L'État interdit Microsoft 365 à ses collaborateurs

L'État interdit Microsoft 365 à ses collaborateurs

MICROSOFT 365. Pour tenir les données sensibles gérées par les ministères hors de portée de toute tentative d'ingérence étrangère, le Gouvernement interdit à ses collaborateurs l'utilisation de la solution cloud de Microsoft.

La gestion des données (personnelles ou économiques) est une affaire sensible qui ne peut pas être confiée à n'importe qui. C'est en substance le message adressé le 15 septembre dernier aux secrétaires généraux des ministères par le directeur interministériel du numérique (Dinum), Nadi Bou Hanna. En pratique, selon ce document diffusé sur le site Acteurs Publics, cela signifie que l'État a décidé d'interdire à ses administrations (et donc à ses collaborateurs) de recourir à l'offre Office 365, proposée par Microsoft sur ses propres infrastructures cloud (Azure), en remplacement des solutions bureautiques et de messagerie (MS Exchange notamment) déployées sur ses serveurs. En clair, les collaborateurs de l'État pourront encore utiliser la suite Office de Microsoft, mais pas dans sa version cloud, c'est-à-dire hébergée à distance.

Le problème? C'est celui de la protection et de la confidentialité des données et en l'espèce ce qu'autorisent certaines législations étrangères, à commencer par celles des États-Unis. En effet, selon le Cloud Act, les États-Unis s'arrogent le droit de consulter toutes les données stockées en Europe par des entreprises américaines et ce, quel que soit l'endroit où ces données sont hébergées. Une pratique qui vaut tant pour les activités professionnelles que personnelles, publiques que privées. Longtemps apathiques sur ce sujet, les autorités françaises ne l'entendent plus aujourd'hui de cette oreille. En mai 2021, le Gouvernement a présenté sa nouvelle doctrine. Baptisée "Cloud au centre", celle-ci oblige désormais les ministères et les administrations à utiliser uniquement des clouds sécurisés et immunisés contre les réglementations extra-communautaires (hors UE).

Objectif : la souveraineté numérique

L'interdiction édictée par l'État concerne l'offre cloud Microsoft 365 (ex-Office 365). Cependant cette décision souffre quelques exceptions (temporaires) et laisse entrevoir des perspectives de solutions pour les utilisateurs qui ne souhaiteraient vraiment pas se passer de Microsoft 365. Tout d'abord, cette interdiction ne concerne pas les projets de migration qui étaient déjà "très avancés" au 5 juillet 2021 (date de parution de la circulaire n° 6282-SG, texte auquel se réfère la note du 15 septembre). Dans ce cas, une demande de dérogation pourra être adressée au ministre de l'administration concernée. Cependant, cette demande ne pourra porter que sur les "seuls services de messagerie et de drive personnel". Ces fonctions ne sont en effet pas encore intégrées à l'offre interministérielle Snap (le sac à dos numérique de l'agent public). Un environnement de travail numérique construit autour de solutions françaises et open-source, conforme à la doctrine "Cloud au centre", et qui comprend d'ores et déjà des services documentaires, collaboratifs, de messagerie instantanée, d'audioconférence, de visioconférence et de webinaire. Ensuite, pour les utilisateurs "accros" à Microsoft 365, il est recommandé d'attendre le déploiement du cloud issu du consortium Bleu.

S'il est bâti sur les technologies cloud de Microsoft (Azure et Office 365), Bleu est un projet créé, géré et opéré par Orange et Capgemini qui a vocation à être conforme à la doctrine "Cloud au centre" et à obtenir la précieuse certification SecNumCloud. Cette certification dite de "cloud de confiance" est délivrée par l'ANSSI (l'Agence nationale de la sécurité des systèmes d'information). Aujourd'hui, seules trois entreprises, (Oodrive, OVHcloud et 3DS Outscale) sont détentrices de ce label. A défaut, les utilisateurs de Microsoft 365, contraints de délaisser leur suite logicielle préférée, pourront (devront) se rabattre sur une solution cloud interne de l'État. Si elles peuvent sembler complexes, ces circonvolutions réglementaires ont le mérite de souligner les enjeux stratégiques, et donc très importants, liés à ce qu'il est convenu d'appeler "la souveraineté numérique".

Cette notion, de plus en plus revendiquée en Europe et en France, désigne l'application des principes de souveraineté au domaine des technologies de l'information et de la communication. Ainsi, dans un contexte similaire à l'interdiction qui vise aujourd'hui Microsoft 365, le Gouvernement a-t-il signifié en novembre 2020 son intention de se désengager du Health Data Hub (un hub de données sensibles que sont les données de santé) hébergé par... Microsoft. Malgré tout, à la lecture de la note diffusée le 15 septembre dernier et centrée sur Microsoft, il est permis de s'étonner de l'absence d'autres services qui, comme Google Workspace, Salesforce, Zoom ou Box, ne brillent pas non plus par leur conformité à la doctrine "Cloud au centre" établie par le Gouvernement français… 

Autour du même sujet