No revelar el código fuente para no exponer fallos de seguridad. Este argumento sorprendente, muy alejado de las normas de ciberseguridad, fue aceptado por el tribunal administrativo de París para no revelar el código fuente de Parcoursup, la plataforma que reúne las solicitudes de colocación de futuros estudiantes de educación superior. La decisiónEl documento, que data de noviembre pasado, contradice la lectura de la ley realizada por la Comisión de Acceso a los Documentos Administrativos (Cada), que fue informada de este tema por la asociación Ouvre-boîte y que había emitido un dictamen favorable en enero de 2022.

El tribunal explica en particular que basa su decisión en las recomendaciones del proveedor de servicios de ciberseguridad del Ministerio de Educación Superior. Este último sostiene que "la publicación en línea del código fuente completo de la aplicación Parcoursup revelaría sus vulnerabilidades y, por lo tanto, podría comprometer la seguridad de los sistemas de información de la administración". En una nota adjunta al expediente, destacada por Acteurs publics, el responsable de ciberseguridad de la calle de Grenelle explica: "la deficiencia, o incluso la obsolescencia, de una parte del código de Parcoursup hace necesaria esta medida de seguridad".

Ya en 2020, fallas a raudales

En realidad, los defectos del sustituto de la APB se conocen desde hace mucho tiempo. Ya en febrero de 2020, en Un informeEl Tribunal de Cuentas ha destacado las deficiencias de la plataforma de asignación de títulos de bachillerato. En primer lugar, aunque Parcoursup se presenta como una nueva aplicación, el núcleo del SI sigue siendo heredado de APB. "Una nueva marca para una vieja herramienta", según el Tribunal de Cuentas, que estima en un 72% la parte del código fuente que permanece inalterado desde los sistemas desarrollados a principios de los años 2000.

Para elaborar su informe, el Tribunal de Cuentas encargó a empresas especializadas una auditoría del código fuente y de la arquitectura de la aplicación. El veredicto no fue muy positivo, ya que puso de relieve el alto nivel de riesgo, tanto en términos de interrupción del servicio como de intrusión, que conlleva una plataforma con numerosos fallos críticos. Al examinar las pocas partes del código que se hicieron públicas y parte del código no publicado, y desarrollado durante años por agentes que trabajaron en las diferentes generaciones de la plataforma, los resultados de estas auditorías arrojaron un índice de calidad de 2,28 en una escala de 1 a 4, correspondiendo una nota de 1 a un riesgo muy alto y una nota de 4 a un riesgo bajo. "Se trata de un resultado mediocre, con un alto nivel de riesgo. Para aplicaciones comparables, es decir, con más de 10 años de antigüedad, la nota media observada por los auditores encargados es de 2,80. Por tanto, Parcoursup se encuentra en un nivel de calidad inferior al de otros programas informáticos de una antigüedad similar". En el marco de esta auditoría, se identificaron 1.582 infracciones críticas. "Se trata de fallos en el código que deben corregirse rápidamente", subraya el informe.

No existe una política de seguridad ni de continuidad de negocio

Ya en 2020, el ministerio explicó que no era posible ir más allá de la pequeña parte del código fuente hecho público (estimado en un 1% del total por el Tribunal de Cuentas), "debido a fallas de seguridad que podrían afectar los sistemas informáticos del ministerio y la presencia de lagunas en la documentación del código". Hace cuatro años, los sabios de la calle Cambon recomendaron reforzar el Servicio Nacional de Competencias (SCN) responsable de la plataforma, que entonces solo contaba con 13 ETP dentro de su división informática. Y estructurar la gobernanza, expresando su sorpresa por la ausencia de un plan de continuidad de negocio y una política de seguridad dentro de una estructura reconocida, sin embargo, como operador de servicios esenciales por el Primer Ministro. El Tribunal pidió entonces al Ministerio de Educación Superior, Investigación e Innovación que "perpetúe el sistema de información corrigiendo los fallos más urgentes, modernizando o incluso reestructurando su arquitectura y documentando de forma sistemática y estructurada las bases de datos primarias de APB y Parcoursup".

Cuatro años después, este esfuerzo no ha podido concretarse, a pesar de la criticidad de la plataforma, aunque eso suponga dar marcha atrás a los compromisos asumidos por Emmanuel Macron en 2018. Durante la conferencia AIforhumanity, el recién elegido Presidente de la República declaró: "(...) el Estado, en lo que le concierne, hará público por defecto el código de todos los algoritmos que se vea obligado a utilizar, en primer lugar, señora ministra, el de Parcoursup, porque creo que es una práctica democrática".