La DINUM estime que Microsoft 365 n'est pas conforme à la stratégie « Cloud au centre » de l'État français,
dans une circulaire adressée aux secrétaires généraux des ministères.
Dans une circulaire relative à la doctrine d’utilisation du cloud computing par l’État adressée aux secrétaires généraux des ministères, Nadi Bou Hanna, Directeur interministériel du numérique, a estimé qu'Office 365 (comprendre Microsoft 365) n'est pas conforme à la directive « Cloud au centre ». Pour mémoire, avec cette doctrine, le cloud devient dorénavant le mode d’hébergement et de production par défaut des services numériques de l’État français, pour tout nouveau produit numérique et pour les produits connaissant une évolution substantielle.
La crise sanitaire actuelle a mis en évidence la caractère essentiel des outils numériques pour la résilience de la société. Les organisations publiques comme privées ont accéléré fortement leur numérisation pour maintenir leur activité et proposer de nouveaux services. La plupart de ces services existent aujourd’hui grâce aux technologies de cloud computing qui permettent d’héberger et de traiter les données des entreprises, des administrations et des citoyens.
Le cloud représente trois enjeux majeurs pour la France : la transformation des entreprises et des administrations, la souveraineté numérique et la compétitivité économique.
Compte tenu de ce triple enjeu, transformation, compétitivité et souveraineté, le Gouvernement a décidé la mise en œuvre d’une stratégie nationale portant sur les technologies cloud, en cohérence avec les initiatives européennes en la matière. Cette stratégie s’articule autour de 3 piliers que sont le label Cloud de confiance, la politique « Cloud au centre » des administrations et enfin une politique industrielle mise en œuvre dans le prolongement de France Relance. L'objectif annoncé est de « protéger toujours mieux les données des entreprises, des administrations et des citoyens français tout en affirmant notre souveraineté ».
Avec l’adoption de la doctrine « Cloud au centre », le Gouvernement fait du cloud un prérequis pour tout nouveau projet numérique au sein de l’État ou refonte substantielle de l’architecture applicative existante. Le Gouvernement espère accélérer la transformation numérique au bénéfice des usagers et dans le strict respect de la cybersécurité et de la protection des données des citoyens et des entreprises.
Voici les règles autour desquelles s'articule la doctrine :
- [R1] pour tout nouveau projet numérique, quelle que soit sa taille, une solution cloud doit être recherchée : si le « cloud pour les utilisateurs » ne permet pas de remplir le besoin, une solution dédiée doit être envisagée sur une plateforme du « cloud pour les équipes informatiques ». Dans les deux cas, le mode produit doit être privilégié, incluant l’autonomie des équipes, la prise en charge continue des opérations, la confrontation rapide avec les utilisateurs du produit, et un jalonnement par l’impact permettant d’arrêter, d’infléchir ou d’accélérer la trajectoire du produit en fonction des résultats constatés ;
- [R2] les recrutements et les programmes de formation continue d’agents relevant à la fois des équipes informatiques et des directions sponsors des projets et des produits numériques, devront comporter un volet cloud computing. Il en va de même pour leurs managers. Les équipes qui expérimentent pour la première fois les approches cloud pourront bénéficier d’un accompagnement spécifique (coaching), mis en place par leur ministère, avec l’appui de la DINUM ;
- [R3] il appartient à chaque administration de mettre en place les processus d’incitation et de contrôle de cette politique, qui mesure le niveau d’adoption par les équipes, identifie les freins et tient à jour le plan d’action visant à leur levée ;
- [R4] tout projet relevant d'offres cloud commerciales devra comporter des conditions de fin de contrat et de réversibilité soutenables pour son administration, et provisionner les ressources financières, techniques et humaines correspondantes dès le lancement du projet, afin de rendre cette réversibilité activable effectivement. L’adéquation avec les règles1 de GAIA-X, notamment d’interopérabilité et de portabilité, devra également être recherchée dans la mesure du possible ;
- [R5] pour tout nouveau projet informatique, les équipes informatiques de l’État et leurs prestataires doivent par défaut s’appuyer sur une ou plusieurs des offres de cloud internes ou commerciales pour couvrir l’intégralité du cycle de production des applications (développement, recette, production, secours, éventuelles plateformes bac à sable et formation). Les ministères choisissent, en fonction de critères qui leur sont propres, et notamment le niveau de sécurité, le coût complet de possession, l’expertise RH dont ils disposent en leur sein, leurs besoins techniques et fonctionnels, les choix d’urbanisation préalable, s’ils recourent pour leurs produits numériques au cloud interne de l’État ou à une offre cloud commerciale ;
- [R5b] la règle [R5] s’applique par extension à tout produit numérique existant qui donne lieu à une évolution majeure (changement de prestataire, évolutions représentant au moins 50 % du coût de fabrication du produit initial ;
- [R6] les équipes qui souhaitent déroger à [R5] et [R5b] doivent le documenter auprès de la DINUM pour tout projet présentant un coût complet d’au moins 1 M€, en produisant une étude comparative sur les aspects économiques, juridiques, métiers ou de sécurité entre les scénarios ;
- [R7] le contrôle de la doctrine « cloud au centre » est désormais intégré à la procédure dite « article 3 » de contrôle de conception des grands projets informatiques de l’État, au-delà du seuil de 9 M€. Sous ce seuil, ce contrôle relève des ministères ;
- [R8] dans le cas d’un recours à une offre de cloud commerciale, les systèmes informatiques en production et en recette, incluant les éléments nécessaires à leur résilience, doivent respecter la règle suivante :
- tous les systèmes et applications informatiques manipulant des données à caractère personnel doivent être conformes au RGPD. Pour les systèmes contenant des données de santé, l’hébergeur doit de plus être conforme à la législation sur l’hébergement de données de santé,
- si le système ou l’application informatique manipule des données d’une sensibilité particulière, qu’elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État : l’offre de cloud commercial retenue devra impérativement respecter la qualification SecNumCloud (ou une qualification européenne d’un niveau au moins équivalent) et être immunisée contre toute réglementation extracommunautaire,
- sinon, l’administration en charge du système choisit la solution adaptée en fonction de ses propres critères, en privilégiant chaque fois que possible une offre qualifiée SecNumCloud et immunisée aux réglementations extracommunautaires,
- à titre transitoire, pour les projets déjà engagés, une dérogation à ces deux derniers alinéas pourra être accordée sous la responsabilité du ministre dont relève le projet, sans qu’elle ne puisse aller au-delà de 12 mois après la date à laquelle une offre de cloud acceptable (c’est-à-dire dont les éventuels inconvénients sont supportables ou compensables) sera disponible en France ;
- [R9] la portabilité multi-clouds doit être assurée. A cette fin les équipes informatiques s’assureront que les adhérences techniques et fonctionnelles à la plateforme cloud retenue n’entravent pas notablement cette capacité de réversibilité et de changement de fournisseur de cloud. Dans le cas où cette adhérence est néanmoins légitimée par des gains opérationnels immédiats, le surcoût de la réversibilité doit être financé par ces gains ;
- [R10] la DINUM est chargée de piloter, avec le concours des DNUM, la conception et la mise en œuvre de l’offre SNAP de services numériques interministériels, accessible à la demande par tous les agents de l’État ;
- [R11] les ministères qui souhaiteraient proposer à leurs agents des services logiciels à la demande additionnels à ceux disponibles dans SNAP sont incités à se regrouper et à mutualiser leurs moyens à cet effet, avec l’appui de la DINUM, sans que cela ne conduise à empêcher les agents d’accéder à SNAP ;
- [R12] les administrations peuvent souscrire en complément des solutions relevant de [R10] et [R11] à des offres logicielles à la demande de leur choix ; Ces offres doivent répondre aux attentes de leurs utilisateurs, tout en s’inscrivant dans les moyens humains et financiers dont ils disposent.
- [R13] les administrations ne doivent pas chercher à créer et maintenir de nouveaux logiciels sur mesure qui trouvent déjà leur équivalent dans les sphères publique ou privée. Elles doivent répondre aux besoins de leurs agents et des citoyens en privilégiant les solutions disponibles, soit en y recourant sous forme de souscription de logiciel à la demande (offres SaaS commerciales), soit en intégrant, adaptant et déployant ces solutions sur le cloud interne de l’État (offres SaaS internes). En l’absence de solutions sur étagère, elles peuvent engager un développement sur mesure limité au périmètre spécifique en question ;
- [R14] pour les services précités en [R10], [R11] et [R12], la conformité des infrastructures de cet éditeur à la règle [R8] est impérative. A titre transitoire, et pour accompagner la montée en maturité des offres et des hébergements qui respectent cette règle, cette conformité devra être obtenue au maximum 12 mois après la date à laquelle une offre fonctionnellement acceptable et conforme à [R8] sera disponible en France ;
- [R15] la diversité des fournisseurs doit être recherchée à l’échelle de l’État sur chaque segment des services aux utilisateurs, pour éviter la création de marchés captifs. Les administrations doivent, chaque fois que possible, évaluer plusieurs offres couvrant leurs besoins, en particulier dans les domaines de la micro-informatique, de la bureautique, de la messagerie et des solutions collaboratives.
Microsoft 365 n'est pas conforme à la doctrine Cloud au centre, selon Nadi Bou Hanna
La stratégie « Cloud au Centre » encourage donc toutes les administrations à migrer vers le cloud mais en précise le contexte ; ce cloud peut être un « cloud interne » maîtrisé par l’État pour les applications sensibles et les données à diffusion restreinte, ou encore un « cloud de confiance » (cloud certifié SecNumCloud et opéré par une entité européenne). Bien entendu, les offres cloud génériques des hyperscalers ne sont pas interdites mais leur usage est restreint « à l’hébergement de données non sensibles et aux services non essentiels au fonctionnement des administrations… ».
Ainsi, dans une circulaire aux secrétaires généraux des ministères, Nadi Bou Hanna, Directeur interministériel du numérique, a estimé que Microsoft 365 n'est pas conforme à la directive Cloud au centre. Une conclusion plutôt logique étant donné que, bien que les services Microsoft 365 sont opérés sur des datacenters Microsoft situés en France, ils ne sont pas immunisés contre les réglementations extracommunautaires.
Et d'indiquer que :
« Certaines administrations étudient l’opportunité de recourir à l’offre Office 365, proposée par Microsoft sur ses propres infrastructures cloud (Azure), en remplacement des solutions bureautiques et de messagerie (MS Exchange notamment) déployées sur les serveurs de l’État. »
« La circulaire du Premier ministre citée en référence explicite la doctrine cloud de l’État, dite "Cloud au Centre". Dans sa règle [R9], elle précise que pour un système numérique qui manipule des données sensibles, le recours à une offre de cloud commercial est possible uniquement si cette offre est qualifiée SecNumCloud et qu’elle est immunisée contre les règlementations extracommunautaires. »
« Les solutions collaboratives, bureautiques et de messagerie proposées aux agents publics relèvent des systèmes manipulant des données sensibles. Ainsi, la migration de ces solutions vers l’offre Office 365 de Microsoft n’est pas conforme à la doctrine Cloud au Centre. A titre transitoire, pour les éventuels projets très avancés au 5 juillet 2021, une dérogation pourra être accordée sous la responsabilité de votre ministre. Cette dérogation se limiterait aux seuls services de messagerie et de drive personnel, "pour une durée limitée à 12 mois après la date à laquelle une offre de cloud acceptable sera disponible en France". En revanche elle ne peut concerner les services documentaires, collaboratifs, de messagerie instantanée, d’audioconférence, de visioconférence et de webinaire, qui sont couverts par l’offre interministérielle SNAP, déjà conforme à Cloud au Centre ou en passe de le devenir très prochainement. »
« Ainsi, dans le cas où vous envisageriez d’externaliser la construction et le fonctionnement de vos suites collaboratives hors de vos systèmes d’information ministériels, je vous invite : »
- à vous rapprocher de la DINUM pour évaluer l’opportunité de construire (build) et d’opérer (run) une offre de service « bureautique collaborative et messagerie » sur le cloud interne de l’État ou sur le cloud commercial de confiance, mutualisée entre les ministères qui rejoindraient l’initiative ;
- ou à privilégier un scénario dans lequel le consortium « Bleu » réalise son ambition de construction d’une offre labellisée SecNumCloud conforme à la doctrine Cloud au Centre, avec une suite Office 365 bénéficiant d’un transfert de compétences et des responsabilités technique et juridique à son profit, et donc à prendre contact avec la direction de ce consortium ;
- ou à envisager de recourir aux produits interministériels SNAP, déjà largement déployés au sein de l’État ;
- ou, en l’absence d’urgence, à différer vos projets de remplacement de vos outils existants dans l’attente d’une amélioration de l’offre disponible sur le marché ».
Ce rappel intervient alors que nombre de services informatiques ministériels entament une modernisation de leur infrastructure dans le cadre de la stratégie cloud française et abandonne leurs infrastructures MS Exchange. La DINUM peut fournir à certains ministères une dérogation jusqu’à la fin 2022 mais elle est limitée aux seuls services de messagerie et de « drive personnel ». Elle ne pourra en aucun concerner les services documentaires, collaboratifs, de messagerie instantanée, d’audioconférence, de visioconférence et de webinaire qui sont déjà couverts par l’offre SNAP (Sac à dos Numérique de l’Agent Public).
Source : Direction interministérielle du numérique
Et vous ?
Que pensez-vous de cette stratégie ? Quels sont les points que vous trouvez les plus importants ? Dans quelle mesure ?
Que pensez-vous de la recommandation de la Direction interministérielle du numérique qui dit non à Microsoft 365 ?
Voir aussi :
Microsoft annonce les fonctionnalités et les coûts de la nouvelle version perpétuelle Office 2021 : le paiement d'une licence perpétuelle est-il plus avantageux que l'abonnement à Microsoft 365 ?
Microsoft Office 2019 attendu pour le second trimestre 2018, avec peut-être moins de fonctionnalités qu'Office 365
La suite bureautique Microsoft Office est disponible en version d'évaluation sur le Windows Store, pour les machines tournant sur Windows 10 S
Microsoft confirme la fin du support d'Office 2011 pour Mac, et recommande à ses utilisateurs de migrer vers Office 2016 ou Office 365
Partager