La dépendance du ministère de la Défense

Le ministère de la Défense est actuellement en train de renouveler son accord cadre avec Microsoft sur une offre « Open bar » qui prévoit un droit d’usage d’un certain nombre de produits Microsoft et de services associés pour différents postes du ministère. Au-delà des problèmes liés aux règles d’achat public, cet accord pose des questions en termes de dépendances et de sécurité des informations.

En mai 2009, la Direction Interarmées des Réseaux d’Infrastructures et des Systèmes d’Information (DIRISI) et Microsoft ont signé un accord cadre pour une durée de quatre ans. Cet accord avait pour objet le maintien en condition opérationnelle des systèmes informatiques du ministère de la Défense. Cet accord est actuellement en train d’être reconduit pour mai 2013. Le renouvellement de ce contrat n’est pas sans faire de bruit et certains dénoncent déjà un scandale.

L’accord cadre signé il y a quatre ans, prévoyait la mise à jour des logiciels Microsoft au sein du ministère à travers la mise en place d’un centre de compétence “Microsoft” au sein de la DIRISI et d’une location de produits logiciels qui prévoyait une option d’achat.

Un accord qui échappe au code des marchés publics

Dans son article PC INpact a confirmé que la commission des marchés publics de l'État avait été saisie en 2008 pour avis de conformité. PC INpact a publié l'avis du rapporteur de la commission. Par la suite, le contrat fut finalement jugé conforme, cependant l’analyse du rapporteur ne manque pas d’intérêt.

 Ce document souligne certaines problèmatiques liées à cet accord :

  • la position dominante de Microsoft et ses dangers ;
  • la condamnation par la Commission européenne pour position dominante ;
  • la possibilité d’un « délit de vente liée » ;
  • les doutes sur la légalité de la procédure de normalisation du format de fichier OOXML ;
  • l'usage du dépôt de multiples brevets européens par Microsoft pour préserver sa position dominante sur le marché ;
  • les risques du contrat pour le développement du logiciel libre.

Dans le document de PC Inpact, les conclusions du rapporteur apparaissent sans appel et selon lui, « le présent dossier n’est qu’une partie émergée de l’iceberg des relations entre l’administration française et MICROSOFT, relations qui relèvent maintenant d’enjeux d’ordre politique et éminemment conflictuels, marquées par la puissance économique et financière de MICROSOFT ».  

Dans la polémique, les défenseurs du logiciel libre tentent de faire entendre leurs voix et dénoncent que « le contrat initial avait été passé sans appel d'offres, ni procédure ouverte dans le cadre des règles d'achat public. Il n'est pas acceptable que le Ministère de la Défense ait visiblement contourné les grands principes des marchés publics, comme la transparence et l'égal accès à la commande publique, pour donner les manettes à Microsoft dans le schéma directeur du ministère » a déclaré Jeanne Tadeusz, responsable des affaires publiques d’April (association de promotion des logiciels libres).

Notons que l’ancien député du Tarn, Bernard Carayon avait déjà questionné la légitimité et le patriotisme économique de la procédure.

Une menace pour la souveraineté nationale et la protection du secret défense

Par ailleurs, un deuxième document qui a été évoqué par le Canard Enchaîné du 17 avril et a été rendu public par le Vivinteur soulèvent de nouveaux problèmes autour de cette offre de Microsoft. Ce document rendu également en 2008 par un groupe de travail de la Direction Générale des Systèmes d’Information et de Communication (DGSIC) du ministère de la Défense ne manque pas de mettre en garde contre les différents risques liés à la mise en place des solutions de Microsoft au sein du ministère de la Défense.

Parmi les risques répertoriés le groupe de travail a notamment identifié :

  • Une limitation en termes d’interopérabilité avec d’autres produits que ceux proposés par Microsoft
  • Une dépendance vis à vis de l’Etat américain
  • Une“perte de souveraineté nationale”

Selon le groupe de travail, la NSA (National Security Agency) “introduit systèmatiquement des portes dérobées (back door)” dans les logiciels exportés. Ainsi, ce serait l’entièreté de l’architecture informatique du ministère de la Défense français qui pourrait potentiellement “être victime d’une intrusion de la NSA dans sa totalité”.

S’il est clair que cette affaire présente des zones d’ombres qu’il convient d’éclaircir, certains points apparaissent indiscutables.

La généralisation des solutions de Microsoft a créé une accoutumance chez les utilisateurs, qui ont oublié que d’autres solutions existent. Au-delà, du risque de sécurité que représente la mise en place de solutions informatiques étrangères au sein des administrations, il est nécessaire d’envisager les dépendances que peuvent induire leur emploi. Diverses associations de promotion du logiciel libre proposent des solutions françaises, qui sont adaptables aux besoins des clients. Ces solutions ont le bénéfice de mettre à disposition leurs codes sources, ce que Microsoft ne fait pas.

Face à l’enjeu majeur que représente la cybersécurité, il convient de prendre la mesure des nouveaux risques auxquels sont confrontés les entreprises et les administrations. Cette mesure passe par la prise en considération des dépendances liées à la fourniture de logiciels et des mesures pour réduire la perméabilité des systemes d’information.

A  ce titre la circulaire (.pdf) dressant les orientations en matière d’usage des logiciels libres dans l’administration signée par le Premier Ministre Jean-Marc Ayrault en septembre dernier marque les premiers pas d’une posture qui doit être suivie d’une mise en pratique.

Grégoire Sélégny