Le Réseau interministériel de l’État, sujet à dépendance

Le RIE (Réseau interministériel de l’État), en situation de dépendance ?

La Cour des comptes relève de tels enjeux. Elle en donne l’exemple au niveau de la gestion de la plate-forme d’accès à Internet. Faute de compétences en interne, un prestataire effectue la maintenance. Il est arrivé de devoir assouplir les exigences – allongement de délais de réponse, entre autres – parce que les infogérants les considéraient comme trop élevées. Par crainte d’un désengagement, les pénalités en cas de non-respect du niveau de service n’étaient tout simplement pas appliquées.

Les profils « experts » faisant défaut (admins systèmes et réseaux, devs, ingés SSI) sont des métiers en tension. Qui, en outre, exigent des temps de formation longs (12 à 18 mois). Les vacances de postes sont fréquentes et nombreuses, limitant les capacités de résilience du RIE. Il est d’autant plus difficile de recruter que les rémunérations n’atteignent pas celles du secteur privé ou d’autres administrations.

Ce phénomène n’épargne par le pôle SI RIE, qui assure le maintien de la condition opérationnelle du réseau. Composé de trois agents, il implique 17 ETP que fournissent des prestas externes. Il fait par ailleurs souvent appel à de l’infogérance. Or, compte tenu de la criticité des données, il faudrait réétudier la possibilité d’internatiser intégralement ce pôle. Il existe bien une stratégie d’internalisation et d’externalisation, mais elle manque de précision. Cela s’ajoute à l’absence de dispositif de gestion prévisionnelle des emplois, des effectifs et des compétences.

Du PCA à la cartographie des risques, attention à la résilience du RIE

La Cour des comptes appelle aussi à formaliser la résilience opérationnelle. À commencer par les PCA et PRA : aucun ces dernières années, y compris au niveau du SI RIE. Une partie des services ne sont pas dédoublés sur un second site. Il y a bien une redondance pour le SI historique (ou de gestion). Pas pour celui destiné au déploiement de services complémentaires (hébergement uniquement à Rennes).

Le pôle SI RIE n’a pas non plus formalisé de cartographie des risques sur son périmètre. Un audit externe de 2023 a révélé une faiblesse sur la gestion des accès. Quant à l’homologation RGS, elle a été perdue en 2021, alors que le RIE est un système ouvert aux autres autorités administratives.

Une gestion des incidents à professionnaliser

La Cour des comptes décèle aussi une marge de progression sur le processus de traitement des incidents. En premier lieu sur le temps de résolution des tickets, « anormalement élevé ». La durée moyenne peut dépasser 10 jours chez certains opérateurs. Et bien que les contrats mentionnent des SLA, la Dinum ne les applique pas.

Il peut s’écouler plusieurs jours entre la création d’un ticket côté RIE et d’un second côté opérateur. Si la prise en compte n’est pas assez rapide, les bénéficiaires peuvent passer par un canal Tchap. Face aux temps d’attente, certains décident même de joindre directement les opérateurs. Un processus de remontée des incidents « à professionnaliser ». Une meilleure classification, notamment, permettrait une priorisation et éviterait les escalades sur messagerie instantanée.

La Cour des comptes constate aussi un manque de communication de la part des agents du RIE après clôture d’un ticket. Elle appelle, en parallèle, à formaliser une vision à long terme pour le RIE (3 à 5 ans) dans le cadre d’un schéma directeur. Tout en accroissant les échanges avec les ministères encore exclus, en vue de leur intégration.

Illustration générée par IA