Doctrine cloud de l'Etat : l'open source mis de côté
Validée par le premier ministre Jean Castex, la circulaire sur la doctrine cloud de l'Etat vient d'être publiée par Amélie de Montchalin, ministre de la Transformation et de la Fonction publiques. Elle réduit l'open source à portion congrue. "Les administrations ne doivent pas chercher à créer et maintenir de nouveaux logiciels sur mesure qui trouvent déjà leur équivalent dans les sphères publique ou privée ou parmi les communs numériques contributifs (logiciels libres et plateformes de services collaboratifs libres et ouverts, par exemple)", est-il indiqué simplement en référence à l'open source dans la circulaire, qui compte une dizaine de pages. C'est tout.
Lors de la remise du rapport Villani sur l'IA en mars 2018, Emmanuel Macron s'était pourtant engagé en faveur de l'open source. "Ce travail (autour de la data et l'IA, ndlr) sera accompagné aussi par cette culture de l'ouverture, la promotion des logiciels libres, partout où nous pouvons développer ces derniers", avait alors lancé le président de la République (voir la retranscription de son discours sur le site de l'Elysées).
Une rupture gravée dans le marbre
Depuis près de 20 ans, la France pousse l'open source au sein de ses grands ministères (Bercy, Intérieur, Agriculture...) Du premier projet Copernic qui introduit l'open source dans l'administration fiscale jusqu'aux travaux de la DINSIC à partir de 2001, rebaptisée direction interministérielle du numérique (DINUM) en 2019. Un marché record de 15 millions d'euros est signé par Linagora en 2012. D'une durée de quatre ans, il porte sur le support de 260 logiciels libres au profit du ministère de l'Economie et des Finances. La même année, Capgemini, AlterWay et Zenika remportent un contrat de support d'une même durée ciblant les autres ministères. A hauteur de 2,75 millions d'euros, il concerne une centaine de logiciels libres. Reconduits en 2018, les deux marchés sont gagnés par Linagora.
Ce mouvement connait son point d'orgue politique lors de la présidence de François Hollande avec la publication de la circulaire Ayrault qui affiche clairement la volonté de promouvoir le logiciel libre au sein de l'administration.
Entérinant une stratégie cloud-first, la circulaire Castex inscrit la rupture dans le marbre. Certes, elle confirme le choix en faveur d'un cloud privé (qualifié de cercle 1) basé sur la technologie OpenStack. Une plateforme open source qui est déclinée par l'Etat en deux environnements. Baptisé cloud PI, le premier, "associé à un niveau de sécurité de diffusion restreinte", est déployé par le ministère de l'Intérieur. Le second, "associé au standard SecNumCloud", par le ministère des Finances (cloud NUBO). A cette infrastructure s'ajoute un cloud dédié (cercle 2) non-OpenStack rattaché au ministère des Armées. "Un cloud adapté aux exigences de ses systèmes d'information opérationnel", précise la directive. Il devait être porté par OVH et Dassault Systèmes. Mais l'initiative n'a pas abouti.
"Les clouds privés des ministères de l'Intérieur et des finances doivent continuer à évoluer (résilience, richesse des briques PaaS, qualité de la relation client, etc.), avec notamment le projet d'introduction d'une offre d'orchestration de containers. Ils doivent continuer à s'appuyer sur des technologies standard qui garantissent leur réversibilité vers les autres offres de cloud internes ou commerciales", ajoute la directive. On n'en attendait pas moins. Le texte fait évidemment référence à l'orchestrateur open source Kubernetes. Il réduit ainsi le logiciel libre à moyen de récupérer des applications sur un cloud propriétaire, en passant sous silence la valeur de du modèle en matière de co-innovation et d'innovation tout court.
Open bar pour les clouds propriétaires américains
En revanche pour les choix en matière de cloud public (cercle 3), le texte rappelle la mise en place, via la centrale d'achat public UGAP, d'"un support contractuel d'achat regroupant des offres commerciales 'sur étagère' de fournisseurs de cloud spécialisés […] sans prérequis de sécurité et de souveraineté (entendu dans le sens d'une indépendance au droit extra-européen)". La porte est donc grande ouverte aux solutions propriétaires des grands providers américains.
"Ce mouvement doit être accompagné pour faciliter l'identification des offres logicielles à la demande qui répondront le mieux aux enjeux simultanés d'ergonomie, de richesse fonctionnelle, de sécurité, de protection des données, de facilité d'utilisation, de souveraineté et de maitrise de la dépense publique", souligne la directive. La volonté est ouvertement de promouvoir des services cloud américains protégés des législations extraterritoriales via leur portage par des acteurs européens du secteur. Une voie déjà empruntée par OVHCloud avec Google, et l'intégration (en cous) de Google Anthos à ses infrastructures. Mais aussi par Orange et Capgemini via la joint-venture Bleu (lire l'article : Capgemini et Orange créent un cloud souverain Azure et Microsoft 365). Ces offres devraient d'ailleurs bénéficier du label Cloud de Confiance lancé par le gouvernement, et qui sera décerné par l'Agence nationale de la sécurité des systèmes d'information.
Lors de l'annonce de ce nouveau label en mai dernier, Bruno Lemaire avait d'ailleurs été clair sur le sujet. "Le recours à des licences américaines dans le nucléaire n'a pas empêché la France de devenir une puissance souveraine dans ce domaine. L'objectif est de suivre la même approche avec le cloud", avait-il déclaré (lire l'article : Cloud souverain : le gouvernement ouvre la porte à Google et Microsoft).