22.03.2016
Action sociale
Des dossiers d’usagers quasi en accès libre ! L’ampleur de la faille de sécurité qui a touché le système informatique du SIAO 75, révélée par l’Anas, le 17 mars dernier, en dit long de l’impréparation des acteurs sociaux aux réalités de l’internet.
Les données numériques des personnes en situation de précarité imposeraient-elles moins de sécurité que celles du reste de la population ? Telle est la question posée après la révélation par l’Anas (association nationale des assistants de service social), le 17 mars dernier, de la faille de sécurité béante qui a touché le système informatique du service intégré d’accueil et d’orientation (SIAO) insertion de Paris.
L'action sociale permet le maintien d'une cohésion sociale grâce à des dispositifs législatifs et règlementaires.
Chargé de répartir les demandes d’hébergement dans le dispositif d’insertion et d’urgence de la capitale, le SIAO 75 est doté depuis 2013 d’un logiciel permettant aux travailleurs sociaux de saisir ces demandes et de les transmettre en direct. Un outil de réactivité salué par tous à sa création. Or, fin 2015, l’Anas est alertée par des assistants sociaux indiquant qu’ils avaient un accès complet à l’ensemble des dossiers présents sur la plateforme, et non pas seulement à ceux qu’ils avaient instruits. En investiguant, l’association constate alors que l’inscription au site ne nécessitait qu’une adresse e-mail, un nom et un prénom, sans aucune mention de la qualité de travailleur social. Il suffisait ensuite de disposer de l’adresse web d’un dossier de demande d’hébergement pour, en modifiant le numéro qui y figurait, accéder à toutes les fiches individuelles stockées sur le site depuis 2013. Selon l’Anas, il était ainsi possible de consulter l’intégralité des données privées – nom, âge, coordonnées, ressources, rapport social mentionnant les difficultés, etc. – d’environ 37 000 personnes. Mieux même, l’intrus pouvait accéder aux formulaires d’évaluation individuelle en mode lecture et écriture…
Morceaux choisis d'un texte aux multiples facettes
Saisie par l’Anas, le 24 décembre 2015, la direction du service parisien a paré à l’urgence. Le 4 janvier 2016, elle indiquait avoir mis en place « les sécurités nécessaires » pour qu’un utilisateur ne puisse plus « accéder à une évaluation autre que la sienne ». Pour autant, le SIAO se refusait à installer une vérification de la qualité de travailleur social lors de l’inscription à son site, au motif que « rien ne prévoit dans la loi (…) que les personnes qui portent la demande auprès du SIAO soient des salariés diplômés d’État ». Une demi-mesure incompréhensible pour Didier Dubasque, responsable d’une cellule de réflexion sur l’informatique à l’Anas, qui a donc conduit à étaler l’affaire sur la place publique. « Au vu de la faille, la question n’est pas de savoir si les personnes sont titulaires d’un diplôme d’État, mais plutôt pourquoi toute personne peut s’inscrire librement sur une plateforme chargée de répartir des demandes d’hébergement », défend-il.
Du côté du SIAO 75, on reconnaît la gravité du problème qui vient de se poser, tout en indiquant que le service va être doté, « d’ici quelques mois », d’un nouveau logiciel mis à disposition par la direction générale de la cohésion sociale. « Seuls les travailleurs sociaux habilités par l’administration y auront accès. Mais cette sélection va soulever d’autres difficultés, car nous sommes dans un secteur où chacun, bénévole, famille et professionnel, peut s’associer à la lutte contre l’exclusion », retourne Patrick Rouyer, directeur du SIAO 75.
Quoi qu’il en soit, l’affaire prend un tour symbolique tant elle est révélatrice de l’impréparation des acteurs sociaux face aux réalités de l’internet d’aujourd’hui. Pour Anne-Brigitte Cosson, présidente de l’Anas, « cette situation nous interroge sur les mesures de sécurité prévues dans les systèmes informatiques des services sociaux, ainsi que sur les conséquences de telles failles de sécurité pour la vie privée des personnes accompagnées par ces services. »
Tirant la leçon, l’association souligne le contexte actuel de « baisses budgétaires » et s’inquiète « sur les moyens qui sont et seront alloués à la sécurité des solutions informatiques de gestion des fichiers sociaux. » Elle appelle ses adhérents ainsi que tous les travailleurs sociaux à redoubler de vigilance, notamment en cryptant les données dont ils ont la charge et en renforçant les protocoles d’accès. « Dans le secteur de la santé et face au risque croissant d’attaques informatiques, la sécurité du système informatique fait dorénavant partie des éléments évalués dans le cadre de la certification des établissements », rappelle l’Anas.
Un catalogue de mesures en faveur de la prise en charge de la perte d'autonomie
Saisi par la Cour de cassation de trois questions prioritaires de constitutionnalité concernant l’exclusion des étrangers en situation irrégulière du bénéfice de l’aide juridictionnelle, le Conseil constitutionnel a déclaré les dispositions législatives concernées contraires à la Constitution.
