Microsoft Office 365, hors-la-loi dans les organismes publics français ?
27/09/2021
Dès que cette note de la DINUM a été publiée, j’ai reçu sur Twitter et LinkedIn de nombreux messages me demandant d’exprimer mon avis sur son contenu. J’ai beaucoup hésité avant d’écrire ce texte. J’ai aussi attendu quelques jours pour ne pas publier un billet d’humeur et essayer d’en parler de la manière la plus rationnelle possible.
Ce n’a pas été facile !
La longueur de ce billet s’explique par ma volonté de répondre clairement, de manière factuelle, aux principales questions posées par cette note. Cela représente beaucoup d’heures de travail et de recherches pour que mes réponses soient les plus solides possibles.
J’espère que ce billet vous aidera dans vos réflexions et actions futures, surtout si vous le lisez dans son intégralité.
Information de dernière heure ! La cinquième option que je présente dans ce billet change du tout au tout la donne et me redonne espoir. Je vous laisse la découvrir.
Les faits
La DINUM, Direction interministérielle du numérique, a publié le 15 septembre 2021 une note de 2 pages sur les usages de la solution Microsoft Office 365 dans les administrations.
Je vous recommande de lire ce texte, et plutôt deux fois qu’une, avant de continuer la lecture de mon billet.
Le message général est limpide : l’utilisation de la solution Office 365 de Microsoft proposée sur son Cloud Public Azure n’est pas souhaitée dans les ministères.
Une analyse plus fine du texte est nécessaire pour mieux en comprendre la portée, l’impact et surtout la “pertinence”.
Données sensibles
Je cite : “ Les solutions collaboratives bureautiques et de messagerie proposées aux agents publics relèvent des systèmes manipulant des données sensibles”.
Pour un scoop, c’est un scoop ! Oui, des données sensibles peuvent être stockées dans des documents bureautiques ou transmises par messagerie.
Oui, mais vous connaissez des solutions informatiques qui ne manipulent pas des données sensibles ? Moi, non.
● Il y a des données sensibles dans les outils financiers ? Oui.
● Il y a des données sensibles dans les outils commerciaux ? Oui.
● Il y a des données sensibles dans les outils ressources humaines ? Oui.
● Il y a des données sensibles dans les outils de gestion de production ? Oui.
● Il y a des données sensibles échangées pendant les vidéoconférences ? Oui.
● …
Si la DINUM a une doctrine cohérente, la logique de cette note doit donc s’appliquer à 100% des outils numériques utilisés par les agents publics.
Toutes les données sensibles doivent être conformes à la doctrine “Cloud au Centre” et n’utiliser une offre de Cloud commercial que si elle est qualifiée SecNumCloud par l’ANSSI.
Cette doctrine n’élimine que 90% des solutions IaaS, Infrastructures as a Service, et plus de 95% des 50 000 solutions SaaS, Software as a Service, disponibles en 2021.
Retour à la case départ, avant l’année 2000, quand est née la première solution SaaS au monde, Salesforce.
Le secteur public français doit tirer un trait sur les centaines de milliards investis dans ces remarquables solutions depuis 21 ans.
C’est une position absurde, irréaliste, impossible et ridicule. Les grandes ESN françaises vont se frotter les mains ; elles devraient recréer en mode “on premise” ou “clouds nationaux”, ce qui est la même chose, toutes les solutions Cloud du marché mondial.
Communication entre les ministères et le reste du monde
Admettons, pendant quelques minutes, qu’il soit possible de porter l’ensemble des outils bureautiques de tous les organismes publics français sur des plateformes SecNumCloud.
Je croyais naïvement que les outils de communication servaient en priorité à échanger avec des clients, des citoyens, des entreprises privées, d’autres pays… Ces données “sensibles” ne pourront plus sortir de leur ligne Maginot numérique, car elles pourraient être consultées par des personnes extérieures.
Bienvenue dans un monde où le secteur public ne parle qu’au secteur public ! Il y a longtemps que je n’étais pas tombé sur une idée plus absurde !
Rappel : un premier essai, en 2016
Ce n’est hélas pas la première fois que des personnes n’ayant aucune compétence dans les outils numériques pondent des notes administratives dignes de figurer dans l’Olympe de l’absurdie.
Cette note de 2016 signée par le directeur chargé des “archives de France”, certainement la personne la mieux placée pour parler de l’informatique en “nuage”, considère que tous les documents administratifs sont par nature des…. trésors nationaux et doivent être traités comme tels. Votre taxe d’habitation, votre cadastre, votre déclaration d’impôt doivent être protégés comme la Vénus de Milo et n’ont pas le droit de sortir du territoire national !
Inapplicable, cette note n’a jamais été appliquée. C’est tout le bien que je souhaite à cette nouvelle proposition de la DINUM.
Les solutions proposées par la DINUM
Mettre la priorité sur une “nationalisation” des outils de bureautique, de communication et de collaboration est un non-sens total. La probabilité de succès de cette démarche est, fort heureusement, proche de zéro.
C’est encore pire quand on regarde quelles sont les solutions proposées. Qu’une organisation qui est supposée porter la doctrine numérique de l’État français pour les prochaines années ose en 2021 faire des recommandations de ce type dépasse l’entendement.
Il y a quatre réponses proposées :
● Construire (Build) une solution.
● S’appuyer sur le consortium “Bleu”.
● Utiliser SNAP.
● Attendre.
Analysons, une par une, ces propositions.
Construire sa solution bureautique
Nous sommes en 2021 ! Je cite :” … évaluer l’opportunité de construire (build) et d’opérer (run) une offre de service “bureautique collaborative et messagerie”...”
Oui, vous avez bien lu ! La DINUM encourage les ministères à construire eux-mêmes leurs outils bureautiques. Non seulement il est intelligent de les construire, mais c’est aussi le rôle de ces ministères de les opérer.
Dans les deux cas, c’est évidemment la meilleure utilisation possible des ressources humaines informatiques de l'État français. Comme vous le savez tous, il y a un tel surplus d’informaticiens de haut niveau dans le secteur public que l’on peut en utiliser sans problème un grand nombre pour écrire du code pour une messagerie électronique.
Un DSI qui ferait en 2021 une proposition aussi absurde à sa Direction Générale serait immédiatement licencié pour faute professionnelle grave, et sans indemnités.
Pour ceux qui l’auraient oublié :
● Première version de Microsoft Exchange : 1993
● Première version de Google Apps : 2007
● Première version de Microsoft Office 365 : 2011
Combien de milliards de dollars ont été investis pour construire, améliorer et exploiter ces outils universels, utilisés dans le monde entier ?
S’appuyer sur “Bleu”
Bleu, c’est une association créée entre Orange et Capgemini pour proposer leur version d’Office 365 sur des serveurs “souverains” gérés par eux en France. Cette annonce a été faite en mai 2021.
Le texte de ce communiqué de presse est très clair : c’est un projet, tout le texte est écrit au futur ou au conditionnel. Aucune date n’est annoncée pour sa mise en fonctionnement, nul ne sait où et quand les centres de calcul nécessaires seront construits.
Publier un communiqué de presse, c’est facile et rapide. Mettre en œuvre ce qui est annoncé, c’est… un peu plus compliqué.
Au-delà du flou de cette annonce, c’est le principe même du projet qui m’interpelle et me rend très dubitatif sur sa faisabilité.
Héberger une nouvelle instance d’Office 365 dans un centre de calcul, Microsoft le fait en permanence et déploie cette solution dans de nombreux pays, dont la France.
De nombreux organismes publics ont déjà profité de cette option pour utiliser Office 365 depuis des centres de calculs Microsoft en France, ce qui me paraît logique et raisonnable.
Ce qui chagrine certains politiques, c’est que ce soit Microsoft qui gère les infrastructures et les logiciels, ce qu’il fait très bien.
Les lobbies sécuritaires nationaux se déchaînent contre cette “ingérence” insupportable.
Je ne vais pas revenir sur des thèmes que j’ai déjà traités souvent dans ce blog.
Le grand méchant Microsoft va lire vos mails, le Cloud Act (qui n’a rien à voir avec le Cloud), la NSA, le gouvernement américain.. menacent la souveraineté nationale de la France et de l’Europe et leur confier nos messageries représente un risque inacceptable.
Avec “Bleu”, nous serons tranquilles, mieux protégés, à l’abri d’ingérences étrangères.
Sur le principe, on ne peut pas ne pas être d’accord, mais le diable se cache dans les détails.
Quelques questions :
● “Bleu” annonce que ses instances d’Office 365 seront indépendantes de celles de Microsoft. Comment les créer, les mettre à jour, appliquer les patchs de sécurité si Microsoft n’y a pas accès ?
● Cette démarche s’oppose frontalement au principe de base des solutions SaaS, qui sont multitenant, avec un seul fournisseur de la solution. Qui me garantira qu’il n’y aura pas divergence progressive entre la version officielle Azure et la version “Bleu” ?
● Comment transmettre les gigantesques fichiers de ces applications depuis Microsoft vers “Bleu” ? Comme Office 365 n’est pas une solution Open Source, il faudra accepter les fichiers en mode exécutable. Qui pourra me garantir qu’ils ne sont pas livrés avec des accès ouverts au gouvernement américain ?
Je ne voudrais pas être à la place des informaticiens de “Bleu” quand ils auront à gérer tous ces problèmes opérationnels complexes.
Quel livre je peux recommander aux responsables informatiques des ministères qui choisiraient l’option “Bleu” pour les aider à faire que le temps paraisse moins long ? Le désert des Tartares, évidemment...
SNAP
Cette note recommande aux ministères d’utiliser SNAP. Je dois vous avouer, à ma grande honte, que je ne connaissais pas l’existence de cette solution ; j’ai donc recherché ce qu’était SNAP.
SNAP, c’est l’acronyme de Sac à dos Numérique de l’Agent Public. L’image du sac à dos est bien choisie, car il s’agit d’un ensemble hétérogène de sujets qui touchent aussi bien aux infrastructures, les réseaux et les terminaux, qu’au sujet de ce blog, le point 4, “Développer des outils de communication et de collaboration pour les agents unifiés à l’échelle interministérielle."
SNAP4, pour outils collaboratifs
Comme le montrent ces deux extraits du site qui présente SNAP, point 4, sur les outils collaboratifs, des financements sont disponibles :
● 88 M€ au total.
● Pour des projets qui peuvent atteindre 8 M€.
88 M€, c’est à la fois beaucoup d’argent et très peu.
Beaucoup, car on peut développer de nombreuses applications simples à forte valeur ajoutée avec cette somme.
Très peu, ridicule même, pour espérer construire une plateforme industrielle de communication et de collaboration capable de concurrencer Office 365.
Attendre
Dans cette note, la DINUM a bien compris que les trois premières réponses proposées ont un “petit” défaut : aucune n’est opérationnelle en 2021 !
Cela fait désordre quand la solution que l’on souhaite remplacer existe depuis 10 ans, utilisée par des millions de personnes.
La réponse “magique” de la DINUM, pour permettre aux ministères qui souhaiteraient respecter les recommandations de cette note, c’est… d’attendre et de continuer avec les solutions innovantes des années 1990, un client lourd Microsoft Office et un serveur Microsoft Exchange dans des centres de calcul historiques gérés par les ministères. Enthousiasmant !
C’est, malgré tout, parmi les quatre options proposées… la moins mauvaise !
Pour ceux qui me connaissent bien, pour m’entendre dire que l’option de ne rien faire en numérique est la moins mauvaise, il faut vraiment que toutes les autres soient catastrophiques.
Si, par malheur...
Si, par malheur, cette note de la DISUM se transformait en règles contraignantes qui s’imposent aux organismes publics, les conséquences en seraient catastrophiques.
Nos amis européens vont bien rigoler, se réjouir de voir les organismes publics français faire un saut spectaculaire… de 15 ans en arrière !
Rappel : la première solution moderne de bureautique, cloud, collaborative, est arrivée en France en 2007, avec Google Apps.
À l’époque, la France était dans le peloton de tête de l’innovation informatique : 60% des entreprises qui avaient testé Google Apps avant son annonce officielle à Paris , avant les Etats-Unis, étaient françaises.
Valeo a été en 2007 la première entreprise au monde à déployer à grande échelle, pour plus de 35 000 personnes, Google Apps.
Nous étions, avec Laurent Gasser, les deux fondateurs de la société Revevol, à l’origine de cette belle réussite française.
Miracle ! Une cinquième option, exceptionnelle, pointe le bout de son nez !
J’étais sur le point de finaliser ce billet quand j’ai reçu une information qui m’a redonné espoir dans l’avenir de la bureautique dans les organismes publics.
La solution Google Workspace, avec tous ses composants, est depuis peu référencée sur le catalogue numérique du gouvernement, comme le montre cette page de leur site.
La centrale d’achat du gouvernement, l’UGAP, a mis Google Workspace à son catalogue.
Si cette cinquième option est confirmée dans la version 2 de cette note de la DINUM, c’est une avancée extraordinaire pour les organismes publics français.
Une véritable solution cloud, native SaaS multitenant, proposant l’ensemble des fonctionnalités bureautiques, communication et collaboration est disponible. C’est, parmi les cinq options, la seule solution moderne, pérenne, opérationnelle en 2021.
Ma recommandation à tous les organismes publics : précipitez-vous, dès le 27 septembre 2021, pour passer commande de Google Workspace pour 100% de vos collaborateurs.
Ne laissez pas passer cette occasion d’accélérer votre Transformation Numérique avec la solution universelle de bureautique, de communication et de collaboration la plus innovante du marché mondial.
Soyons très clairs : cette cinquième option, la possibilité de déployer Google Workspace, rend caduques les quatre autres options auxquelles faisait référence cette note de la DINUM.
Le b.a.-ba d’une bonne gouvernance numérique en 2021
Ce paragraphe est écrit pour aider les quelques responsables politiques chargés du numérique dans le secteur public en France qui n’ont pas eu l’opportunité de suivre les évolutions majeures de l’informatique et du numérique au cours des 20 dernières années.
Il leur permettra d’actualiser rapidement leurs compétences.
Les lecteurs de mon blog y retrouveront des idées que je défends depuis longtemps.
Le modèle B I S D
J’ai proposé ce modèle B I S D d’architecture du numérique en 2019,
I = Infrastructures.
Toutes les organisations, publiques et privées, doivent basculer le plus vite possible sur des clouds publics professionnels, fermer ses centres de calculs privés et passer d’une logique CAPEX à une démarche OPEX.
Ce graphique, publié par Synergy Research, montre que les entreprises européennes l’ont bien compris et plébiscitent les grands leaders mondiaux.
Sur un marché en forte croissance, la part des acteurs européens est passée de 28% en 2017 à 16% en 2021.
Il y a en France de la place pour des acteurs sérieux tels qu’Outscale de Dassault ou Scaleway de Free, qui sont capables de répondre à des besoins très spécifiques.
S = Support
Les usages support sont tous ceux qui sont présents dans toutes les entreprises et organisations publiques, quelles que soient leurs activités. La bureautique, les outils de communication et de collaboration en sont les composants les plus universels. Finance, ressources humaines, commercial sont d’autres domaines où les usages support sont omniprésents.
En 2021, la seule réponse numérique responsable pour les usages support, ce sont les solutions SaaS multitenant, dans les clouds publics. Dans le monde, le duopole des années 1990, Microsoft et IBM, a été remplacé par le duopole Microsoft et Google. Il reste encore quelques acteurs de niche, comme Zoho.
Imaginer une seconde que les organismes publics français puissent se transformer en Astérix de la bureautique… quelle bêtise, quelle perte de temps !
D = Données
Reprendre le contrôle de ses données est une priorité de toutes les entreprises ; j’ai écrit en 2021 deux billets sur ce thème, là et là.
J’ai aussi abordé au début de ce billet le thème des données, mais il existe un autre sujet important que je souhaite évoquer, l’Open Data.
La France a pris une position de leader européen dans un domaine clef, la mise à disposition des données publiques avec sa démarche volontariste dans l’Open Data.
Petites questions : est-ce que ces données Open data sont sensibles ? Est-ce que ces données Open data sont des trésors nationaux ? Est-ce que le contenu d’un courriel envoyé par un employé de mairie est plus “sensible” que les données du plan cadastral disponible en Open data ?
J’ai vraiment beaucoup de mal à concilier la vision positive, ouverte, innovante du secteur public français dans le domaine des “Open Data” avec cette démarche rétrograde sur les outils bureautiques présentée par la note de la DINUM.
B = Business, cœur métier
C’est le SEUL domaine où les organismes publics, centraux ou régionaux, peuvent investir dans le développement d’applications à forte valeur ajoutée.
C’est encore plus important dans les organismes régionaux, départements et villes, qui ont tous des centaines d’applications métiers spécialisées à mettre en œuvre.
La mutualisation de ces applications métiers aurait beaucoup de valeur et des organismes comme le COTER, club d’échanges entre les DSI des collectivités locales, pourraient y jouer un rôle majeur.
Déployer ses applications en version SaaS multitenant sur un acteur français de l’infrastructure aurait bien sûr beaucoup de sens. “Cloud au Centre”, oui, mais pour les seuls usages métiers spécifiques du secteur public.
Formation
J’anime depuis des dizaines d’années des séminaires en interne dans des entreprises et des organismes publics pour expliquer à leurs dirigeants, leurs équipes informatiques et tous leurs collaborateurs quelles sont les tendances majeures en matière du numérique.
Je serai très honoré que la DINUM et d’autres organismes publics me mettent à contribution pour les aider dans leur mission de sensibilisation pour promouvoir dans le secteur public une vision moderne, positive et enthousiasmante des solutions numériques d’avenir.
J’ai préparé un document qui présente les différentes interventions que je peux mener. Ce tableau en présente une synthèse.
En conclusion
La France est le seul pays européen qui se ridiculise avec ses défilés tous les samedis de quelques milliers d’antivax, où l’on retrouve des personnes mues par des objectifs très différents. Je suis scandalisé quand je vois des responsables politiques participer à ces manifestations, aveuglés par de minables considérations politiciennes qui ignorent la science et la rationalité. Ces politiques sont des assassins (meurtre avec préméditation) qui auront sur la conscience des milliers de morts inutiles. L’exemple actuel de la Guyane est le plus monstrueux.
Les responsables politiques qui tiennent des discours irresponsables “anti-Cloud” sont dans la même logique de refus de comprendre les évolutions modernes du numérique, de déni de la réalité. Ce sont les assassins en puissance de la compétitivité numérique des organismes publics français. Ces organismes ont peu de ressources, humaines et financières, pour faire face aux demandes prioritaires. Leur faire perdre du temps, de l’efficacité en publiant des notes qui freinent encore plus leurs capacités à évoluer, ce n’est certainement pas ce qu’il y a de plus intelligent.
Oui, je crois beaucoup aux potentiels de la France et de l’Europe dans les métiers du numérique, comme je l’ai écrit dans ce billet récent. Il faut simplement, comme je l’explique, bien choisir ses priorités. Développer en interne des solutions bureautiques ne fait pas partie de mes recommandations !
Sous sa forme actuelle, l’annonce de la DINUM montre à quel point une petite partie des responsables politiques du numérique en France restent dans un modèle de combats d’arrière-garde, en essayant de remonter le cours de l’histoire informatique des 20 dernières années. Ils conduisent dans un monde où l’innovation numérique est exponentielle, les yeux rivés sur le rétroviseur.
Heureusement, le panorama numérique dans le secteur public français change totalement avec cette autorisation de Google Workspace.
Je serai le premier à féliciter la DINUM quand sortira une deuxième note, avec le même poids que la première, pour confirmer que tous les organismes publics, centraux et territoriaux, ont la possibilité, en mettant en œuvre Google Workspace, de consacrer leurs ressources numériques limitées, en personnes et en euros, à des projets à forte valeur ajoutée dans leurs activités cœur métiers.
En même temps, je suis certain que la DINUM va recevoir une pluie de critiques de tous ceux qui se réjouissaient après la publication de cette note.
Favoriser Google Workspace, une véritable solution Cloud SaaS, par rapport à une solution “pseudo-Cloud”, Microsoft Office 365, utilisée par plus de 90% des personnes avec leur client lourd Outlook-Office, vieux de 30 ans, c’est pour moi une décision courageuse et intelligente.
Il faudra maintenant attendre la réaction des dirigeants de Microsoft France...