Un rapport parlementaire sur la cybersécurité alerte sur « le piège Microsoft »
Constituée en mars 2023, la mission flash « sur les défis de la cybersécurité » a remis ses conclusions le 17 janvier 2024. Le rapport d'information, résultat des travaux de la députée Anne Le Hénanff (Horizons) et du député Frédéric Mathieu (LFI - Nupes) présente un portrait large des enjeux de la cybersécurité et adresse, notamment, la question des capacités techniques, en particulier logicielles. À cette occasion, le document pointe l'existence d'un « piège Microsoft » et recommande que la piste d’un recours plus accru aux systèmes d’exploitation et aux logiciels libres soit explorée.
Le rapport d'information pose assez clairement le constat d'une dépendance trop grande aux GAFAM1, en pointant les risques en termes de souveraineté pour le ministère des Armées, notamment face à ce qu'il appelle le « piège Microsoft ». Expression qui trouve un écho particulier dans la longue histoire des relations entre ce ministère et la multinationale. En 2013, déjà, l'April relayait une analyse de risques conduite par des experts du ministère, préalablement à la signature d'un accord cadre « Open Bar » avec Microsoft, qui signalait des « risques élevés », notamment en termes de « perte de souveraineté nationale » 2. En réponse à ce piège, les deux parlementaires posent judicieusement la question du recours aux systèmes d'exploitation et aux logiciels libres.
Le piège Microsoft
Le rapport explique que la stratégie du ministère des Armées – en dehors des cas de « souveraineté absolue comme, par exemple, la dissuasion nucléaire », pour lequel il ne recourt pas aux solutions des GAFAM – est de « miser sur des couches de chiffrement » pour protéger ses données. Pour autant, cette solution pourrait visiblement être remise en cause par les décisions de Microsoft en termes de commercialisation. En effet, la stratégie du ministère repose sur le principe que les logiciels sont installés sur ses propres machines, or, comme l'indique le document, l'entreprise s'appuie de plus en plus sur « une logique de service », qui suppose, donc, que les logiciels proposés ne s'exécutent non plus chez soi… mais sur les machines de la multinationale.
Au-delà du cas spécifique de Microsoft, et de la capacité de l'État français, pour le moment, d'éviter une telle évolution contractuelle pour lui, cela rappelle bien le danger de dépendre des choix commerciaux d'une entité privée qui, somme toute logiquement, poursuit ses propres intérêts. Qualifier cette situation de « piège » semble tout à fait à propos ; empêtrée dans un système informatique conçu en silo, les décisions de l'administration, en termes de sécurisation, peuvent être rendues inopérantes par les choix commerciaux d'un éditeur. Qui aurait-pu prédire ?
Une question de souveraineté
Un rapport sur « le défi de la cybersécurité » ne pouvait évidemment pas faire l'impasse sur la question de la « souveraineté numérique ». La rapporteure et le rapporteur s'arrêtent notamment sur la question, presque rituelle, d'un hypothétique système d'exploitation souverain. De ce point de vue, le rapport s'appuie sur une appréciation plus traditionnelle de la question de la souveraineté, fondée sur un critère plus géographique : « s’agissant, par exemple, des serveurs et des systèmes d’exploitation, il n’y a quasiment rien sur le sol européen : il n’existe pas, à ce jour, de système d’exploitation souverain, ce qui contraint le ministère des Armées à recourir à des solutions extra-européennes, et singulièrement celles des GAFAM. »
Si l'on parle de logiciels privateurs, conçus comme des boîtes noires, cette considération n'est effectivement pas anodine dans un contexte de possibles divergences d'intérêts géopolitiques. C'est, encore ici, une force du logiciel libre, qui, en garantissant l'accès à ses sources, assure à l'administration utilisatrice la capacité d'audit du code – donc que le logiciel ne fait pas autre chose que ce qu'il est censé faire –, et qui, par sa licence, assure à l'administration le libre usage et la libre modification de celui-ci, donc la capacité d'agir sur le logiciel. Les logiciels libres et, à fortiori, les systèmes d'exploitation libres, permettent de revenir à une définition plus opérante de la souveraineté numérique, c'est-à-dire à l'ensemble des conditions de l'expression et de la maîtrise de nos activités et libertés fondamentales sur les réseaux informatiques. Ou, dans le contexte des pouvoirs publics, pour citer le rapport Latombe qui préconisait la systématisation du recours au logiciel libre, les conditions de l'autonomie stratégique 3.
Il est ainsi notable que, selon le rapport « le développement d’un système d’information entièrement souverain paraît inatteignable et d’un coût prohibitif », alors même que des systèmes libres comme GNU/Linux existent déjà. Parallèlement, le rapport n'oublie pas de mentionner, à juste titre, les considérations relatives à la production du matériel informatique, notamment sa localisation.
La pertinence du recours aux systèmes d’exploitation et aux logiciels libres
La rapporteure et le rapporteur n'éludent pas la question et s'interrogent sur la pertinence du recours au logiciel libre, jugé d'ailleurs souhaitable. En témoigne la recommandation 24 du rapport qui appelle à « explorer la piste d’un recours plus accru aux systèmes d’exploitation et aux logiciels libres ».
Recommandations du rapport :
[…]
23/ Élaborer une feuille de route pour réduire l’empreinte des GAFAM au sein du ministère des Armées ;
24/ Explorer la piste d’un recours plus accru aux systèmes d’exploitation et aux logiciels libres
[…]
La direction interarmées des réseaux d'infrastructure et des systèmes d'information du ministère des Armées (DIRISI), interrogée pour l'occasion, s'appuie malheureusement, par des périphrases, sur l'argument éculé des coûts cachés des logiciels libres, notamment en termes de formation. Pire, elle justifie l'impossibilité d'une migration par la trop grande importance des coûts liés, notamment, à des problèmes de compatibilité… problèmes inhérents, justement, à la dépendance à un système fermé comme celui de Microsoft.
La position de la DIRISI, cohérente avec le passif du ministère, apparaît d'autant plus agaçante lorsque l'on sait qu'entre novembre 2020 et mars 2021, le ministère des Armées a conduit une étude sur l'opportunité de s'équiper en système libre sur le périmètre des postes de travail internet pour « réduire l'empreinte du fournisseur Microsoft en utilisant des solutions libres ». Document dont l'April a finalement réussi à obtenir communication et qui confirme la faisabilité d'une telle migration. Pourtant, à ce jour et malgré les demandes de l'April, rien n'indique si une décision a été prise… 4
Face à cela, la position exprimée par les deux parlementaires parait appropriée, puisqu'elle avance qu'« une analyse à grande échelle resterait nécessaire pour identifier les coûts, délais, et impacts d’un passage à Linux et aux logiciels libres ». Ce qui n'est pas sans rappeler une proposition soutenue par l'April en 2022 dans le cadre d'une consultation de la Cour des comptes, qui consistait à demander l'évaluation des dépenses logicielles de l'État, préalable nécessaire pour envisager des chantiers aussi importants qu'une migration complète vers du logiciel libre. Malheureusement, mais c'est le propre de ce genre de rapport issu de mission flash5, l'auteur et l'autrice du rapport ne vont pas plus loin que le constat de l'administration de sa propre impuissance, et ne remettent ainsi pas en cause l'impossibilité mise en avant par l'administration d'un effort substantiel vers le libre. Or, ce qui est dressé comme un constat objectif, n'est rien d'autres qu'un choix politique aux lourdes et malheureuses conséquences.
« Qui n'a jamais prétendu qu'une migration des systèmes d'informations vers du libre serait simple ? Est-ce une raison suffisante pour continuer à subir la domination d'une poignée d'éditeurs de logiciels privateurs ? Pour dépasser le stade du constat désabusé que semblent dresser certaines administrations et pouvoir mener une politique publique cohérente, à la hauteur des enjeux, une vision claire et globale de la situation est indispensable : audit des dépenses logicielles, mise en évidence des décisions prises sur les postes de travail, etc. Des questions écrites des parlementaires pourraient être un outil efficace pour pousser le gouvernement à entamer ce travail nécessaire », suggère Étienne Gonnu, chargé de mission affaires publiques pour l'April.
Les rapports parlementaires semblent se succéder en partageant le double constat d'une dépendance, dangereuse et exagérée, aux GAFAM et consort, et de la pertinence d'un recours accru aux logiciels libres. Il est grand temps de dépasser les prétextes comme celui des coûts cachés et de sortir d'une stratégie dite « par opportunité », au gré des besoins, qui montre clairement ses limites. Ce n'est qu'en mettant en œuvre une politique publique ambitieuse, passant par une priorité au logiciel libre et un soutien par l'investissement aux communautés et tissus économiques qui les font vivre, que l'on pourra répondre aux enjeux de la souveraineté numérique et, in fine, au « défi de la cybersécurité ».
- 1. GAFAM ou « Géants du web » : les grandes entreprises du secteur informatique qui font payer leurs services avec nos libertés
- 2. Voir aussi : Jean-Marc Manach. (18 octobre 2016). L’ARMÉE “ACCRO” À MICROSOFT ?. Bug Brother. https://www.lemonde.fr/blog/bugbrother/2016/10/18/larmee-accro-a-microsoft/
- 3. Lire l'actu de l'April du 4 août 2021 Rapport Latombe : systématiser le recours au logiciel libre dans les administrations, un enjeu de souveraineté numérique
- 4. Lire l'actu de l'April du 7 avril 2022 Poste de travail internet libre au ministère des Armées : une décision a-t-elle été prise ?
- 5. Il s'agit généralement de mission plus courte qu'une mission d'information classique, plus souple dans son format, et ont pour vocation de répondre à un sujet d'actualité