Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Bercy donnera un tour de vis souverain sur les achats des ministères en matière de cloud

Les règles sont parfois faites pour être respectées

Bercy donnera un tour de vis souverain sur les achats des ministères en matière de cloud

Une circulaire interministérielle, partie de Bercy, rappelle aux services de l’État l'importance de la protection des données, et l'obligation faite aux services de recourir à des offres d'hébergement ou de services compatibles avec les exigences de la loi SREN. Elle fixe un ultimatum au 31 mai, date à laquelle les Services de contrôle budgétaire et comptable ministériels auront pour consigne de refuser les achats non conformes.

Le 07 mai à 08h42

Cette fois, le rappel est assorti d'une menace : les achats de services informatiques qui ne respectent pas les préconisations de la direction interministérielle du numérique (Dinum) feront l'objet d'un refus en bonne et due forme de la part des agents de Bercy chargés du contrôle budgétaire et comptable, sauf en cas de dérogation. Tel est en tout cas l'ultimatum, signé par trois ministres, adressé le 22 avril dernier par Bercy à l'ensemble des ministères et secrétariats d’État de l'exécutif.

Protéger les données sensibles des risques d'accès par des acteurs étrangers

Ce courrier, révélé par Politico et reproduit par Contexte le 2 mai dernier, rappelle que les services de l'État sont tenus de respecter les principes de la loi SREN de mai 2024, dont l'article 31 prévoit que les données dites sensibles soient protégées contre toute possibilité d'accès non autorisé par un acteur étranger dès lors qu'elles sont confiées à un prestataire privé.

« Au sein de leurs administrations et des organismes placés sur leurs tutelles (...) les ministères doivent impérativement s'assurer que les hébergements et que les applications utilisées pour le traitement des données sensibles (...) et en particulier les solutions collaboratives, bureautiques et de messageries ainsi que les solutions d'intelligence artificielle, sont conformes à ces exigences de protection contre tout accès non autorisé par des autorités publiques d’États tiers ».

Bercy, qui cible ici très directement les risques posés par les lois extraterritoriales américaines, précise en suivant les exigences en question. Les destinataires sont ainsi invités à choisir entre les offres cloud portées directement par ses services et ceux de l'Intérieur ou, s'ils préfèrent faire appel au privé, les services d'hébergement labellisés SecNumCloud par l’ANSSI.

« S'agissant des suites bureautiques, nous attirons votre attention sur la disponibilité d'outils collaboratifs et sécurisés proposés par la direction interministérielle du numérique – La Suite numérique, qui sont pleinement souverains et indépendants ».

Bercy rappelle par ailleurs qu'une circulaire datée du 31 mai 2023 formalisait déjà cette exigence, avant même la loi SREN. Il restait cependant à faire valider le décret d'application de l'article 31 de cette dernière auprès de la Commission européenne, à qui un projet de décret a été notifié le 24 janvier dernier. D'où ce délai de prise en compte, désormais fixé au 31 mai 2025.

Un rappel opportun

Le calendrier de ce rappel ne doit évidemment rien au hasard : nous avons révélé mi-mars que l’Éducation nationale avait passé un marché public portant sur des solutions et services Microsoft à hauteur d'au moins 74 millions d'euros. Le lendemain, La Lettre dévoilait que la direction de l’École polytechnique préparait une migration express de ses outils de messagerie vers Microsoft 365.

Ces deux annonces concomitantes (bien que sans lien direct) ont suscité des réactions virulentes, et plusieurs questions écrites adressées au Gouvernement, pointant le décalage entre les choix d'équipement réalisés et la doctrine impulsée par la Dinum.

Outre la portée des lois extraterritoriales telles que le Cloud Act ou le FISA, la polémique prend place dans un contexte de guerre commerciale entre l'Europe et les États-Unis, qui poussent aussi bien Emmanuel Macron que les acteurs du numérique français à défendre les logiques de souveraineté et de préférence nationale ou continentale.

L'impact de la commande publique en question

La piqure de rappel envoyée par les ministres en charge de l'action et des finances publiques s'imposait d'ailleurs vis-à-vis de leur propre tutelle  : c'est en effet précisément le 22 avril qu'a été signé et publié le premier contrat stratégique de la filière « logiciels et solutions numériques de confiance », sous l'égide de Bercy.

Le sujet mobilise également depuis début mars une commission d'enquête sénatoriale chargée d'étudier la façon dont la commande publique peut être mobilisée pour assurer un effet d'entraînement sur l'économie française. Après avoir auditionné des acteurs du logiciel le 29 avril dernier, elle devrait selon la Lettre recevoir courant mai la directrice générale de l’École Polytechnique, mais aussi la ministre déléguée au Numérique, Clara Chappaz, qui a donc tout intérêt à montrer sa proactivité sur la question.

Commentaires (25)

votre avatar
On comprend mieux l'attitude de Microsoft qui flippe de voir glisser entre leurs doigts (tâchés de sang) la poule aux œufs d'or...
votre avatar
Moé. Y a rien qu'un bon coup de fil à Macron ou un billet sous la table ne peut régler. Microsoft et nos gouvernements successifs sont coutumiers du fait. ensuite y aura toujours un ignard pour clamer à la télé "nan mais maintenant ça va on peut travailler avec eux" ou "de toute façon ce sont les seuls" ou autre ineptie du genre.
votre avatar
Donc tout ceux qui utilisent microsoft 365 ou google cloud vont devoir migrer ?
Ca promet un certain boulot/affolement dans les DSI.

Le truc très positif c'est que vu la taille du marché, ça va permettre une bonne visibilité de ces offres et si ça devenait l'offre de défaut des petites entreprises, dont certaines deviendront grosses, ce serait le graal.
votre avatar
Non, l'existant demeure, il s'agit pas de tout migrer (ce serait drôle cela dit :p )

d'après ce courrier (et j'insiste là dessus parce que bon on sait que de l'intention aux faits, il peut y avoir du chemin), les achats, donc les nouveaux services souscrits, doivent répondre aux exigences Dinum, en sachant que des dérogations sont possibles, et que les renouvellements passent parfois par des circuits différents...

bref, c'est pas exactement le grand soir, mais ça se veut quand même un signal fort
votre avatar
Le signal est fort car il vient de ceux qui tiennent les finances: Même pour l'existant, probable que tout renouvellement qui sorte des conditions initiales de prix/service se retrouve concerné via l'avenant à faire passer.
Ce qu'il faudra surtout voir en pratique, c'est le dérogatoire possible!
Car voir le sénat se mobiliser seulement maintenant sur l'effet d’entraînement économique possible, ils ont un peu une guerre de retard: Le fameux "train de sénateur", peut-on dire!
L'erreur aura sans doute été que la cantine du midi de Gégé Larcher passe à Google Agenda pour les résa?
:roule:
votre avatar
migré pour quoi? Qu'est-ce remplace un office365 (word/excel + cloud) ?
et quand je vois tous les outils utilisés dans les startup française qui sont 100% USA (slack, teams, windows (et linux pour les softeux), onedrive, jira, gitlab....)
votre avatar
Je ne classerais guère Linux dans les outils "américains". Linus Torvalds est né en Finlande, même s'il a la double nationalité américaine maintenant et que son salaire est payé pas la Linux Fondation américaine. S'agissant d'un Open Source, la main-mise n'est guère possible.

Pour les autres outils, à chacun de faire ses efforts. J'avais déjà migré sur Gitlab quand Microsoft a mis la main sur Github. Mais comme Google est monté fort au capital de Gitlab, j'envisage de suivre le mouvement de certains acteurs de l'Open Source et aller sur Codeberg !
C'est évidemment plus facile à l'échelle d'un particulier que d'une entreprise qui a des centaines de projets et des considérations financières.

En effet les "hypersaclers" peuvent se permettre d'avoir des prix bas par effet d'échelle, et dans une entreprise à but lucratif, c'est un argument tentant. Pour l'état, il faudrait au contraire tenir compte de l'effet indirect : en achetant "Européen" on fait tourner l'économie Européenne au lieu d'envoyer l'argent à l'étranger, donc la comparaison de prix directe est moins pertinente. Ca permettrait "d'amorcer la pompe" et d'avoir des acteurs de plus en plus gros qui pourraient suivre sur les prix.
votre avatar
Il y a quand même une certaine influence américaine sur le développement de Linux :
https://www.phoronix.com/news/Russian-Linux-Maintainers-Drop
votre avatar
Oui, c'est effectivement malheureux que l'Open Source souffre des conflits en tout genre, mais regarde le précédent avec XZ Utils : https://www.akamai.com/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know

La guerre inclut aussi une guerre d'influence par tous canaux, désinformation, mais aussi hélas sur le code source ouvert. C'est donc sans doute prudence (excessive ?) d'avoir pris ce genre d'action.
Après il est certain que ce sont bien les américains qui ont la mains pour ces décisions.

Est-ce qu'il y a des backdoors dans Linux (NSA, CIA, etc...) quand on demande à Linus il dit non. Quand on lui demande si des agences américaines l'ont demandé, il dit aussi non en faisant oui de la tête !
Pour s'en assurer, on peut toujours regarder le code source et compiler soi-même.

... mais il faut aussi regarder le code source du compilateur/linker (cf XZ utils)... ce n'est pas simple !
votre avatar
Linux et Gitlab, c'est pas du 100% US, c'est du libre, donc des contributeurs partout, et personne qui ne possède le logiciel et peut changer arbitrairement les contrats en cours de route (ou au moins, ça peut être forké et repris par des équipes européennes si nécessaire).
Qu'est-ce remplace un office365 (word/excel + cloud) ?
Nextcloud + LO online ? Ce qui justifierait des développements européens pour les ramener au standard de qualité de Office 365 si on donnait des garanties que c'est un investissement pérenne. La France seule est capable de se payer ses propres programmes nucléaires, aérospatiaux, mais on ne serait pas capable en tant qu'UE de concurrencer MS ou Google ? C'est du bullshit.
votre avatar
Perso je préconise OnlyOffice online. De mon expérience, LO online est une horreur alors qu'OO a remplacé pour moi MSO au quotidien, sans gros souci ou manque.
votre avatar
Autant je ne connais pas LibreOffice Online, autant j'aime bien LO en local. Je n'ai pas utilisé OpenOffice depuis longtemps mais à l'époque, c'était hyper lourd et lent, d'où mon choix de LO.
Que reproches tu à LO en local ?
votre avatar
OnlyOffice ≠ OpenOffice
votre avatar
Pareil, j'aime beaucoup OnlyOffice. J'utilise la version desktop perso et au boulot, même ai au boulot on est censé utiliser o365, pour les docs que je produits, je les tous sous OnlyOffice, et c'est parfaitement compatible avec les docs o365
votre avatar
Exact, ma fourche a langué, c'est de OOO que je voulais parler.
votre avatar
LibreOffice Online n'existe pas vraiment (voir https://www.libreoffice.org/download/libreoffice-online/). Par contre ce qui existe et marche très bien et, selon ma propre expérience, beaucoup mieux que OnlyOffice c'est Collabora Office, basé sur LibreOffice.
En plus remplacer MSO par OnlyOffice c'est remplacer une dépendance aux USA par une dépendance à la Russie...
votre avatar
Pourquoi parler encore d'une dépendance à la Russie ? C'est pourtant fini depuis la chute du mur.

OnlyOffice est open-source et originaire de Lettonie, qui fait aujourd'hui partie de l'Union européenne, de l'OTAN, de la zone euro. Par ailleurs, la suite est régulièrement bien classée par rapport à ses concurrentes.

Extraits de Wikipedia :

« Basé en Lettonie, le propriétaire d'OnlyOffice, Ascensio System SIA.
En août 2023, OnlyOffice a annoncé une restructuration de son organisation. Ascensio System SIA allait être détenue à 100% par la société britannique Ascensio System Ltd, qui à son tour allait être détenue à 100% par OnlyOffice Capital Group Pte. Ltd, une société holding singapourienne... »

« Infomaniak (Suisse) a intégré OnlyOffice dans la suite kDrive de sa marque pour permettre aux utilisateurs d'éditer des documents bureautiques. »
votre avatar
Parce que la société appartient à des russes, que les développements sont réalisés en Russie et que le reste ne sont que des manœuvres pour accéder au marché européen puis échapper aux sanctions européennes suite à l'invasion de l'Ukraine.
Quant au fait que ce soit open-source, c'est partiellement vrai puisque pour plus de 5 utilisateurs de l'édition collaborative il faut la version propriétaire du serveur.
Mais bon, l'interface utilise le ruban de MS, ça contrebalance aisément tous problèmes de sécurité et vie privée.
votre avatar
Collabora office et collabora on line viennent du Royaume-Uni. Est-ce que c'est mieux ? Je ne sais pas.
Pour ma part j'aimerais bien essayer Docs et Grist de la suite numérique de l'état. J'ai hâte qu'elles soient disponibles pour les particuliers.
votre avatar
De mon côté, j'utilise Collabora en ligne via la mise à dispo à l'éduc nat (apps.edu...). Mon avis était basé sur une utilisation en classe et avec élèves. Fonctionnalités pauvres, lags, bugs, multi-utilisateurs mal fait..., c'était plus un truc à vous dégoûter des outils en ligne qu'autre chose. Je constate qu'une màj a été déployée il y a peu, ça a l'air mieux, c'est heureux pour le produit et pour les utilisateurs. A voir dans la pratique.
votre avatar
migré pour quoi? Qu'est-ce remplace un office365 (word/excel + cloud) ?
Nextcloud semble en avoir la prétention et on trouve beaucoup d'intégrateurs UE pour en fournir.
Il suffit de voir la liste des fonctionnalités, des nouveautés des dernières versions:
nextcloud.com Nextcloud
Certaines sont clairement orientées pour les adminsitrations publiques:
nextcloud.com Nextcloud
Nextcloud peut se combiner avec OnlyOffice ou Collabora Office (version Cloud de LibreOffice). D'ailleurs NexcloudOffice est une recombinaison de ce dernier.

Le magasin d'applications de Nextcloud semble très fourni: https://apps.nextcloud.com/ (mais tous les intégrateurs ne donnent pas accès à cette boutique).

Sur un autre registre, Murena va utiliser le système de gestion de flotte de smartphones de Nextcloud (MDM) dans sa version 3.0 pour vendre sa solution aux entreprises.

Nextcloud semble être produit par une boite allemande d'après Wikipédia, Après j'ignore à quel point, ce système est indépendant des USA (directement et indirectement).

Le point noir pour moi est que Nextcloud parle beaucoup de fédération en comparant avec les mails. Mais pour les mail, c'est basé sur des protocoles (IMAP, POP, SMTP) et il y a une foison de logiciels, de clients. Chez Nextcloud c'est, il me semble, surtout entre les diffréents hébergeurs/propriétaires de Nextcloud. Je ne crois pas que Nextcloud puisse être fédéré avec un Owncloud.
Mais si on compare à l'interopérabilité entre les clouds de Google, Microsoft et Apple, il y a un certain progrès.
votre avatar
Et ça ne parle pas des 2 clouds internes de l'Etat ?
votre avatar
Si si, quand même (ça ferait mauvais genre de les oublier !)

"Les destinataires sont ainsi invités à choisir entre les offres cloud portées directement par ses services et ceux de l'Intérieur ou, s'ils préfèrent faire appel au privé, les services d'hébergement labellisés SecNumCloud par l’ANSSI."
votre avatar
Les règles sont parfois faites pour être respectées
Voilà que Next fait dans la fake news !
votre avatar
Est-ce que l'on peut rapprocher cette décision de dossier dans le genre de cet article ? :

next.ink Next

Bercy donnera un tour de vis souverain sur les achats des ministères en matière de cloud

  • Protéger les données sensibles des risques d'accès par des acteurs étrangers

  • Un rappel opportun

  • L'impact de la commande publique en question

Fermer