Stratégie

Le CNRS peine à encadrer son SI mutant

---

Un rapport de la Cour des comptes souligne le besoin, pour le CNRS, de mieux encadrer ses systèmes décentralisés. Et notamment d'en renforcer la sécurité.

PublicitéLa Cour des comptes se penche sur la gestion du CNRS, premier organisme de recherche en Europe, avec 4,1 Md€ de budget et plus de 34 000 agents. Le rapport de la juridiction financière zoome notamment sur la stratégie informatique du deuxième opérateur de l'Etat en termes d'effectifs, derrière France Travail. Le constat de la rue Cambon en la matière reflète l'organisation d'ensemble du centre national, une organisation complexe, structurée autour de 10 instituts, de 17 délégations régionales et déclinée en 1 130 unités mixtes de recherche (UMR) réparties sur le territoire. Au sein de celles-ci, se côtoient les agents du CNRS et ceux de ses partenaires (universités, autres organismes de recherche), soit plus de 111 000 personnes, rendant « inévitablement complexe la gestion, notamment celle de la comptabilité et du budget », soulignent les auteurs. Et la maîtrise du système d'information, pointent-ils également.

Pour la Cour des comptes, cette organisation débouche sur deux périmètres informatiques. Le premier, fort d'environ 200 applications et relevant de la DSI centrale, est bien défini et ses éléments sont bien suivis. Avec des enjeux clairement identifiés comme « la formalisation et le test d'un plan de reprise d'activité, l'urbanisation, ou encore le traitement de l'obsolescence technique », soulignent les auteurs, qui déplorent simplement l'absence d'un schéma directeur pluriannuel ou d'une cartographie des risques IT. Le second périmètre, présent dans les directions régionales et dans des unités de recherche fonctionnant avec plusieurs tutelles, s'avère plus difficile à contrôler. « C'est à travers ces entités que de nombreuses applications, logiciels et matériels informatiques sont exploités et que des masses de données importantes sont récoltées à des fins de recherche scientifique », écrit la Cour, qui appelle le CNRS à s'équiper pour veiller à la souveraineté sur ces données, à la résilience des SI ou encore à la récupération de la donnée en cas de défaillance ou d'attaque.

Une gestion globale des SI « impraticable »

Car ce patrimoine échappe largement au contrôle de la DSI, selon la juridiction, qui parle d'un « développement en Shadow IT dans certains centres ». Sur ce périmètre hors DSI, estimé également à environ 200 applicatifs, seul un inventaire précis permettrait « d'engager la rationalisation des applications, des logiciels et des plateformes », soulignent les auteurs. Qui ajoutent : « les coûts liés à certains développements et à l'exploitation d'applicatifs demeurent une variable inconnue pour le service informatique et rendent [...] la gestion globale des ressources SI impraticable. »

Sans oublier les risques en matière de cybersécurité, même si le CNRS a mis en place une structure en cascade en matière de sécurisation de ses SI, avec un RSSI national, 17 RSSI présents en délégations régionales et 850 chargés de sécurité des SI dans les unités de recherche. Comme le rappelle la Cour des comptes, un décret de 2022 (n°2022-513) relatif à la sécurité numérique des SI de l'État et de ses établissements publics introduit une homologation de sécurité des infrastructures et services informatiques exploités par ceux-ci, renforçant l'exigence d'inventaire.

PublicitéDes attaques avérées sur les SI décentralisés

Or, ces dernières années, le CNRS a connu plusieurs attaques cyber, témoignant d'un manque de préparation de certaines unités de recherche. « En 2022, lors d'une cyber-attaque de type rançongiciel, l'absence de sauvegarde au sein d'une UMR a eu un impact sur son activité de recherche ainsi que sur celle de la demi-douzaine d'unités qui étaient clientes des services informatiques de cette UMR. La reconstruction du SI aura nécessité l'acquisition de matériels et l'intervention de prestataires de services, à hauteur de plus de 60 000 € », illustrent les auteurs du rapport (ici en PDF), qui mentionne également un vol d'identité cette même année qui a conduit à l'arrêt total d'un système pendant plus d'une semaine.

Dans sa réponse à la Cour, le Pdg du CNRS, Antoine Petit, indique vouloir « articuler du mieux possible la décentralisation des développements avec les exigences transversales de sécurité des SI et l'intérêt de mutualiser les bonnes initiatives ». Un dispositif de recensement et d'encadrement des applicatifs déployés par les directions régionales et unités de recherche a fait l'objet d'un travail de préfiguration, ajoute-t-il.

Les conséquences de l'échec du SI-Labo

Pour la Cour, une partie de cet éclatement du SI provient de l'échec d'un projet - appelé SI Labo - visant à simplifier la gestion des UMR, en consolidant les données des différentes tutelles. Le projet a été interrompu en 2020, sur l'initiative de la Direction générale de la recherche et de l'innovation (DGRI), en accord avec un audit de la Dinum (la DSI de l'Etat). Mais contre l'avis du CNRS lui-même. « Le diagnostic réalisé du projet soulignait une absence de capacité de pilotage robuste pour un projet de cette ampleur, un déficit de vision partagée entre les parties prenantes sur le projet, une faiblesse de l'adhésion des établissements et un élargissement important des objectifs poursuivis et des travaux menés dans le cadre du programme faisant courir le risque de dérives budgétaires et calendaires sans assurance de succès », souligne la Cour des comptes. Un diagnostic que continue à réfuter, au moins partiellement, le CNRS, comme en témoigne la réponse adressée par son Pdg, Antoine Petit, à la juridiction financière.

Pour la Cour des comptes, malgré l'échec du SI-Labo qui a coûté 15 M€, le besoin initialement identifié - soit « des systèmes d'information partagés entre le CNRS et les autres tutelles universitaires facilitant la gestion et le pilotage des activités de recherche » - perdure cinq ans après l'arrêt de SI-Labo.

Article rédigé par

Reynald Fléchaux, Rédacteur en chef CIO
Suivez l'auteur sur Twitter

Partager cet article