouvernance — pas une obstruction.

Quand un DSI dit « je veux un audit avant d'intégrer cette application dans mon infrastructure », il dit oui, mais en connaissance de cause — avec une traçabilité formelle qui protège l'institution et lui-même.

L'outillage développeur et l'outillage gouvernance ne sont pas interchangeables.

Confondre les deux, c'est confondre le chirurgien et l'épidémiologiste. Ils travaillent tous les deux sur la santé — pas à la même échelle, pas avec les mêmes outils, pas pour les mêmes décisions.

La donnée objective est le seul arbitre acceptable dans un contexte conflictuel.

La donnée ne règle pas les conflits humains — mais elle leur donne un cadre dans lequel ils peuvent se résoudre sans que la décision soit illégitime aux yeux de ceux qui la subissent.

La qualité du code est un sujet de direction générale, pas seulement de DSI.

Les 125 CVE critiques du portefeuille normand concernaient le Recteur, le Secrétaire Général, et in fine les 600 000 élèves et 60 000 agents dont les données étaient gérées par ces applications.

Le budget de la gouvernance IT ne doit pas être la variable d'ajustement post-fusion.

Quand on réduit les moyens de pilotage objectif du SI au moment même où le SI vient d'être restructuré, on ne fait pas des économies — on crée de la dette technique institutionnalisée.

En conclusion

Ce que j'ai fait à Versailles en conditionnant mon accord à un audit de code, et à Normandie en utilisant le score qualité comme critère d'arbitrage dans la fusion, n'était pas de la technocratie. C'était du management.

Dans les deux cas, la situation était politiquement chargée. Dans les deux cas, disposer d'une mesure objective et externe a permis de sortir du face-à-face des légitimités pour entrer dans une conversation sur les faits.

La note que j'ai signée au Secrétaire Général le 14 novembre 2019 en est la trace concrète. Ces documents existent. Ils sont datés. Ils témoignent d'une démarche cohérente, rigoureuse, et assumée.

La souveraineté numérique commence dans le code.
Et le management du changement aussi.

JG
Jacky Galicher

Consultant en gouvernance IT et souveraineté numérique. Ancien DSI-RSSI de l'Académie de Versailles et DSI de l'Académie de Normandie (fusion Caen-Rouen). Il accompagne les éditeurs dans leur accès aux DSI du secteur public et les DSI dans leur démarche de maîtrise du risque applicatif.

jacky@jgconsultants.fr  ·  jgconsultants.fr

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut