Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

L’école Polytechnique veut migrer sur Microsoft 365 et déclenche un tollé

Dissonance cognitive

L’école Polytechnique veut migrer sur Microsoft 365 et déclenche un tollé

La directrice générale de Polytechnique a préparé les conditions d'une migration express d'une partie des services informatiques de l'école vers l'offre Microsoft 365. La migration concernerait notamment les messageries, y compris au sein des « zones à régime restrictif » qui hébergent des projets de recherche sensibles. L'information, révélée au lendemain de notre article illustrant la persistance des liens commerciaux entre l’Éducation nationale et Microsoft, a déclenché des protestations véhémentes.

Le 21 mars à 14h23

La directrice générale de l'école militaire, Laura Chaubard, a présenté en interne un projet de migration d'une partie des services informatiques en direction de l'offre Microsoft 365, révèle la Lettre dans son édition du 19 mars.

La décision concerne notamment la messagerie des étudiants, des chercheurs et des personnels administratifs de l'X, y compris au sein des « zones à régime restrictif ». Ces ZRR englobent les laboratoires au sein desquels les effectifs travaillent sur des projets sensibles (chiffrement, quantique, cybersécurité, etc.) relevant du dispositif PPST (potentiel scientifique et technique de la Nation) et susceptibles de nourrir des applications militaires.

Une messagerie soumise aux lois extraterritoriales états-uniennes

D'après la Lettre, le sujet de la migration aurait été « effleuré » en conseil d'administration, le 12 décembre dernier (en tout état de cause, il n'apparaît pas dans le relevé PDF des délibérations associé), avant d'être enclenché. La bascule devrait ainsi s'échelonner entre mai et septembre, et susciterait déjà des réticences en interne.

Si le projet inquiète, c'est notamment parce que Microsoft est soumise aux lois extraterritoriales états-uniennes, à commencer par le fameux Cloud Act, qui permet aux autorités d'exiger, sous certaines conditions, l'accès à des données hébergées par une entreprise américaine, même si les serveurs ou les clients de cette dernière sont situés à l'étranger.

Au-delà du choix d'une solution états-unienne, ce sont les modalités expéditives de la bascule qui interrogent. D'après une présentation interne, dont une capture d'écran est reproduite sur LinkedIn par Elsa Trujillo, journaliste à la Lettre, l'idée de faire converger les laboratoires de l'école vers Microsoft 365 constituerait une « demande expresse » de la directrice générale.

Une volonté de rationalisation ?

Le projet aurait notamment pour objectif de faire « converger » les outils de l'école vers une solution commune. D'après ce même document, plusieurs des laboratoires de Polytechnique disposeraient aujourd'hui de serveurs de messagerie autonome. Autant d'instances qu'il conviendrait donc de réunir sous une bannière commune. « La DSI déploiera en priorité les outils de back office de Microsoft (rester dans le standard pour ne rien perdre de la "puissance" de l'écosystème Microsoft), quitte à renoncer à une partie de l'extrême personnalisation actuelle (XAJAM et autres) », indique encore cette présentation.

Pourquoi choisir Microsoft dans ce contexte, particulièrement pour une école rattachée au ministère des Armées, qui ne peut ignorer les arguments géopolitiques ? L'offre cloud Bleu, qui vise à déployer des services Microsoft sur des infrastructures cogérées par Orange et Capgemini, aurait été envisagée, mais écartée pour cause de calendrier, indique la Lettre.

L'explication pourrait-elle ne tenir qu'à une simple logique de coût, et donc de moyens fournis par le ministère de tutelle, en l'occurrence les Armées ? « La bascule des ZRR n'aurait pas dû avoir lieu. Pour le reste, c'est une question de moyens, fait par exemple remarquer Alexandre de Pellegrin, DSI de l'ENSEA (École nationale supérieure de l’Électronique et de ses Applications), qui réunit environ 1 000 étudiants. Prenons mon établissement, Microsoft 365 nous coûte moins de 4 000 euros par an pour l'ensemble des usagers avec une offre de services collaboratifs de très bonne facture. Je n'ai pas les ressources pour gérer en interne l'équivalent ni le budget pour prendre une solution souveraine ».

Cette logique de guichet unique, capable de délivrer aussi bien les solutions serveurs que les logiciels clients ou leurs équivalents en ligne apparaissait aussi comme l'un des déterminants du marché public portant sur l'achat de licences Microsoft récemment attribué par l’Éducation nationale, que Next révélait mardi.

Un choix à contre-courant de la position officielle

Ces deux annonces successives interviennent alors que Clara Chappaz, ministre déléguée au Numérique, a défendu à plusieurs reprises cette semaine la nécessité d'une « souveraineté économique » sur les marchés en plein essor du cloud ou de l'intelligence artificielle. D'abord pendant un événement organisé par la Direction interministérielle du Numérique, puis devant la commission des affaires étrangères de l'Assemblée nationale, où la question de la protection face aux lois extraterritoriales a justement été soulevée.

Face aux députés, Clara Chappaz a notamment rappelé que la stratégie du gouvernement passait par la labellisation SecNumCloud, et que la doctrine adressée aux administrations en matière de données sensible demandait bien que ces dernières soient stockées dans des clouds agréés. Elle a aussi admis que le processus d'émergence de ces offres souveraines « prenait du temps ».

Un peu trop sans doute aux yeux du député Philippe Latombe, qui s'est ému jeudi sur LinkedIn des choix opérés par l’Éducation nationale et Polytechnique et promet d'interpeller le gouvernement par le biais de questions écrites. « Les décideurs, dans les deux cas, ont fait fi des directives successives qui, depuis plusieurs années déjà, les alertent, voire leur interdisent, de continuer à utiliser ou choisir des solutions étrangères, non souveraines et, dans le cas qui nous intéresse, assujetties à l’extraterritorialité du droit américain », écrit-il, avant de rappeler le cas du Health Data Hub, objet d'une récente alerte de la CNIL.

« Alors que l’ENS avait rétropédalé suite à une mobilisation massive des personnels et étudiants contre une initiative similaire en 2021, cette décision de Polytechnique constitue un signal désastreux pour la souveraineté numérique française et européenne », estime pour sa part le Conseil national du logiciel libre (CNLL). Dans un communiqué virulent, il réclame « la priorité absolue aux solutions open source et européennes, conformément aux recommandations de la DINUM, aux lois ESR et République numérique, et aux exigences de sécurité et de souveraineté ».

Commentaires (54)

votre avatar
Déjà que l'ENS signe un contrat de plusieurs dizaines de millions avec Microsoft est fâcheux dans le contexte actuel de guerre commerciale, mais là, ce n'est pas "désastreux" comme dit le CNLL c'est carrément une énorme imbécillité avec les potentielles implications militaires.

Comme on voit la fiabilité relative de nos "alliés", on est en train de dire : on va faire une défense souveraine, mais ne vous inquiétez pas, toutes les spécifications seront stockées aux U.S.

Et ça ne choque personne ? :reflechis:
votre avatar
Imbécilité ou... ?

Ah non je ne dirai rien de plus, ce serait de la diffamation sinon :fume: ... mais à lire l'article, c'est tout de même étrange. Calendrier, processus décisionnel rapide...
votre avatar
C'est pas que ça ne choque personne. C'est que Microsoft a une excellente stratégie commerciale et qu'il n'y a pas d'alternatives viables pour les décideurs (oui, pour le public de Next on sait qu'il y a largement des alternatives).

Et puis Microsoft offre une sécurité, celle du parapluie de responsabilité. "C'est pas moi chef, c'est la faute de Microsoft/Les autres font la même chose..." Et l'administration française adore le "pas de vague".
ça n'encoure pas l'innovation ni la recherche d'alternative.
votre avatar
Comme tu dis. Pour le prix, tu as toutes les fonctions et on te vend ça comme un tremplin car ça sera aussi MS entreprise.

Les alternatives sont moins sexy, donc si le/la/les décideurs se fient aux visuels et autre, pas de chance pour des solutions open-source en comparaison.

A l’INSA on avait Zimbra + Moodle en officiel. Entre nous on utilisait Gdoc (le seul collaboratif à l'époque).
Imparfait mais vivre avec un IT imparfait c'est une très bonne préparation à la vie d'entreprise. Comme le fait de connaître différents outils.
votre avatar
Choix à court terme qui à moyen et long terme pourraient s'avérer catastrophique.

Il serait peut être temps de travailler à des solution souveraines, si ce n'est en France à minima en Europe. Cela ne va pas se faire du jour au lendemain mais dans les sommes colossales dont il est question pour le réarmement, on pourrait en prendre une partie pour le numérique.
Car la souveraineté numérique est AUSSI une arme.
votre avatar
Je n'ai pas les ressources pour gérer en interne l'équivalent ni le budget pour prendre une solution souveraine
Ha bah c'est sur qu'en réfléchissant comme ça, c'est pas demain qu'on aura une solution souveraine à un bon tarif.
votre avatar
Cela ferait 4€/étudiant/an!
AMHA, à ce niveau, c'est l'enquête anti-dumping qui s'impose et devrait passer très au dessus de la tête du DSI (fauché, comme souvent) de l'ENSEA...
:baton:
votre avatar
:non: Le prix annoncé n'est pas pour les usagers mais pour les agents.
C'est 0€/étudiant/an car "Démarrez avec Microsoft Office 365 gratuitement"
votre avatar
Dans une thématique similaire de souveraineté du numérique, j'ai adoré la dernière vidéo d'Underscore qui interview le confondateur de Clever Cloud.
TL;DW: Il n'y aura pas de géant du numérique français et européen si la puissance publique ne pousse pas, ni si les acteurs ne s'entendent pas entre eux pour collaborer.
votre avatar
"la dernière vidéo d'Underscore qui interview le confondateur de Clever Cloud." :

"Toi tu utilises vmware ? T'en es content ?"
"ouais"
"ok ben du coup je vais utiliser vmware moi aussi"
votre avatar
Clever Cloud? Pourquoi pas Clever Cloud ComPuting, l'acronyme rappellerait des souvenirs! :eeek2:
votre avatar
C'est aussi une manière pour le DSI de se couvrir en cas de soucis "ah mais j'utilise la même chose que les autres" alors que si t'as une petite solution ou un truc fait maison ...
votre avatar
Est-ce qu’un article existe sur la difference concrète (pas les bullshit commerciaux) entre le cloud bleu et les solutions MS telles que celles évoquées dans l’article ?
En effet s’il est question d’extension juridique extra-territoriale de la part des USA alors en quoi ce type de cloud est vraiment sécurisé ?
votre avatar
La différence est que la société qui gère la solution est française, donc pas susceptible d'être soumise au cloud act. Il me semble que le sujet a déjà été abordé ici plusieurs fois (Next INpact puis Next.ink)
Certains contradicteurs disent, mais sans le prouver que MS ou autre Google suivant les solutions pourraient quand même être obligées de pousser des modifications qui permettraient d'exfiltrer des données au profit des USA.
votre avatar
donc pas susceptible d'être soumise au cloud act
Faux, à partir du moment où une société opère en Europe (démarchage actif de clients) elle est soumises au Cloud Act, DMA, DSA, etc... (selon le cas). C'est la "concurrence libre et non faussée" si chère à l'Europe !
mais sans le prouver
Tu plaisantes ! Toute société américaine est en plus soumise aux lois américaines dont le fameux Patriot Act qui l'oblige à fournir toute donnée demandée par ses autorités, où qu'elle exerce.
D'ailleurs Trump râle à mots fleuris et rappelle que les sociétés américaines devraient être soumises uniquement au droit américain (Patriot Act entre autres) et à aucun autre droit parce qu'il l'a bien dit aussi l'EU a été créée pour emm... l'Amérique !


En résumé pour la différence : "sécurisé" est terme un marketing qui ne veut rien dire tant qu'on ne précise pas contre quoi on vise à se sécuriser. En l'occurrence si l'on entend sécurisé contre les fuites de données vers les agences américaines (CIA, FBI, ...) ça ne l'est PAS en vertu des obligations auxquelles toutes sociétés américaines doivent se conformer où qu'elles opèrent (extra-territorialité)
votre avatar
Faux, à partir du moment où une société opère en Europe (démarchage actif de clients) elle est soumises au Cloud Act, DMA, DSA, etc... (selon le cas). C'est la "concurrence libre et non faussée" si chère à l'Europe !
Qu'est-ce que tu racontes ? On parle d'une société de droit français ici.

Je veux bien que tu me dise que c'est faux, mais sans rien pour l'étayer, je te classe dans les "sans le prouver".

Et pour ta seconde partie, tu n'apportes aucune source qui prouve tes affirmations. Tu es donc vraiment à classer dans les "sans le prouver". Prouver c'est aller plus loin que dire : il y doit bien y avoir une loi US qui me permet d'affirmer des choses.

Tu utilises les délires de Trump, qui n'ont pas force de loi et qui sont là pour faire du marchandage, seule chose que ce mauvais businessman sait faire, comme preuve alors que ce débat date de bien avant sa réélection.
Le patriot Act est une loi antiterrorisme, pas sûr que l'on puisse l'employer pour espionner des états, mais tu peux me citer un passage précis pour me contredire.

Et ta dernière phrase ne veut rien dire.
votre avatar
Juste pour info; je travaille pour UN dans une agence ici a Paris, et nos données chez MS (en Irlande principalement), sont suceptibles d'etre victime du Patriot Act. MS a toujours été clair avec nous la dessus. Personne ne peut y échapper.
votre avatar
Oui, on le sait. C'est pour cela que les solutions comme "le cloud bleu" pour laquelle je répondais ont été créées et sont en cours de certification SecNumCloud.

C'est quoi UN ?
votre avatar
Nations Unies, donc meme eux (en tout cas mon agence) sont assujettis au Patriot Act. :D
votre avatar
+1 même question
votre avatar
on a de nombreux articles qui abordent le sujet, mais pas forcément un "récap" qui envisagerait les principaux cas de figure, on s'est justement fait avec @SébastienGavois la réflexion que ce serait une bonne idée d'en réaliser un en préparant la publication de cette actu

y'a plus qu'à :santa_flock:
votre avatar
Ah oui avec plaisir !
votre avatar
Je veux bien savoir comment ils arrivent à 4000€ par an pour 1000 utilisateurs. Même pour une asso le prix officiel c'est 3€ par utilisateur par MOIS. On serait à une remise de 80/90% par rapport à de l'associatif. Soit il a confondu mois et année soit MS leur fait une très très grosse remise.

microsoft.com Microsoft
votre avatar
Le monde de l'éducation a accès à des programmes commerciaux spécifiques (très avantageux), et les licences achetées en volume se vendent pas au même prix que les abonnements au détail !
votre avatar
C'est aussi a mettre en parallèle de l'article sur l'éducation nationale et ses 74 millions.
Il y a sûrement plus de choses que de simple licence.

Mais ça me fait penser a cette petite réflexion:
Quand c'est gratuit (ou pas cher du tout...), c'est que c'est toi le produit.
votre avatar
Salut,
Sauf que les labos ne sont pas censés bénéficié de ces tarfis réservé aux étudiants et enseignants... :)

C'est ce qui est arrivé au CERN, Microsoft a du jour au lendemain décidé que leurs labos ne pouvait plus bénéficier de ce tarif qui a fait x10!

https://www.cio-online.com/actualites/lire-le-cern-va-abandonner-microsoft-pour-des-solutions-alternatives-11297.html
votre avatar
Exactement les licences offices éducations voient leurs tarifs calculés selon le nombre d'emplois ETP de la structure sans se soucier du nombre d'étudiants.
votre avatar
Ils sont malins Microsoft,ils préfèrent vendre à perte afin de fidéliser un max dès le plus age. Sur le long terme, c'est bien plus intéressant. Les jeunes ne connaissent que les solutions MS qu'ils défendent bec et ongle parce que la solution qu'ils connaissent ....
votre avatar
Manière de biberonner les utilisateurs à leur clicodrome de merde dès le plus jeune âge, rien de nouveau sous le soleil...
votre avatar
4000 € par an pour 1000 étudiants, est-ce qu'il y a que moi que ça choque ou alors les prix catalogue pour l'éducation sont vraiment fait pour donner la bonne parole aux générations futurs ?
votre avatar
C'est fait exprès pour empêcher toute concurrence et cela lobotomise les jeunes à ces seules solutions.
Le pire c'est que ça fonctionne...
votre avatar
Si le gvt la laisse faire, c'est qu'elle représente la position officielle. C'est toujours frappant comment les plus nationalistes sont toujours les premiers à se coucher devant les puissances étrangères.
votre avatar
Pour paraphraser Coluche: ils vendent de l'intelligence mais ils n'ont pas d'échantillons sur eux.
votre avatar
Excellent, je ne la connaissais celle-là !
:yes:
votre avatar
Voir aussi:

next.ink Next
votre avatar
Pourquoi la directrice est-elle aussi pressée de se tirer une balle dans le pied ? Auprès de qui prend-elle ses instructions ?
votre avatar
C'est d'autant plus surprenant qu'elle a auparavant été confrontée au renseignement dans sa carrière (architecte du système d'information pour le renseignement).

Je sais que souvent, les polytechniciens qui restent militaires ne sont pas les meilleurs (c'étaient au moins dans le temps les derniers au classement de sortie qui restaient dans l'armée), mais quand même, un polytechnicien, ça sait réfléchir et un militaire, c'est patriote.
votre avatar
Un militaire, c'est sensé être patriote... 😅
votre avatar
Un militaire, c'est sensécensé être patriote...
:cap:

Par contre, un militaire non patriote n'est pas très sensé.

Voir ici.
votre avatar
Et par contre ça ne pose pas scandale que l'on renouvelle encore le contrat de l'Éducation Nationale avec M$.
votre avatar
Bah, de toutes façons, il y a une maladie en Europe qui fait qu'on se jette sous les roues de la première entreprise américaine qui passe.... Allez, pour la route, Chatcontrol 2.0 devrait revenir maintenant que les cons-servateurs sont de retour au pouvoir en Allemagne... parceque c'est sûr, demander à des entreprises trumpistanaises de faire de l'interception sur des flux qui devraient être chiffrés de bout en bout, pour toutes les communications des citoyens européens, ça n'a aucune valeur stratégique et ça ne risque pas d'être utilisé contre nos pays au profit du Trumpistan et son allié russe.
votre avatar
Pourquoi est ce que j'entends hurler le mot corruption en lisant l'article, sans le voir écrit nulle part ?
votre avatar
Parce que tu as des acouphènes ?
#noussachons
votre avatar
Vite ! Accusons de complotisme tous ceux qui pourraient se poser des questions !
#pluscestgrospluscapasse
votre avatar
Tu fais des accusations, tu ne poses pas vraiment une question malgré la ponctuation.

Il y a tellement d'autres raisons pour avoir fait ce choix, même si elles sont pas très bonnes. Accuser quelqu'un de corruption est grave.
votre avatar
C'est pas de la corruption, c'est une formation à la solution adaptée, de deux semaines aux Maldives, compagne incluse... (ou secrétaire) ^^
votre avatar
Bon l'histoire ressemble un peu à un agrandissement de la piscine d'un DSI au autre cadre.

Ça me rappelle cette scène dans l’ascenseur au sortir de la signature du contrat dans les locaux de Microsoft. Le désarroi visible des 2 techs info qui regardent les deux commerciaux se congratuler en se tapotant sur l’épaule : « Ha, on a bien négocié, c’est presque gratuit !! ». Et l’un des tech de reprendre : « presque ».
(Toutes similitudes avec votre histoire vécue n'est totalement pas fortuite)

---
En effet, s’il est question d’extension juridique extra-territoriale de la part des USA, alors en quoi ce type de cloud est vraiment sécurisé ?
La différence est que la société qui gère la solution est française, donc pas susceptible d'être soumise au cloud act. Il me semble que le sujet a déjà été abordé ici plusieurs fois (Next INpact puis Next.ink)
Pour ceux qui parlent de souveraineté des clouds.

Un bon cas d'étude serait WeTransfert. Il a du serveur (apparemment, mais pas certain) en Europe et est détenu par un groupe italien (qui fait dans le licenciement plus que dans la création de valeur). Donc droit Européen.

MAIS, son infrastructure repose sur AWS S3 dont les infrastructures sont majoritairement aux USA (si ce n'est tout).

Si le gvt américain devait trouver de l'info X ou Y. Passerait-il par Wetranfert ou Amazon ? Bon, on se doute de la réponse.

Ce n'est pas seulement la devanture qui compte bien malheureusement. C'est tout le circuit. Et parfois, c'est bien difficile de trouver les informations. Tant il y a du secret des affaires autant que des trucs inavouables.

Le seul moyen d'être sûr et certain, c'est de le faire soit même ou d'avoir une boite (comme CleverCloud - très bonne interview au passage) qui aura l'intégralité de ces infrastructures dans le pays.

Mais ça, cela voudrait dire qu’on a une volonté gouvernementale sur le sujet. Non, ne rigolez pas… C’est quand même un gros problème.
votre avatar
Pour la partie qui me répond.

J'aurais dû préciser que mon "qui gère la solution" s'étendait au contrôle physique des machines. On n'est donc pas au cas que tu décris pour lequel tu as raison. Si AWS est l'hébergeur et que les données hébergées ne sont pas chiffrées, le Cloud Act s'applique.
De toute façon, c'est l'ANSSI qui se prononcera au final sur la sécurité du montage et ils auront accès aux contrats : pas de secret des affaires à ce niveau. Je leur fais confiance sur le sujet.
votre avatar
"Pour la Patrie, les Sciences, la Gloire." C'est la devise de l'X.
-----------------------------
L'article de Laura Chaubard, DG de l'X, sur la Jaune et la Rouge : https://www.lajauneetlarouge.com/230-ans-au-service-de-la-patrie-des-sciences-et-de-la-gloire/
votre avatar
Traîtres à la nation ? Non juste à poil, ou incompétent mais souvent les deux... Le gens au manettes de ce pays, ne passent pas un jour sans me surprendre de leur nullité, bon on les a élus, on a que ce qu'on mérite, a notre image ...
votre avatar
On a élu des personnes qui n'ont pas de projet (à part celui d'être élu).

Maintenant, il serait peut être temps d'obliger les responsables à signer avec leur sang et d'assumer toutes les conséquences de leurs décisions.
votre avatar
Ouais, pour une école militaire et aussi centre de recherche dont certains sujets sont directement en lien avec l'
Armée, ça craint un peu quand même...

:cartonrouge:
votre avatar
Pfffff. Ils sont vraiment complètement cons.
votre avatar
hum j'ai de gros gros doutes sur l'hébergement de données des ZRR sur Office 365.
je vois juste pas comment ça peut être possible en fait, donc soit personne n'a rien vu, soit quelqu'un va le voir rapidement, mais je vois pas comment à un moment donné les données des ZRR peuvent se retrouver là-bas.
il faudrait que tout un tas de gens se coalisent pour prendre en conscience des décisions qui vont à l'encontre de tout un tas de textes.
Au vu du CV de la dame (qui pointe vers la case "pas une tanche"), y'a un truc qui cloche quelque part dans cette information. :roll:

L’école Polytechnique veut migrer sur Microsoft 365 et déclenche un tollé

  • Une messagerie soumise aux lois extraterritoriales états-uniennes

  • Une volonté de rationalisation ?

  • Un choix à contre-courant de la position officielle

Fermer