V. LES RECOMMANDATIONS ADOPTÉES À L'OCCASION DE L'EXAMEN DES COMPTES DE L'EXERCICE 2023
La Commission spéciale chargée du contrôle des comptes et de l'évaluation interne :
Souhaite, dans l'éventualité d'une révision de la convention du 23 juillet 2013 confiant à la Cour des comptes la mission de certification des comptes du Sénat, que continue d'être assuré le strict respect du principe constitutionnel d'autonomie financière des assemblées parlementaires, en veillant notamment à ce que les diligences réalisées et les documents produits se conforment aux normes d'exercice professionnel, l'analyse de la gestion opérée par le Conseil de Questure relevant exclusivement de la compétence de la Commission spéciale chargée du contrôle des comptes et de l'évaluation interne ;
Invite à tirer un bilan détaillé de l'opération de restructuration des immeubles des 26 et 36 rue de Vaugirard et des difficultés rencontrées dans ce cadre, dans la perspective des travaux d'ampleur envisagés pour les prochaines années ;
Salue la mise en place d'un forfait mobilités durables au profit des membres du personnel du Sénat ;
Salue l'accélération du processus de liquidation des frais de déplacement des groupes interparlementaires d'amitié, qui permet de rapprocher le prélèvement de la participation des Sénateurs de la date de ces déplacements ;
Renouvelle son appel à améliorer la programmation et la conduite de projets informatiques complexes en professionnalisant les missions de chef de projet ;
Invite à mettre en place une organisation et des outils de pilotage stratégique sur les projets innovants, en particulier ceux s'appuyant sur l'intelligence artificielle, en vue de moderniser les processus métier, tant du côté des missions institutionnelles que des ressources et des moyens.
S'agissant plus précisément de la maîtrise des risques et de la continuité d'activité, la Commission spéciale, s'appuyant sur le retour d'expérience en matière de cyberattaque présenté par les élus et les services de la mairie de Lille, lors d'un déplacement réalisé le 16 mai 2024 :
Salue la réactivité de la Direction des Systèmes d'Information face aux cyberattaques ayant visé le site internet du Sénat en 2023 ;
Invite à poursuivre l'organisation régulière d'exercices de simulation de crise, notamment entre la Direction de l'Accueil et de la Sécurité, la Direction des Systèmes d'Information et la Direction de la Séance, qui permettent d'améliorer les procédures et de diffuser la culture du risque ;
A pu constater le développement progressif de plans de continuité au sein des directions et invite à poursuivre et achever la démarche par l'établissement d'un plan de continuité global pour le Sénat ;
Dans cette optique, invite à :
- identifier les activités et les applications essentielles à la continuité des missions constitutionnelles du Sénat, ainsi que les ressources humaines, techniques et matérielles nécessaires pour les rétablir et les maintenir en cas de crise, notamment en prévoyant les astreintes pertinentes et en maintenant un stock d'ordinateurs et d'imprimantes hors réseau à redéployer en cas de crise cyber ;
- identifier, par type de risques, les interlocuteurs à mobiliser et la composition d'une éventuelle cellule de crise, associant les élus ;
- définir et formaliser par écrit les procédures métier afin de disposer d'une documentation permettant de réagir efficacement en cas de crise majeure ;
- s'assurer des sauvegardes de données nécessaires à la mise en place de procédures dégradées (copies papier, sauvegardes numériques, etc.) ;
- prévoir des outils de communication à destination des parlementaires et des membres du personnel du Sénat en cas d'indisponibilité des outils de messagerie et de téléphonie ;
- préciser avec l'Agence nationale de la sécurité des systèmes d'information (Anssi) les modalités d'accompagnement éventuel en cas de cyberattaque d'ampleur ;
- achever la cartographie du système d'information du Sénat ;
- mener des campagnes régulières de sensibilisation auprès des parlementaires, des collaborateurs et des membres du personnel afin de rappeler les bonnes pratiques en matière de prévention des risques, tant dans le domaine de la sécurité physique des personnes et du Palais du Luxembourg que de la sécurité informatique ;
- dans le domaine de la sécurité informatique, rappeler et faciliter la dissociation des usages personnel et professionnel des équipements ;
- garantir l'intégrité des systèmes d'information du Sénat en assurant une centralisation complète des développements à la Direction des Systèmes d'Information et en interdisant les initiatives non coordonnées.