Pour mieux comprendre l'actualité globale, nationale et internationale sur les mutations de la sécurité
et de la défense, les nouvelles menaces et défis sécuritaires, la cybersécurité et
la cyberdéfense, les enjeux des technologies clés, la protection des données,
les facteurs humains et technologiques.

lundi

Partenariat entre l'armée française et Microsoft : vers une remise en cause ?


Partenariat entre l'armée française et Microsoft15e législature
(source : actes du Sénat)

Question écrite n° 12547 de Mme Christine Prunaud (Côtes-d'Armor - CRCE)
publiée dans le JO Sénat du 10/10/2019 - page 5106

Mme Christine Prunaud attire l'attention de Mme la ministre des armées sur le partenariat de notre armée au logiciel de la société Microsoft. Le renouvellement du contrat nommé « open bar » pour les années 2017-2021 s'est effectué dans la discrétion la plus totale, sans aucune communication officielle du ministère. Établi pour la première fois en 2009 et renouvelé depuis deux fois, ce contrat n'a donné lieu à aucun appel d'offres ni à aucune procédure publique, malgré les recommandations des experts militaires. Les nombreux experts de la sécurité et de la souveraineté ont émis des avis défavorables sur cet accord qui lie le ministère aux intérêts de l'entreprise Microsoft. Ils rappellent également l'impérieuse nécessité dans ce domaine de maîtriser les codes sources. D'autres solutions ont pourtant été trouvées par d'autres corps militaires comme la gendarmerie qui a réussi à se passer des GAFAM (Google, Apple, Facebook, Amazon, Microsoft) pour mettre en place des logiciels libres. Les questions de sécurité nationale ou de secret défense, souvent opposées aux demandes de transparence sur des sujets comme les ventes d'armes, ne sauraient être utilisées dans ce domaine de la souveraineté numérique. C'est pourquoi, alors que le partenariat devrait s'achever en 2021, elle lui demande si le ministère entend intégrer le critère de la maîtrise des codes sources dans le futur appel d'offres.


Réponse du Ministère des arméespubliée dans le JO Sénat du 09/01/2020 - page 138

L'expression de « contrat open bar » utilisée par la presse pour définir le contrat passé entre le ministère des armées et Microsoft est erronée. En effet, le contrat prévoit bien une concession de droits d'usage sur les logiciels, mais cette dernière est associée à des quantités plafond définies dans les marchés subséquents. Si le ministère des armées a ainsi acquis la souplesse de faire évoluer sa cartographie logicielle durant l'exécution du contrat, cette évolution reste circonscrite dans les strictes limites du plafond financier fixé. S'agissant de l'absence d'appel d'offres, l'avis émis par la commission des marchés publics de l'État (CMPE) ne remet en cause ni l'objet, ni la procédure suivie pour passer l'accord cadre. L'attestation d'exclusivité fournie par Microsoft a montré que cette société est la seule capable à fournir les prestations demandées, dans le cadre d'une offre globale et intégrée. En conséquence, et conformément aux dispositions de l'article 35-II-8 du code des marchés publics, le contrat a été passé selon la procédure de marché négocié sans publicité préalable ni mise en concurrence. Quant à l'utilisation de logiciels libres, le ministère soutient la politique interministérielle de support des logiciels libres, publiée dans la continuité de la loi du 7 octobre 2016 pour une République numérique (articles 2 et 16). Des actions ont été engagées en application des directives interministérielles, en particulier dans le domaine des serveurs et infrastructures puisqu'environ 60% des serveurs administrés par le ministère opèrent désormais avec un système d'exploitation libre. En revanche, la présence du logiciel libre dans la gestion des bases de données et dans les services aux utilisateurs est plus contrastée. Le ministère s'est donc engagé dans une politique logicielle (publiée en avril 2019 et accessible à tous) qui prône l'ouverture aux logiciels libres sous réserve d'un coût global de risques et d'efficacité comparables à ceux des grands éditeurs. Les objectifs de cette politique sont bien de favoriser l'interopérabilité par un recours aux standards, protocoles et formats d'échanges ouverts, de garantir la souveraineté (tant sur la confiance que la sécurisation) numérique, de maîtriser et rationaliser les choix technologiques, de promouvoir le partage et la réutilisation des composants logiciels et d'exposer les ressources (données et services). Dans la continuité de ses directives pour le recours aux logiciels libres, le ministère mène actuellement une étude pour s'équiper d'un poste de travail entièrement libre (système d'exploitation et logiciels de bureautique), sur le périmètre de son réseau internet dédié. L'accès au code source des solutions numériques est effectivement un facteur facilitant la maîtrise de ces solutions, dans une optique tant de sécurité que de souveraineté numérique. Il convient cependant de noter que la disponibilité du code source n'est utile que dans la mesure où elle s'accompagne d'un investissement significatif dans l'analyse de sécurité de ce code, voire d'une capacité à le modifier en fonction des besoins spécifiques de l'État et à déployer et soutenir de telles modifications. Un tel investissement semble largement hors de portée pour un ensemble de logiciels aussi volumineux que les solutions Microsoft (systèmes d'exploitation et suite bureautique), ou leurs équivalents dans le domaine du logiciel libre. Forte de ces constats, la Revue stratégique de cyberdéfense, publiée le 12 février 2018 à l'issue d'un important travail interministériel, a posé dans son chapitre III des orientations en matière de souveraineté numérique qui visent à concentrer l'effort de maîtrise, y compris à travers l'accès au code source, sur quelques technologies-clé qui jouent un rôle prépondérant dans la sécurité et la maîtrise de l'emprise numérique de l'État. C'est par exemple le cas des technologies critiques pour la sécurité, telles que les moyens de chiffrement des données ou de détection des attaques, sur lesquelles l'effort de maîtrise passe en premier lieu par le recours à des solutions qualifiées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Cette qualification repose notamment sur une analyse de sécurité approfondie, y compris du code source. Il peut être en particulier signalé que le ministère des armées dispose, au même titre que l'ensemble des ministères, d'une licence libératoire permettant une utilisation sans limite de quantité de l'ensemble des outils de chiffrement de la société française Prim'X, qualifiées par l'ANSSI, et privilégie l'usage de ces solutions à celui des fonctions similaires intégrées dans les solutions Microsoft. Cette stratégie globale d'ouverture engage donc progressivement le ministère dans une dynamique de moindre dépendance aux grands éditeurs.

Lire aussi à ce propos l'article du Monde Informatique : c'est ici.