Xavier Albouy (Min. Justice) : « notre satisfaction est l’amélioration du quotidien des agents »

Pouvez-vous nous expliquer ce que recouvre le Ministère de la Justice ?

Xavier Albouy : Le périmètre de la Direction du Numérique du Ministère de la Justice couvre les services centraux, les tribunaux judiciaires, les établissements pénitentiaires, les directions de la protection judiciaire de la jeunesse et les structures d’accueil aux justiciables et aux victimes.

Samuel Michel : Outre ce périmètre, en tant que FSSI (Fonctionnaire à la Sécurité des Systèmes d’Information), je dois prendre en compte l’ensemble du secteur d’activités d’importance vitale des activités judiciaires qui couvre aussi la cybersécurité des établissements publics tels que l’ATIGIP (Agence du travail d’intérêt général et de l’insertion professionnelle des personnes placées sous main de justice), l’APIJ (Agence publique pour l’immobilier de la justice), les écoles (ENM, ENAP…) ainsi que les opérateurs en gestion déléguée de services publics (par exemple le SI de gestion des bracelets électroniques).

Comment est, justement, organisée la fonction numérique au sein de ce ministère ?

Samuel Michel : En tant que FSSI, je suis rattaché au département de la Haute Fonctionnaire de Défense et de Sécurité (HFDS), qui est la secrétaire générale du ministère de la Justice.

Xavier Albouy : La Direction du Numérique est aussi rattachée au secrétariat général du ministère de la Justice. Nous traitons les tribunaux judiciaires, donc ni les tribunaux administratifs ni les tribunaux de commerce. Le Conseil d’État a sa propre DSI qui traite le SI des tribunaux administratifs.

Samuel Michel : Mais leur sécurité est rattachée à la HFDS du ministère.

La Direction du Numérique a été créée récemment. Qu’est-ce que cela change ?

Xavier Albouy : Nous avons suivi le mouvement général de tous les ministères mais ce n’est pas une révolution en interne. Budgétairement, cela ne change rien, par exemple, il n’y a pas eu de transferts de budgets ou de ressources. Auparavant, il existait un service du numérique qui a évolué dans sa position pour devenir une direction. L’évolution est en partie statutaire car les directeurs sont nommés en Conseil des Ministres au contraire des chefs de service. Ils ont donc un rôle dans les sujets politiques.

Concrètement, cela renforce la gouvernance et la cohérence des feuilles de route afin, par exemple, d’améliorer les connexions inter-applicatives pour éviter les ressaisies. Nous allons bénéficier aussi d’une meilleure cohérence du support et pouvoir plus aisément résorber les obsolescences ainsi qu’organiser les montées en compétences des agents et améliorer la façon dont les utilisateurs sont associés à l’évolution des systèmes d’information.

D’une manière générale, il s’agit de faire en sorte que le numérique soit un moyen de réussite des politiques publiques en matière de justice. La DNum gère l’animation de la gouvernance avec les métiers.

Comment se caractérise le système d’information du Ministère de la Justice ?

Xavier Albouy : Notre SI entre bien sûr dans le cadre général interministériel. Nous offrons et nous consommons donc des services interministériels. Ainsi, comme tous les ministères, nous utilisons le RIE (Réseau Interministériel de l’État), Chorus (exécution budgétaire)…

Nous avons un important historique et nos applications sont d’architectures et d’ancienneté très variables. Certains logiciels sont installés sur les PC, d’autres sur des serveurs locaux, mais la logique générale est de centraliser au maximum.

Samuel Michel : Nous avons des datacenters en propre pour les systèmes les plus critiques. Ils ont été remis aux normes il y a quelques années. Les fichiers les plus sensibles ne peuvent être stockés qu’au niveau national, sans copie locale, par exemple le casier judiciaire. Mais la chaîne civile peut encore être largement locale.

Comment se décline la doctrine « Cloud au centre » de la DINUM dans ce contexte ?

Xavier Albouy : Bien entendu, il n’est pas plus question chez nous que dans les autres administrations de recourir à des services sur cloud public tels que Microsoft Office 365 pour des données sensibles. Le sujet du cloud est en évolution au sein du Ministère de la Justice. Beaucoup de nos procédures sont encore en mode papier. La digitalisation en cours impose un accroissement des volumes. Nous nous glissons donc dans la doctrine « Cloud au centre ».

Nous avons de fortes incitations à nous emparer du Cloud mais la sensibilité des données est évidemment un facteur essentiel. La feuille de route d’usage du cloud interministériel reste à écrire. Pour le bon usage des deniers publics, nous n’allons évidemment pas continuer à tout faire tout seuls.

Comment gérez-vous la cybersécurité sur plus de 1500 sites avec beaucoup de systèmes locaux ?

Samuel Michel : Il va de soit que, sans gouvernance, il ne peut pas y avoir de mise en œuvre technique. La politique générale de gouvernance de la sécurité des systèmes d’information de l’État est définie par un arrêté du 22 octobre 2022 signé par la première ministre, l’Instruction Interministérielle 1337. Par celle-ci, la classique sécurité des systèmes d’information est devenue une sécurité numérique, c’est à dire qu’elle vient en appui de la politique numérique. Elle précise les rôles de chacun, dont, notamment, l’ANSSI, la DINUM, etc.

En déclinaison au Ministère de la Justice, un arrêté ministériel du 26 juillet 2023 a fixé la politique de sécurité numérique au sein de notre périmètre. Cet arrêté précise en particulier l’organisation ainsi que le rôle et les responsabilités de chaque acteur.

Le premier étage, c’est le Comité Stratégique qui réunit tous les directeurs du ministère. Le deuxième, c’est la chaîne de pilotage animée par le FSSI et mise en œuvre avec les conseillers à la sécurité numérique de chaque entité. Ceux-ci ne sont pas des « RSSI » au sens technique mais sont les plus proches possible des métiers. Enfin, le troisième étage, c’est le RSSI central et les RSSI de chaque direction régionale ou entité. Le RSSI central est rattaché à la Direction du Numérique, ce qui est aussi le cas fonctionnellement des RSSI déconcentrés. Mais ces derniers sont hiérarchiquement rattachés aux différentes directions. Le SOC est rattaché également à la Direction du Numérique. En tant que FSSI, je dirige le CSIRT qui s’appuie sur deux équipes : le SOC et une équipe moins technique qui assure le lien avec nos partenaires tels que l’ANSSI.

Sur le plan technique, nous avons bien entendu un EDR sur tous les 95 000 postes. La Direction du Numérique a mis en place une gestion de parc qui vérifie le bon déploiement des outils et des patches de sécurité.

Si un ordinateur portable est égaré (ce qui peut toujours arriver), ce n’est pas dramatique (en dehors de la perte de matériel) même s’il comporte des données sensibles. En effet, tous sont équipés d’un chiffrement avec des outils qualifiés par l’ANSSI.

La principale faille étant toujours entre la chaise et le clavier, comment menez-vous la sensibilisation de vos personnels à la cybersécurité ?

Samuel Michel : Lorsqu’un agent reçoit du matériel, il obtient en même temps des éléments de sensibilisation ainsi que des chartes d’usages issues des arrêtés. La procédure fait que, par exemple, quand un magistrat de terrain a un doute sur un mail, il contacte son correspondant qui, le cas échéant, remontera l’incident pour comprendre pourquoi le mail n’a pas été bloqué en amont et investiguer si besoin.

Nos personnels sont en cours de formation. Nous sommes en train de voir avec la plate-forme interministérielle d’e-learning Mentor pour créer des modules de sensibilisation. Pour l’heure, nous avons une plate-forme interne qui réalise de la sensibilisation au phishing avec des exercices nombreux avant la période des Jeux Olympiques. Selon les résultats, nous pouvons déclencher en urgence une sensibilisation dans tel ou tel service.

Environ tous les deux mois, nous envoyons à tous les décideurs du ministère une lettre électronique d’information sur la cybersécurité. D’ici quelques temps, cette lettre devrait être diffusée plus largement. Elles abordent des thèmes comme, par exemple, le typo-squatting.

Nous participons aussi au Cybermois.

Vous gérez des établissements pénitentiaires où il y a des agents avec des accès au SI et des détenus. Comment est gérée la cybersécurité au sein de ceux-ci alors que les détenus doivent pouvoir accéder à certains sites Internet pour assurer leur réinsertion à leur sortie ?

Samuel Michel : Bien sûr, en aucun cas un détenu ne peut accéder à un poste de travail de l’administration. Les postes situés « en coursive » sont très limités et, en particulier, n’ont aucun accès à Internet. Il existe un projet de tablette connectée via un réseau dédié ne pouvant accéder qu’à une liste blanche de sites. Cette tablette sera non individualisée, elle ne permettra pas d’utiliser de mail, ni de communiquer à l’extérieur par ce canal.

Xavier Albouy : Le projet en cours vise à rapprocher les détenus des emplois, bien sûr. C’est un domaine qui évolue beaucoup mais, dans tous les cas, un tel usage sera toujours strictement séparé du SI interne du ministère. Au-delà de permettre l’accès à la formation, au travail en prison, aux offres d’emploi, etc., le numérique est évidemment un facteur décisif de réinsertion.

Par nature, votre ministère entretient de nombreuses relations avec de multiples professionnels comme les avocats. Comment gérez-vous ces relations sur le plan numérique ?

Xavier Albouy : Nous adoptons nos modalités d’échange avec ces partenaires en fonction de leur spécificités. Car nous avons en effet de nombreux partenaires : avocats, bien sûr, mais aussi commissaires de justice (anciennement, avant le 1^er juillet 2022 : huissiers et commissaires-priseurs), médiateurs, entreprises qui fournissent des travaux d’intérêt général, etc. 

Pour les avocats, le ministère interagit avec le système propre du CNB (Conseil National des Barreaux). Dans d’autres cas, il peut y avoir des échanges d’e-mails ou même des conversations téléphoniques avec une saisie dans nos systèmes par l’un de nos agents.

Samuel Michel : Quand il y a une plate-forme d’échanges (comme dans le cas des avocats), celle-ci est gérée avec une convention et est bien évidemment fortement sécurisée. Tous les accès sont toujours nominatifs et tracés avec horodatage afin de respecter les procédures qui comportent toujours des délais.

Xavier Albouy : Nous avons des réunions périodiques avec le CNB pour caler nos évolutions respectives. Le dialogue se passe bien. Dans les évolutions en cours, nous visons une réduction des délais d’attribution de l’aide juridictionnelle et cela passe par des échanges numériques plus fluides avec les avocats.

Quels sont vos grands projets du moment ?

Xavier Albouy : Nous avons beaucoup de grands projets : la refonte du Casier Judiciaire, le programme de la Procédure Pénale Numérique, etc.

Mais notre politique est, aujourd’hui, de privilégier les petits projets avec un impact le plus rapide possible sur l’efficacité des politiques publiques, l’expérience utilisateur (agent ou public) et la réduction de notre dette technique.

L’impact sur les politiques publiques, cela concerne par exemple l’amélioration de l’insertion, la diminution des délais, l’accélération des procédures par le recours autant que possible au numérique au lieu du papier…

La dette technique est assez importante chez nous. Nous avons besoin d’investir pour supprimer les obsolescences et garantir notre résilience. Les utilisateurs préfèrent évidemment les outils modernes. Nous priorisons la suppression des plus gros irritants via de l’écoute, des sondages et en recourant à notre incubateur de start-ups d’État. Nous avons également mis en place l’Audit 360 : des experts numériques s’immergent quelques jours en juridictions pour imaginer des solutions répondant à de réelles difficultés sur le terrain et les prioriser. On trouve parfois des difficultés inattendues.

Bien sûr, la DNum doit animer une stratégie où les retours des utilisateurs ont un poids croissant. Même si « l’utilisateur au centre », ce n’est pas neuf chez nous. Chaque année, nous faisons une enquête de satisfaction vis-à-vis des outils numériques. Entre fin 2021 et fin 2023, la satisfaction globale est passée de 41 % à 65 %. Nous progressons grâce à des efforts importants, y compris budgétaires. Les utilisateurs constatent l’amélioration de leur quotidien et la disparition d’irritants.

Notre satisfaction est plus l’amélioration du quotidien des agents que les grands projets.

Quels sont vos prochains défis ?

Xavier Albouy : Le premier est probablement l’amélioration de notre gouvernance et de notre prise de décision face aux besoins exprimés et aux moyens dont nous disposons. Chaque euro investi doit avoir un impact sur nos objectifs.

Samuel Michel : déjà, un premier défi a été relevé : la sécurité des systèmes d’information n’est plus vue, aujourd’hui, comme un sujet technique mais comme un sujet de résilience métier. Cet état d’esprit, pour ne pas dire cet esprit d’équipe entre IT et métiers, était un préalable pour la suite. Notre principal défi, maintenant, est organisationnel. Et les Jeux Olympiques Paris 2024 constituent de ce point de vue un accélérateur.

Nous mettons en place le Vivier Cyber. Il s’agit de volontaires, pas nécessairement avec des compétences initiales en cybersécurité, pour nous aider à faire face à une crise majeure. Ils serviraient, par exemple, à pouvoir réaliser des interventions directes en masse sur les postes de travail.

Techniquement, un autre défi sera le passage à l’échelle de notre SOC. Nous avons remonté à l’ANSSI des informations qui leur avaient échappé. Nous avons la volonté d’étendre son domaine d’intervention et de créer un « SOC de SOC » pour soutenir les SOC d’établissements publics.

Enfin, sur le plan des ressources humaines, nous devons accroître notre capacité à fidéliser et offrir des parcours de carrière. Par exemple, nous pourrions proposer à des membres du Vivier d’évoluer en conseiller SSI puis RSSI. Bien connaître nos métiers demeure en effet une nécessité pour assurer correctement notre cybersécurité.