M. Mickaël Bouloux attire l'attention de M. le ministre auprès de la ministre d'État, ministre de l'éducation nationale, de l'enseignement supérieur et de la recherche, chargé de l'enseignement supérieur et de la recherche, sur la récente migration des outils informatiques de l'éducation nationale et de Polytechnique vers le service cloud Microsoft 365, qui conduit à héberger les données sur des serveurs de la multinationale américaine, contrairement à des logiciels Microsoft pouvant être gérés en local, sans transfert vers des serveurs externes, non maitrisés. Malgré les nombreuses alertes gouvernementales sur les dangers liés à l'utilisation de services informatiques étrangers, il semble que la direction de Polytechnique ait déjà entamé, sans aucune concertation avec le personnel et les étudiants, la migration de ses outils informatiques, y compris la messagerie des étudiants, vers des serveurs Microsoft, soumis à l'extraterritorialité des lois américaines. Cette caractéristique est susceptible de permettre à l'administration américaine d'avoir un accès aux données hébergées par des entreprises américaines, qui comprennent donc celles d'organisations non-américaines. De même, le ministère de l'éducation nationale a récemment attribué un marché public visant à équiper ses services centraux et les établissements supérieurs avec Microsoft 365, couvrant aussi bien les postes clients que les data centers. Cette situation soulève des inquiétudes majeures concernant la sécurité des données sensibles, qui sont nombreuses à Polytechnique, en raison des recherches pointues menées dans cette école d'excellence. La Dinum a pourtant encouragé les administrations et les acteurs publics à mettre en application la doctrine « Cloud au centre », listant les bonnes pratiques pour utiliser le cloud. Office 365 - dans sa version standard - ne correspond absolument pas à ces préconisations. De plus, cette dépendance à Microsoft, alors même que des alternatives souveraines sont disponibles, soulève des interrogations sur la souveraineté informatique et sur la préservation de la vie privée des citoyens français. Face à cette situation, il souhaiterait savoir quelles mesures seront prises pour suspendre la migration, ou exiger des assurances et des adaptations, des outils informatiques de Polytechnique vers Microsoft et s'assurer que les données sensibles et stratégiques du pays ne puissent pas être exposées à des captations par des gouvernements étrangers, parfois hostiles.

L'accord-cadre entre le ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche et Microsoft est un support juridique qui permet à l'administration de continuer à utiliser, à tarif préférentiel, les logiciels informatiques et solutions bureautiques de Microsoft (dont Windows, Word et Outlook), dont les équipements des agents du ministère sont majoritairement dotés, comme dans la plupart des autres administrations. Il est à noter que le périmètre couvert au ministère est vaste : près d'un million de postes de travail et serveurs sont concernés, au sein des services centraux et déconcentrés et des différents opérateurs, organismes de recherche, universités et écoles supérieures. Cet accord-cadre est renouvelé pour une durée de 4 ans, comme cela avait déjà été le cas en 2020. Le tarif préférentiel permet de continuer à réaliser des économies d'échelle sur le budget du ministère et de ses opérateurs. Cet accord-cadre n'implique aucun minimum d'achat. Le montant maximal théorique prévu pour cet accord-cadre est établi à 152 M€ (HT). Ce plafond représente la limite supérieure des dépenses possibles dans le cadre de cet accord. Le montant réel de consommation sera connu à l'expiration de l'accord-cadre, au regard des achats de licences réalisés, mais il sera vraisemblablement très inférieur au plafond. Cet accord-cadre respecte la doctrine de l'État concernant le stockage de ces données : les données à caractère sensible du ministère continueront à être stockées sur des serveurs internes hébergés en France, conformément à la doctrine « cloud au centre » pour le stockage des données de l'administration, actualisée par la circulaire n° 6404/SG du 31 mai 2023 signée par la Première ministre Élisabeth Borne. En parallèle, conformément à la stratégie du numérique pour l'éducation 2023-2027, le ministère travaille à déployer des alternatives libres et souveraines à la messagerie Outlook et privilégie plus généralement le logiciel libre lorsque cela est possible. Le programme « Environnement de travail numérique de l'agent (ETNA) » a déjà permis le déploiement à l'échelle d'une solution de visioconférence s'appuyant sur un logiciel libre hébergé souverainement. Il prévoit également le déploiement, en cours, d'une nouvelle messagerie électronique à destination des 1,2 million d'agents de l'éducation nationale d'ici à mi-2026, fondée là aussi sur une solution libre, hébergée sur les infrastructures du ministère. Certains des outils souverains développés par la Direction interministérielle du numérique dans le cadre de « La Suite » ont également vocation à s'intégrer progressivement dans cette offre complète de communication et de collaboration. Enfin, le courrier adressé aux recteurs le 28 février dernier réaffirme la position constante du ministère en la matière qui est de proscrire tout déploiement de suites collaboratives en ligne d'éditeurs non-européens dans les établissements scolaires. Le ministère recommande ainsi, conformément à la doctrine technique du numérique pour l'éducation qui sera rendue juridiquement opposable dans le courant de cette année, de privilégier l'usage des espaces numériques de travail (ENT) fournis par les collectivités, des services numériques qui y sont associés, ainsi que des ressources numériques rendues disponibles par le « gestionnaire d'accès aux ressources » (GAR) du ministère, lequel permet d'assurer un accès sécurisé aux différents logiciels et applications tout en limitant les risques de transferts de données hors de l'Union européenne. Cette position s'appuie sur deux principaux arguments : d'une part, la nécessaire vigilance à avoir quant aux données des élèves, pour la plupart mineurs, qui relèvent donc d'une sensibilité particulière ; d'autre part, la nécessaire neutralité du ministère qui ne doit pas préparer les élèves à une utilisation d'une suite collaborative commerciale donnée, mais enseigner les compétences génériques de collaboration à l'aide d'outils numériques, quels qu'ils soient. Par ailleurs, l'école polytechnique (EP) applique l'ensemble des dispositions de sécurité du ministère des armées, dont la politique de sécurité des systèmes d'information, basée sur une analyse de risques réalisée par l'établissement. Actuellement, l'environnement numérique de travail (ENT) de l'EP présente une hétérogénéité de briques logicielles répondant à une pluralité d'usages. Cette situation nécessite une harmonisation pour renforcer la protection face à deux menaces majeures : la cybercriminalité et le cyber-espionnage. Aujourd'hui, constitué d'outils non intégrés et peu utilisés, l'ENT fait l'objet de nombreux contournements par l'utilisation d'outils plus intuitifs mais non sécurisés par les usagers, compromettant la capacité de l'EP à maîtriser son système d'information. L'EP a besoin d'une solution permettant des échanges sécurisés avec les personnels administratifs, professeurs, élèves et homologues de l'institut polytechnique de Paris, y compris en mobilité, partout en France et dans le monde. En conformité avec la transformation de la doctrine d'utilisation de l'informatique en nuage par l'État, l'EP a cherché à homogénéiser ses solutions logicielles pour simplifier les usages ne nécessitant pas de confidentialité particulière. L'environnement de sécurité du logiciel Microsoft est conforme aux recommandations de l'agence nationale de la sécurité des systèmes d'information pour les données non sensibles : authentification multi-facteurs, filtres anti-spam maintenus à l'état de l'art, gestion du besoin d'en connaître et détection d'activité malveillante par des fonctionnalités de gouvernance intégrées, journaux de sécurité détaillés et facilement exploitables. Le risque identifié de l'absence de souveraineté des données reste maîtrisé en raison de leur caractère non sensible. Les données de la recherche issues des laboratoires, les plus sensibles, ne sont pas concernées par le déploiement des outils collaboratifs Microsoft ni par une migration vers le cloud Azure. Les 23 laboratoires de l'EP, dont 22 sont des unités mixtes de recherche avec le centre national de la recherche scientifique, font l'objet d'une attention particulière en matière de lutte contre les ingérences étrangères et le cyber-espionnage. Cette vigilance a conduit à la création de plusieurs zones à régime restrictif (ZRR) bénéficiant d'une protection spécifique décrite par l'instruction ministérielle n° 298 du 5 mars 2014 du ministère des armées. Ce corpus réglementaire vise à assurer la sécurité des informations détenues et échangées au sein des ZRR et sur les systèmes d'informations qui y sont déployés. Conformément à la politique de confidentialité des données de l'EP, les données issues des ZRR comportent un marquage spécifique de confidentialité et sont conservées dans des serveurs protégés. Seules les personnes ayant le besoin d'en connaître et ayant fait l'objet d'une enquête administrative peuvent y avoir accès. La conformité de l'ensemble des dispositions réglementaires relatives aux mesures de protection physique et logique fait l'objet de contrôles réguliers menés par la direction générale de l'armement, direction de tutelle de l'EP, et de la direction du renseignement et de la sécurité de la défense, service de contre-ingérence du ministère. Face à ces deux menaces qui pèsent sur la cyber-sécurité de l'EP, la sensibilisation des acteurs (chercheurs comme élèves) reste une priorité. Une politique de confidentialité des informations plus claire et un environnement numérique plus homogène constituent ainsi une preuve d'avancement en maturité cyber de l'établissement.