L’École polytechnique veut migrer sur Microsoft 365 et déclenche un tollé

La directrice générale de l'école militaire, Laura Chaubard, a présenté en interne un projet de migration d'une partie des services informatiques en direction de l'offre Microsoft 365, révèle la Lettre dans son édition du 19 mars.

La décision concerne notamment la messagerie des étudiants, des chercheurs et des personnels administratifs de l'X, y compris au sein des « zones à régime restrictif ». Ces ZRR englobent les laboratoires au sein desquels les effectifs travaillent sur des projets sensibles (chiffrement, quantique, cybersécurité, etc.) relevant du dispositif PPST (potentiel scientifique et technique de la Nation) et susceptibles de nourrir des applications militaires.

Une messagerie soumise aux lois extraterritoriales états-uniennes

D'après la Lettre, le sujet de la migration aurait été « effleuré » en conseil d'administration, le 12 décembre dernier (en tout état de cause, il n'apparaît pas dans le relevé PDF des délibérations associé), avant d'être enclenché. La bascule devrait ainsi s'échelonner entre mai et septembre, et susciterait déjà des réticences en interne.

Si le projet inquiète, c'est notamment parce que Microsoft est soumise aux lois extraterritoriales états-uniennes, à commencer par le fameux Cloud Act, qui permet aux autorités d'exiger, sous certaines conditions, l'accès à des données hébergées par une entreprise américaine, même si les serveurs ou les clients de cette dernière sont situés à l'étranger.

Au-delà du choix d'une solution états-unienne, ce sont les modalités expéditives de la bascule qui interrogent. D'après une présentation interne, dont une capture d'écran est reproduite sur LinkedIn par Elsa Trujillo, journaliste à la Lettre, l'idée de faire converger les laboratoires de l'école vers Microsoft 365 constituerait une « demande expresse » de la directrice générale.

Une volonté de rationalisation ?

Le projet aurait notamment pour objectif de faire « converger » les outils de l'école vers une solution commune. D'après ce même document, plusieurs des laboratoires de Polytechnique disposeraient aujourd'hui de serveurs de messagerie autonome. Autant d'instances qu'il conviendrait donc de réunir sous une bannière commune. « La DSI déploiera en priorité les outils de back office de Microsoft (rester dans le standard pour ne rien perdre de la "puissance" de l'écosystème Microsoft), quitte à renoncer à une partie de l'extrême personnalisation actuelle (XAJAM et autres) », indique encore cette présentation.

Pourquoi choisir Microsoft dans ce contexte, particulièrement pour une école rattachée au ministère des Armées, qui ne peut ignorer les arguments géopolitiques ? L'offre cloud Bleu, qui vise à déployer des services Microsoft sur des infrastructures cogérées par Orange et Capgemini, aurait été envisagée, mais écartée pour cause de calendrier, indique la Lettre.

L'explication pourrait-elle ne tenir qu'à une simple logique de coût, et donc de moyens fournis par le ministère de tutelle, en l'occurrence les Armées ? « La bascule des ZRR n'aurait pas dû avoir lieu. Pour le reste, c'est une question de moyens, fait par exemple remarquer Alexandre de Pellegrin, DSI de l'ENSEA (École nationale supérieure de l’Électronique et de ses Applications), qui réunit environ 1 000 étudiants. Prenons mon établissement, Microsoft 365 nous coûte moins de 4 000 euros par an pour l'ensemble des usagers avec une offre de services collaboratifs de très bonne facture. Je n'ai pas les ressources pour gérer en interne l'équivalent ni le budget pour prendre une solution souveraine ».

Cette logique de guichet unique, capable de délivrer aussi bien les solutions serveurs que les logiciels clients ou leurs équivalents en ligne apparaissait aussi comme l'un des déterminants du marché public portant sur l'achat de licences Microsoft récemment attribué par l’Éducation nationale, que Next révélait mardi.

Un choix à contre-courant de la position officielle

Ces deux annonces successives interviennent alors que Clara Chappaz, ministre déléguée au Numérique, a défendu à plusieurs reprises cette semaine la nécessité d'une « souveraineté économique » sur les marchés en plein essor du cloud ou de l'intelligence artificielle. D'abord pendant un événement organisé par la Direction interministérielle du Numérique, puis devant la commission des affaires étrangères de l'Assemblée nationale, où la question de la protection face aux lois extraterritoriales a justement été soulevée.

Face aux députés, Clara Chappaz a notamment rappelé que la stratégie du gouvernement passait par la labellisation SecNumCloud, et que la doctrine adressée aux administrations en matière de données sensible demandait bien que ces dernières soient stockées dans des clouds agréés. Elle a aussi admis que le processus d'émergence de ces offres souveraines « prenait du temps ».

Un peu trop sans doute aux yeux du député Philippe Latombe, qui s'est ému jeudi sur LinkedIn des choix opérés par l’Éducation nationale et Polytechnique et promet d'interpeller le gouvernement par le biais de questions écrites. « Les décideurs, dans les deux cas, ont fait fi des directives successives qui, depuis plusieurs années déjà, les alertent, voire leur interdisent, de continuer à utiliser ou choisir des solutions étrangères, non souveraines et, dans le cas qui nous intéresse, assujetties à l’extraterritorialité du droit américain », écrit-il, avant de rappeler le cas du Health Data Hub, objet d'une récente alerte de la CNIL.

« Alors que l’ENS avait rétropédalé suite à une mobilisation massive des personnels et étudiants contre une initiative similaire en 2021, cette décision de Polytechnique constitue un signal désastreux pour la souveraineté numérique française et européenne », estime pour sa part le Conseil national du logiciel libre (CNLL). Dans un communiqué virulent, il réclame « la priorité absolue aux solutions open source et européennes, conformément aux recommandations de la DINUM, aux lois ESR et République numérique, et aux exigences de sécurité et de souveraineté ».