Ne pas divulguer le code source pour ne pas exposer les failles de sécurité. Cet étonnant argumentaire - très éloigné des standards en matière de cybersécurité - a été retenu par le tribunal administratif de Paris pour ne pas divulguer le code source de Parcoursup, la plateforme qui agrège les voeux d'affectation des futurs étudiants de l'enseignement supérieur. La décision, datant de novembre dernier, contredit la lecture du droit de la Commission d'accès aux documents administratifs (Cada), saisie de ce sujet par l'association Ouvre-boîte et qui avait rendu un avis favorable en janvier 2022.

Le tribunal explique notamment se fonder sur les recommandations du prestataire en cybersécurité du ministère chargé de l'Enseignement supérieur. Celui-ci fait valoir que « la publication en ligne du code source complet de l'application Parcoursup en laisserait apparaître les vulnérabilités et serait, ainsi, susceptible de porter atteinte à la sécurité des systèmes d'information de l'administration. » Dans une note jointe au dossier, mise en lumière par Acteurs publics, le responsable cybersécurité de la rue de Grenelle explique : « la déficience, voire l'obsolescence d'une partie du code de Parcoursup rendent nécessaire cette mesure de sécurité ».

En 2020 déjà, des failles à gogo

En réalité, les failles du remplaçant d'APB sont connues depuis belle lurette. Dès février 2020, dans un rapport, la Cour des comptes soulignait les déficiences de la plateforme d'affectation des bacheliers. D'abord, même si Parcoursup est présenté comme une application nouvelle, le coeur du SI reste hérité d'APB. « Une nouvelle marque pour un outil ancien », selon la Cour des comptes, qui évaluait à 72% la part du code source demeuré inchangé depuis les systèmes développés au début des années 2000.

Pour rédiger son rapport, la Cour des comptes avait mandaté des sociétés spécialisées pour auditer le code source et l'architecture de l'application. Le verdict était peu reluisant, soulignant le niveau de risque élevé - tant de rupture de service que d'intrusion - véhiculé par une plateforme comportant de nombreuses failles critiques. Scannant les rares parties du code rendues publiques et une partie du code non publié, et développé depuis des années par les agents ayant travaillé sur les différentes générations de la plateforme, les résultats de ces audits faisaient ressortir un indice de qualité de 2,28 sur une échelle allant de 1 à 4, la note de 1 correspondant à un risque très élevé et la note de 4 à un risque faible. « Il s'agit d'un résultat médiocre, avec un niveau de risque élevé. Pour des applications comparables, c'est-à-dire de plus de 10 ans, la note moyenne constatée par les auditeurs mandatés est de 2,80. Parcoursup se situe donc à un niveau de qualité plus faible que d'autres logiciels d'âge similaire. Dans le cadre de cet audit, 1 582 violations critiques ont été identifiées. Il s'agit de failles dans le code qui doivent être corrigées rapidement », soulignait alors le rapport.

Ni continuité d'activité ni politique de sécurité

Déjà en 2020, le ministère expliquait qu'il n'était pas possible d'aller au-delà de la petite partie du code source rendue public (évaluée à 1% du total par la Cour des comptes), « en raison des failles de sécurité susceptibles de porter atteinte aux systèmes informatiques du ministère et de la présence de lacunes dans la documentation du code ». Il y a quatre ans, les sages de la rue Cambon recommandaient de renforcer le Service à compétence nationale (SCN) chargé de la plateforme, qui comptait alors seulement 13 ETP au sein de son pôle informatique. Et de structurer la gouvernance, s'étonnant de l'absence de plan de continuité d'activité et de politique de sécurité au sein d'une structure pourtant reconnue comme opérateur de service essentiel par le Premier ministre. La Cour appelait alors le ministère de l'Enseignement supérieur, de la Recherche et de l'Innovation à « pérenniser le système d'information par une correction des failles les plus urgentes, par la modernisation voire le redéveloppement de son architecture, et par la documentation systématique et structurée des bases de données primaires d'APB et de Parcoursup. »

Quatre ans après, cet effort n'a manifestement pas pu être mené à bien, malgré la criticité de la plateforme. Et quitte à s'asseoir sur les engagements pris par Emmanuel Macron, en 2018. Lors de la conférence AIforhumanity, fraîchement élu président de la République, ce dernier déclarait : « (...) l'État, pour ce qui le concerne, rendra donc par défaut public le code de tous les algorithmes qu'il serait amené à utiliser au premier rang desquels, Madame la Ministre, celui de Parcoursup, parce que je pense que c'est une pratique démocratique ».