L’ANCT et sa gestion « lacunaire » des SI

Un schéma directeur ? Une feuille de route annuelle ? Non, juste un Excel. Là en est le pilotage de l’activité du service informatique à l’ANCT (Agence nationale de la cohésion des territoires).

La Cour des comptes fait cette observation dans un rapport rendu public récemment. Elle y dresse un bilan des trois premières années de fonctionnement de cet établissement public créé le 1^er janvier 2020.

L’ANCT résulte de la fusion de trois entités :

– CGET (Commissariat général à l’égalité des territoires)
– Agence du numérique
– Epareca (Établissement public national d’aménagement et de restructuration des espaces commerciaux et artisanaux)

Les services s’organisent en directions. Chacune porte une ou plusieurs politiques, travaille de manière autonome… et souvent en lien direct et exclusif avec chaque cabinet ministériel. Des conditions qui, souligne la Cour des comptes, n’ont pas favorisé la promotion d’une culture commune. Ni l’homogénéisation des processus de travail et des règles de gestion.

L’ANCT développe en silos

La tendance à travailler en silo se reflète dans l’absence de volonté d’uniformiser les processus de développement de solutions informatiques. Les programmes ou les missions gèrent parfois encore ces projets sans inclure d’interlocuteur du service informatique. Lequel constate ainsi le développement et l’exploitation de logiciels en interne une fois qu’apparaissent les coûts associés et les besoins de maintenance.

Cet état de fait se traduit entre autres par une multiplication des plates-formes en ligne, « en dehors de tout dialogue formalisé des directions métiers avec le service des systèmes d’information ». Mais aussi par l’existence d’un site interne construit autour des quatre directions générales déléguées, dans une approche très peu transversale (quasi-inexistence de liens entre les onglets). Ou encore l’utilisation de SI différents pour la gestion quotidienne des RH, complexifiant le processus.

Au-delà du schéma directeur et de la feuille de route annuelle, les documents stratégiques et de cadrage font globalement défaut. Il n’y a pas, par exemple, de carte exhaustive des applications. Quant aux documents fondateurs de la sécurité informatique, ce sont ceux produits en 2017 pour le CGET.

Ni PCA, ni PRA… entre autres risques de sécurité

L’indisponibilité d’une carte et la gestion insuffisante du SI rend irréalisable le suivi des accès utilisateurs. S’y ajoute la sécurité partielle de l’infrastructure physique du SI, doublée de l’absence de PCA et de PRA. Une situation qui « appelle une réaction urgente de la part de la direction générale ».

Autre écueil : les homologations de sécurité qu’impose le décret de 2022 sur la sécurité numérique du système d’information et de communication de l’État et de ses établissements publics. À la date du contrôle de la Cour des comptes, une seule homologation était en cours. En l’occurrence, pour Synergie, outil métier dédié aux subventions européennes. Plus d’un an après son lancement, elle n’était toujours pas achevée.
Ces délais affectent la mise en production. Exemple sur les applications Dauphin Gis Pro (gestion des subventions de la DGD Politique de la ville). Le service SI a refusé la mise en place, sans homologation, d’une fonctionnalité de hub impliquant l’ouverture au réseau extérieure sans protection dédiée.

Lors d’un comité éditorial en avril 2022, le service informatique avait appelé à de la transparence sur les coûts liés au SI. Une demande qui n’a pas porté ses fruits. Cette situation favorise l’abandon de projets en cours de développement. Ce fut le cas pour la plate-forme MAPP, un outil SAP similaire à l’outil Données et Territoires déjà développé au sein de la DG Numérique. Montant investi : environ 130 000 €.
D’autres projets entraînent un coût démesuré. Comme la plate-forme « Mon stage de troisième » (600 k€ de maintenance).

Illustration © kwanchaift – Adobe Stock