Planète Warez

La Cour des comptes vient de publier un rapport sur la souveraineté numérique. Dressant un tableau relativement sombre de la situation française, elle pointe les dangers de la dépendance actuelle et dresse une liste de recommandations.

Alors que l’on assiste à un nombre croissant de projets de migration vers des logiciels libres en Europe et que même la Cour pénale internationale va se débarrasser en grande partie de Microsoft, la Cour des comptes publie un rapport sur la souveraineté numérique. Sa définition en est claire : l’État doit maitriser les technologies qui lui permettent de rester autonome en toute circonstance, ce qui comprend le matériel, le logiciel et les données.

Cette définition implique ainsi de ne pas se faire dicter des choix technologiques structurants par un tiers et que soient protégées les données d’une sensibilité particulière des systèmes d’information de l’État. Dans ce domaine, la Cour note que la France a des « ambitions », mais elles sont jugées « encore insatisfaites », avec un décalage important entre la volonté affichée et la pratique.

Synthèse douloureuse

Le rapport de la Cour des comptes dresse un bilan de nombreux sujets ayant un lien avec la souveraineté. D’abord, celle-ci est directement confrontée à la position des États-Unis et d’autres puissances.

La Cour rappelle ainsi que la portée extraterritoriale de certaines lois étrangères est une grosse épine dans le pied de la souveraineté. Trois textes américains sont mis en avant, sans surprise : la section 702 du Foreign Intelligence Surveillance Act qui autorise la collecte de données sur des personnes ou entités non américaines à l’étranger à des fins de sécurité nationale, l’Executive Order 12333 qui définit les objectifs des agences de renseignement et permet notamment la collecte de masse, et le Cloud Act de 2018 qui autorise la justice à délivrer des mandats pour récupérer des données dans les clouds des entreprises américaines, dans le cadre d’enquêtes.

Selon le rapport, le risque réel est difficile à évaluer. Les procédures américaines, dans le cadre de ces trois textes, sont décrites comme « très opaques » : « Les seuls chiffres disponibles, ceux de la FISC au titre du Fisa, montrent un nombre de rejets très faible des demandes émises par les agences fédérales de renseignement ». Même chose pour le Cloud Act : « Les dernières publications en la matière (2024) de quatre grandes entreprises américaines, en l’occurrence Microsoft, Google, AWS et Salesforce, restent vagues ».

Synthèse problématique également pour les « décisions d’adéquation » européennes, à savoir le Safe Harbour de 2000, le Privacy Shield de 2016 et finalement le Data Privacy Framework de 2023. Les deux premiers sont tombés sous les coups de Maximilien Schrems de l’ONG noyb. Ces accords sont cruciaux : ils établissent une adéquation entre le niveau de protection des données personnelles entre l’Union européenne et les États-Unis. Le Data Privacy Framework est lui aussi la cible d’attaques. En France, le député Philippe Latombe a déjà tenté de le faire tomber, la CJUE ayant rejeté son recours début septembre.

Loi SREN trop timide, isolement de la France sur EUCS

La Cour des comptes continue de renverser les quilles en listant tout ce qui cloche, dont une loi SREN jugée trop « prudente sur les enjeux de souveraineté ». Le décret d’application n’a été envoyé qu’en début d’année à la Commission européenne et limite les cas où le référentiel SecNumCloud serait utilisé aux seules données sensibles, dont la violation serait « susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle ».

Le rapport illustre dans son point 1.2.2 le lien complexe entre la France et la Commission européenne sur ce sujet. La qualification SecNumCloud serait ainsi souhaitable pour de nombreux services de l’État, mais elle n’est pas reconnue au niveau européen. Elle serait donc « susceptible d’écarter d’appels d’offres publics des entreprises basées dans d’autres États membres ». La position française n’a pas été suivie à ce jour, « comme en témoignent les discussions en cours autour du schéma de certification EUCS ». La Cour des comptes les décrit comme « en cours », mais elles semblent au point mort, la France et l’Allemagne ayant des positions diamétralement opposées.

Pourquoi mettre en avant SecNumCloud ? Car il aurait constitué le socle du niveau High+ dans EUCS. Il aurait été alors possible, pour les entreprises, agences étatiques et autres administrations de lancer des appels d’offres dans ce niveau. Or, SecNumCloud, dans sa version 3.2, impose la sélection de services n’étant soumis à aucun cadre juridique extraterritorial. Ce qui aurait court-circuité automatiquement tous les clouds américains.

Nombreuses limitations dans les actions françaises

Le rapport dresse un constat sombre de l’état de souveraineté en France, très loin d’être atteint. C’est particulièrement vrai sur le matériel, très peu d’industries étant présentes en Europe de manière générale. La production de semi-conducteurs se fait ainsi principalement en Asie et aux États-Unis. Même chose pour les ordinateurs, les équipements réseau, les smartphones et de nombreux composants électroniques.

Mais c’est bien dans le logiciel que les problèmes de souveraineté s’illustrent le plus clairement. La Cour des comptes note que différentes approches se heurtent, sans vraiment de cohérence. Certaines administrations et entités préfèrent ainsi développer en interne les applications dont elles ont besoin, avec des problèmes de respect des budgets alloués et de délais de réalisation. D’autres préfèrent recourir à des logiciels du marché, avec l’avantage des fonctions déjà éprouvées et de la rapidité de déploiement, mais avec un contrôle moindre sur la souveraineté.

Le risque de revirement des politiques techniques et commerciales est prégnant et est illustré, selon le rapport, par le cas Microsoft : quand l’entreprise a annoncé déporter de nombreuses applications vers le cloud, la Dinum a demandé aux ministères de ne pas souscrire à ces offres. Même au sein d’une même entité, le manque de coordination est criant, pointe la Cour. Dans l’Éducation nationale par exemple, les produits Microsoft sont très nombreux, quand des académies préfèrent migrer vers du logiciel libre.

En dépit de certains points positifs mis en avant, notamment le réseau interministériel de l’État (RIE) qui garantit la résilience des communications gouvernementales même en cas de défaillances majeures d’internet, les autres initiatives sont sujettes à critiques. C’est le cas de FranceConnect, pensé pour se prémunir contre les services d’authentification des grandes sociétés américaines. Mais s’il est aujourd’hui largement utilisé, il était assorti de problèmes de sécurité que la Dinum a pris tardivement en compte, selon la Cour, dont la dépendance aux prestataires et les risques liés aux sous-traitants.

La Cour pointe en outre les limites de la doctrine « Cloud au centre », ralentie par certains impératifs du marché unique européen (comme dans le cas de SecNumCloud), ou encore le succès limité des clouds interministériels. Pour ces derniers, elle cite Nubo (ministère des Finances) et Pi (ministère de l’Intérieur), mis à disposition des autres administrations. Cependant, à cause d’un manque de services (disponibilité, expérience utilisateur et même manque d’IA) et d’une tarification jugée « inadaptée », ces deux clouds sont « sous-utilisés ».

Et, bien sûr, le rapport de la Cour des comptes illustre les problématiques par les exemples complexes du Health Data Hub et de Virtuo. Le premier illustre toute la difficulté des questions liées à la souveraineté en ayant choisi Microsoft pour héberger des données de santé, par définition sensibles. Le second est le système d’information des ressources humaines du ministère de l’Éducation nationale, dont l’appel d’offres a finalement été remporté par une société américaine. Dans les deux cas, la qualification SecNumCloud est impossible.

Vision stratégique et recommandations

Dans une conclusion intéressante, le rapport met en garde les administrations contre une recherche trop prononcée de performances. La recherche du « plus haut niveau technologique » peut entrainer aussi bien une mise en cause de la souveraineté des données qu’une dépendance de l’administration à la politique commerciale d’un acteur dominant. En clair, les offres des multinationales américaines à l’heure de l’IA.

Face à la question du coût de la souveraineté, l’investissement de l’État est considéré comme « limité » jusqu’ici, avec un marché de l’hébergement souverain « non stabilisé ».

La Cour formule donc cinq recommandations : le déploiement d’outils bureautiques souverains, l’élaboration d’une stratégie de souveraineté chiffrée (au sens financier du terme), la convergence des clouds interministériels, une cartographie complète des données sensibles et la souveraineté de l’hébergement des données de santé, en alignant la certification HDS (Hébergeur de données de santé) sur les exigences de la qualification SecNumCloud.

Source : next.ink

Du peu que l’article est dispo, 2 chose me taquinent.

Des datas publico-étatiques devraient rester dans des “coffres” étatiques, non ? et pas confiées à du privé. Même si on pourrait débattre de cette volonté à tout vouloir planquer/secretiser. J’ai pas de mots poli pour exprimer ce que je pense de ces entreprises qui ne peuvent pas te garantir le côté secret de ce que tu leur confie.

@Violence Je m’étais permis, parce que si je raconte pas de bêtises, c’est arrivé deux fois!

c’est beau de vouloir tout ça, mais un peu tard pour se réveiller, les géants américains sont trop fortement implémentés partout et surtout ont des finances quasi illimitées derrière

Ba après c’est comme tout, l’Open Source c’est bien mais il faut aussi et surtout utiliser des logiciels à jour. Et ça c’est valable que cela soit opensource ou propriétaire.

A l’aune du Covid-19 et de la guerre en Ukraine, le logiciel libre apparaît plus que jamais comme un outil de souveraineté numérique. Son adoption par l’administration ne se fait pourtant pas sans heurts.

4d0e613b-1936-4389-9eeb-c4726555f0df-image.png
Le libre n’est plus vu comme une excentricité mais comme un atout, parfois plus économique que les solutions propriétaires, pour retrouver une indépendance numérique. LE MONDE

Des taureaux, des ferias et des logiciels libres… Sur les ordinateurs de la municipalité d’Arles (Bouches-du-Rhône), nulle trace de Microsoft Word, Acrobat Reader ou Google Chrome. Ici tout est estampillé « open », ouvert, en un mot, libre, pour des logiciels au code source accessible publiquement, continuellement mis à jour par des communautés de développeurs, souvent bénévoles.

OpenCourrier, openRecensement, openCadastre… Gestion d’e-mails, éditeurs de texte, agenda partagé, gestion des cimetières : depuis le vote d’une délibération de 2005 appelant à « acquérir de l’indépendance vis-à-vis du secteur marchand des logiciels », plus de trente logiciels (tous recensés sur openMairie) ont été créés en interne par les développeurs du service informatique de la ville d’Arles. Certains, comme openElec – utilisé pour la gestion des listes électorales --, ont été adoptés par des milliers de communes et traduits en anglais et en espagnol. Un vrai succès dans le petit monde « libriste ».

Reste qu’en terre camarguaise, cette tradition est sur le point de prendre fin. En juin 2020, une nouvelle majorité, emmenée par Patrick de Carolis, maire de la commune (DVD), est élue. Début 2022, dans un contexte de réorganisation des services, la directrice générale des services annonce sa décision de refaire passer l’ensemble du parc informatif sur la suite de logiciels Office de Microsoft dès le 2^e ^semestre 2022, comme le relate le magazine L’Arlésienne. Interrogée sur les motivations derrière ce revirement, la municipalité d’Arles n’était pas revenue vers *Le Monde *au moment de la publication.

« Le libre a gagné »

L’annonce de la décision arlésienne a refroidi les partisans les plus ardents du logiciel libre dans les administrations. « Ce n’est qu’un fâcheux contretemps, un caprice qui leur passera. Vous savez, la courbe du progrès n’est jamais linéaire », sourit pourtant, philosophe, François Raynaud, ex-responsable du service informatique de la ville d’Arles, sur le point de partir à la retraite. Et d’ajouter, un brin triomphant : « Le libre a gagné : la quasi-totalité des serveurs du monde entier tournent sur Linux [un système d’exploitation « libre », alternatif à Windows], et la majorité des smartphones sur Android, un système d’exploitation basé sur du Linux. »

A bas bruit, plusieurs collectivités ont accompagné ce mouvement en faveur du logiciel libre. Dès 2001, la Ville de Paris a ouvert la voie avec Lutèce, un outil de portail Web java développé par la direction des systèmes et technologies de l’information, adopté un peu partout depuis, notamment par les équipes techniques des villes de Lyon et de Marseille ou encore par celles de Météo-France. A différentes échelles, des villes comme Arles donc, mais aussi Angoulême, Montreuil-sous-Bois, Grenoble ou encore Montpellier ont peu à peu entamé une transition de leur parc informatique vers des solutions libres.

« Les élus pensent qu’on est obligé de faire appel à des marchés publics, alors qu’on a des compétences en interne qui permettent de développer des outils efficaces et moins chers », détaille Jean-Luc Zimmermann, qui a travaillé au développement d’OpenStreetMap – un outil de cartographie libre – pour la ville d’Orange ou le département du Vaucluse. Dans un contexte de baisse des dotations de l’Etat aux communes, l’argument économique séduit les collectivités.

« Plutôt que d’acheter des licences à des grands groupes à des prix délirants, on peut développer des outils gratuits, ou très peu chers, en interne », explique Pascal Kuczynski, délégué général de l’Association des développeurs et utilisateurs de logiciels libres pour les administrations et les collectivités territoriales (Adullact) qui fête ses vingt ans cette année. « Passer au libre, c’est d’abord un moyen de faire économiser des deniers publics », ajoute-t-il*.*

Les gendarmes, libristes convaincus

La plus belle preuve de la démocratisation du logiciel libre est à chercher du côté de la gendarmerie nationale. Les gendarmes possèdent le parc informatique sous Linux le plus important de France : 95 % des ordinateurs de la maison tournent désormais sur le système d’exploitation Ubuntu, une variante relativement grand public de Linux. « Quatre-vingt-cinq mille machines en tout », vante Vincent Béréziat, sous-directeur des applications de commandement au sein de la gendarmerie nationale et un des artisans historiques de la transition vers le libre. Un cas unique en Europe à cette échelle.

Un changement de pratique initié après le « bug de l’an 2000 ». « On a eu énormément de difficultés à faire évoluer notre système informatique à ce moment-là. On a alors réalisé notre dépendance à une seule solution propriétaire », retrace Vincent Béréziat.

En 2006, Microsoft décide de rehausser les tarifs du contrat qui le lie à la gendarmerie, ce qui convainc les plus réfractaires de passer au logiciel libre

Entre 2004 et 2006, la gendarmerie décide donc de faire un diagnostic complet de son système informatique*. « On avait des outils efficaces développés en interne un peu partout par des agents bidouilleurs, mais sans aucune harmonisation : ce qu’on appelle de l’informatique grise, ou shadow IT en anglais »*, précise Stéphane Dumont, chef du bureau du contrôle opérationnel des fichiers qui a opéré la transition vers le libre à partir de 2009.

En 2006, Microsoft décide de rehausser les tarifs du contrat qui le lie à la gendarmerie nationale. Cet événement convainc une fois pour toutes les plus réfractaires de passer au logiciel libre.En 2008, la gendarmerie nationale annonce son objectif de migrer 60 % de son parc informatique vers Linux dans les deux ans. « On a été optimistes, on l’a fait en trois », sourit le gradé*. *Et de préciser : « La transition s’est faite par étapes : d’abord, on a équipé tous nos postes de travail avec des logiciels indépendants de la solution propriétaire. »

Au revoir Microsoft Office, Windows Media Player, Internet Explorer et Outlook, bonjour à leurs équivalents « libres », OpenOffice, VLC Media Player, Mozilla Firefox et Thunderbird. Ce qui n’empêche pas les gendarmes, dans un premier temps, de continuer à utiliser Windows. « Une fois que tout ça était acquis, on a réalisé que la bascule vers Linux pouvait se faire sans trop de difficultés. Même fond d’écran, mêmes icônes, mêmes logiciels : à part l’explorateur de fichiers, rien ne changeait pour les utilisateurs », s’enthousiasme Vincent Béréziat.

Outil de souveraineté numérique

« Le passage à Linux représente un peu la transition ultime et surtout pas la première étape », précise Nicolas Vivant, responsable du développement informatique et numérique à la ville d’Echirolles (Isère) où il a supervisé la transition vers des solutions libres. Le risque ? Braquer les agents face à un changement d’habitudes trop brutal. « Convaincre une collectivité de passer à des outils open-source par idéologie est voué à l’échec. Personne ne choisit Microsoft par idéologie. C’est l’usage qui importe. Il faut d’abord que ces logiciels soient efficaces, qu’ils améliorent les services utilisés par les agents »,précise-t-il.

Ces dernières années, un autre argument de poids est venu peser dans la balance : l’indépendance numérique. La pandémie liée au Covid-19, puis la guerre en Ukraine, ont rappelé aux entreprises et aux administrations la nécessité de se doter d’outils dont elles maîtrisent les mécanismes, basés sur du code transparent et accessible.

Dans une mission d’information parlementaire intitulée « Bâtir et promouvoir une souveraineté numérique nationale et européenne », publiée entre deux confinements en juillet 2020, le co-auteur du rapport Philippe Latombe rappelait* « la nécessité pour les administrations de veiller à préserver la maîtrise, la pérennité et l’indépendance de leurs systèmes d’information et à encourager l’utilisation des logiciels libres »*. Le libre n’est plus vu comme une excentricité mais comme le meilleur atout pour retrouver une indépendance numérique. *« Il y a vingt ans, on était pris pour des zozos, des universitaires un peu alternatifs. Aujourd’hui, le gouvernement, les chefs d’entreprise nous prennent au sérieux », *se satisfait Pascal Kuczynski.

Comment expliquer dans ces conditions que les collectivités ne soient pas encore toutes passées au libre ? « Il faut y aller par étapes. On a mis dix ans pour y parvenir. La chance qu’on a eue, c’est qu’on partait de zéro, le Web n’était pas ce qu’il est aujourd’hui. Les gens avaient moins d’habitudes d’utilisation. On n’a pas remplacé de services : on leur en a apporté de nouveaux », confie Stéphane Dumont, de la gendarmerie nationale.

Pour réussir une transition vers le libre, tout le monde doit être convaincu de ses apports. « S’il n’y a pas d’enthousiasme du côté des décideurs politiques, il n’y a pas d’avenir possible pour le libre », affirme Jean-Luc Zimmermann. Au risque de connaître un retour en arrière similaire à la situation arlésienne.

Source : lemonde.fr

L’association Anticor a annoncé avoir saisi le parquet national financier sur des soupçons de favoritisme concernant le contrat passé entre Microsoft et l’Education nationale. La suite d’un feuilleton ancien.

1c6add89-37da-440d-9612-b532ba3a846b-image.png
Le contrat entre Microsoft et le ministère de l’Education nationale continue à faire des vagues avec la procédure lancée par Anticor auprès du PNF. (Crédit Photo: Gouvernement.fr)

Rebondissement dans l’affaire du contrat passé entre Microsoft et l’Education nationale. L’association Anticor a annoncé le dépôt d’une plainte auprès du parquet national financier pour soupçons de favoritisme dans l’attribution de ce marché public. Pour comprendre cette action, il faut revenir en 2020 et la publication d’un article du Canard Enchaîné concernant ce contrat.

Concrètement, un appel d’offres a été conclu d’un montant de 8,3 millions d’euros entre Microsoft et le ministère de l’Education nationale. Ce dernier porte sur la « concession de droits d’usage à titre non exclusif, en mode perpétuel ou en mode locatif, de solutions Microsoft et services associés couvrant les usages des agents des services centraux et déconcentrés des ministères chargés de l’éducation nationale, de la jeunesse, de l’enseignement supérieur, des sports, de la recherche et de l’innovation ainsi que des établissements de formation, d’enseignement et de recherche. » Selon cet accord, une centaine de logiciels Microsoft couvrant aussi bien les postes de travail, serveurs, bureautique, collaboratif, ERP, CRM, gestion de contenu, systèmes d’exploitation, etc. devraient être ainsi achetés par le ministère. Dans sa plainte, Anticor parle de l’équipement de 800 000 postes avec des licences Microsoft.

Le CNLL était déjà monté au créneau en 2020 et 2016

A l’époque, le CNLL (Conseil National du Logiciel Libre) avait dénoncé ce contrat. « En privilégiant (au mépris des règles les plus élémentaires des marchés publics) un acteur non-européen, multirécidiviste condamné pour abus de position dominante et pratiques anticoncurrentielles, le CNLL constate une fois de plus l’écart entre les discours actuels sur la souveraineté numérique et la réalité des marchés publics dans le domaine du numérique. » Pour mémoire, un contrat similaire  passé en 2016 avait fait l’objet d’un contentieux, mais le CNLL avait été débouté.

Dans son argumentaire Anticor estime que la procédure d’appel d’offres «  semble avoir été construite aux bénéfices exclusifs de la société américaine, alors même que des entreprises françaises de logiciels libres proposent des solutions aux fonctionnalités et performances équivalentes ». Interrogé sur cette action, Microsoft n’a pas répondu à notre demande de commentaires au moment de la publication de l’article.

Source : lemondeinformatique.fr