Le directeur interministériel du numérique de l’État (DINUM), Nadi Bou Hanna, a publié une circulaire le 15 septembre pour demander aux administrations françaises de ne plus migrer vers la suite bureautique de Microsoft hébergée dans le cloud Microsoft 365. L’État s’inquiète de la sécurité des données et veut en finir avec le « tout-Microsoft ».

Microsoft 365 n’est plus en conformité avec la doctrine cloud française

Si l’administration française se tourne massivement vers le cloud depuis plusieurs années, le directeur interministériel du numérique de l’État a décidé d’intervenir pour protéger les « données sensibles » dont disposent plusieurs agents publics. Selon la circulaire publiée il y a quelques jours, ces données ne doivent plus être hébergées sur les services cloud de Microsoft 365, pour les protéger d’une éventuelle faille de sécurité ou même d’une utilisation abusive des services de renseignement américains.

L’idée n’est surtout pas de mettre un frein au développement du cloud dans les administrations françaises. Bien au contraire selon Nadi Bou Hanna. En effet, le directeur interministériel du numérique de l’État a déclaré que : « l’offre Microsoft 365, anciennement Office 365, n’est pas conforme à la doctrine cloud française »Cette doctrine a été présentée en mai 2021.

Aperçu de Nadi Bou Hanna.

Nadi Bou Hanna, Directeur interministériel du numérique. Image : Gouvernement.

À l’époque, Amélie de Montchalin, ministre de la Transformation et de la Fonction publique déclarait que : « tous les projets devront donc se mettre en conformité et annuler tout risque de transfert de données sous un délai de 12 mois à partir du moment où les offres du Cloud de confiance existeront ». Concrètement, cette doctrine impose aux ministères français et aux administrations de : « recourir uniquement à un service cloud sécurisé contre les réglementations extra-communautaires ».

Les agents publics doivent désormais utiliser une solution développée par les services de l’État

Le gouvernement français s’inquiète de la mise en place du « Cloud Act » aux États-Unis. Avec cette ordonnance, le gouvernement américain peut accéder aux données hébergées sur les services cloud américains, même si ces dernières appartiennent à des entreprises ou des agents publics européens. Quelle que soit la localisation des données, le gouvernement américain a le droit d’en disposer. Comme Microsoft 365 dépend d’Azure, la solution de cloud computing de Microsoft, il n’est plus question pour l’État français d’y héberger des données sensibles.

Le directeur de la DINUM précise néanmoins que : « les solutions collaboratives, bureautiques et de messagerie proposées aux agents publics relèvent des systèmes manipulant des données sensibles ». Il est notamment question des données personnelles des citoyens français ou des données économiques relatives aux entreprises françaises. Évidemment l’idée n’est pas de mettre à mal les projets déjà engagés. La doctrine gouvernementale précise que : « les projets de migration très avancés au 5 juillet 2021 pourront demander une dérogation de 12 mois à leur ministre pour les seuls services de messagerie et de drive personnel ».

Pour remplacer Microsoft 365, le gouvernement a déjà sa petite idée. Alors que l’administration Biden s’inquiétait des mesures de protectionisme prises par l’Europe et notamment par la France, les ministères et les administrations devront désormais utiliser une solution interne développée par les services de l’État. Une solution jugée plus sûre et surtout plus souveraine. Les agents publics pourront également utiliser une offre ayant reçu le label « SecNumCloud » délivré par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Ce n’est pour le moment le cas que de trois entreprises : Oodrive, 3DS Outscale et OVHcloud.