Question de M. DARRAS Jérôme (Pas-de-Calais - SER) publiée le 08/05/2025
M. Jérôme Darras attire l'attention de Mme la ministre d'État, ministre de l'éducation nationale, de l'enseignement supérieur et de la recherche sur la migration des outils informatiques de son ministère et de l'établissement Polytechnique vers le service cloud Microsoft 365.
Deux marchés publics ont récemment été actés entre le ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche d'une part, l'école Polytechnique d'autre part et l'entreprise Microsoft pour l'utilisation de leur offre numérique.
Ceci suscite de vives inquiétudes concernant la souveraineté, la protection de données personnelles et la sécurité de données sensibles, qui sont nombreuses à Polytechnique en raison des recherches pointues menées dans cette école.
En effet, Microsoft, en tant qu'entreprise américaine, est soumise à l'extraterritorialité des lois américaines et au « Cloud Act », loi fédérale américaine qui autorise les autorités de ce même État à accéder aux données hébergées par cette société sans requérir son accord.
Pourtant, la direction interministérielle du numérique (DINUM) a encouragé les administrations et les acteurs publics à mettre en application la doctrine « Cloud au centre », listant les bonnes pratiques pour utiliser le cloud, dont les principaux éléments sont désormais intégrés à la loi via l'article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique.
De même, dans un courrier du 28 février 2025 adressé aux recteurs, la direction du numérique du ministère de l'éducation nationale rappelait que toute donnée présentant une sensibilité particulière « dont la violation pourrait nuire à l'ordre public, à la sécurité nationale ou à la protection de la propriété intellectuelle » devait être hébergée sur des infrastructures qualifiées SecNumCloud, qualification européenne en matière de protection des données.
Aussi, il lui demande de bien vouloir lui indiquer les mesures qu'elle entend prendre afin de garantir la souveraineté numérique et la sécurité des données sensibles et stratégiques.
- page 2242
Transmise au Ministère de l'éducation nationale
Réponse du Ministère de l'éducation nationale publiée le 13/11/2025
L'accord-cadre entre le ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche et Microsoft est un support juridique qui permet à l'administration de continuer à utiliser, à tarif préférentiel, les logiciels informatiques et solutions bureautiques de Microsoft (dont Windows, Word et Outlook), dont les équipements des agents du ministère sont majoritairement dotés, comme dans la plupart des autres administrations. Il est à noter que le périmètre couvert au ministère est vaste : près d'un million de postes de travail et serveurs sont concernés, au sein des services centraux et déconcentrés et des différents opérateurs, organismes de recherche, universités et écoles supérieures. Cet accord-cadre est renouvelé pour une durée de 4 ans, comme cela avait déjà été le cas en 2020. Le tarif préférentiel permet de continuer à réaliser des économies d'échelle sur le budget du ministère et de ses opérateurs. Cet accord-cadre n'implique aucun minimum d'achat. Le montant maximal théorique prévu pour cet accord-cadre est établi à 152 Meuros (HT). Ce plafond représente la limite supérieure des dépenses possibles dans le cadre de cet accord. Le montant réel de consommation sera connu à l'expiration de l'accord-cadre, au regard des achats de licences réalisés, mais il sera vraisemblablement très inférieur au plafond. Cet accord-cadre respecte la doctrine de l'État concernant le stockage de ces données : les données à caractère sensible du ministère continueront à être stockées sur des serveurs internes hébergés en France, conformément à la doctrine « cloud au centre » pour le stockage des données de l'administration, actualisée par la circulaire n° 6404/SG du 31 mai 2023 signée par la Première ministre Élisabeth Borne. En parallèle, conformément à la stratégie du numérique pour l'éducation 2023-2027, le ministère travaille à déployer des alternatives libres et souveraines à la messagerie Outlook et privilégie plus généralement le logiciel libre lorsque cela est possible. Le programme « Environnement de travail numérique de l'agent (ETNA) » a déjà permis le déploiement à l'échelle d'une solution de visioconférence s'appuyant sur un logiciel libre hébergé souverainement. Il prévoit également le déploiement, en cours, d'une nouvelle messagerie électronique à destination des 1,2 million d'agents de l'éducation nationale d'ici à mi-2026, fondée là aussi sur une solution libre, hébergée sur les infrastructures du ministère. Certains des outils souverains développés par la Direction interministérielle du numérique dans le cadre de « La Suite » ont également vocation à s'intégrer progressivement dans cette offre complète de communication et de collaboration. Enfin, le courrier adressé aux recteurs le 28 février dernier réaffirme la position constante du ministère en la matière qui est de proscrire tout déploiement de suites collaboratives en ligne d'éditeurs non-européens dans les établissements scolaires. Le ministère recommande ainsi, conformément à la doctrine technique du numérique pour l'éducation qui sera rendue juridiquement opposable dans le courant de cette année, de privilégier l'usage des espaces numériques de travail (ENT) fournis par les collectivités, des services numériques qui y sont associés, ainsi que des ressources numériques rendues disponibles par le « gestionnaire d'accès aux ressources » (GAR) du ministère, lequel permet d'assurer un accès sécurisé aux différents logiciels et applications tout en limitant les risques de transferts de données hors de l'Union européenne. Cette position s'appuie sur deux principaux arguments : d'une part, la nécessaire vigilance à avoir quant aux données des élèves, pour la plupart mineurs, qui relèvent donc d'une sensibilité particulière ; d'autre part, la nécessaire neutralité du ministère qui ne doit pas préparer les élèves à une utilisation d'une suite collaborative commerciale donnée, mais enseigner les compétences génériques de collaboration à l'aide d'outils numériques, quels qu'ils soient. Par ailleurs, l'école polytechnique (EP) applique l'ensemble des dispositions de sécurité du ministère des armées, dont la politique de sécurité des systèmes d'information, basée sur une analyse de risques réalisée par l'établissement. Actuellement, l'environnement numérique de travail (ENT) de l'EP présente une hétérogénéité de briques logicielles répondant à une pluralité d'usages. Cette situation nécessite une harmonisation pour renforcer la protection face à deux menaces majeures : la cybercriminalité et le cyber-espionnage. Aujourd'hui, constitué d'outils non intégrés et peu utilisés, l'ENT fait l'objet de nombreux contournements par l'utilisation d'outils plus intuitifs mais non sécurisés par les usagers, compromettant la capacité de l'EP à maîtriser son système d'information. L'EP a besoin d'une solution permettant des échanges sécurisés avec les personnels administratifs, professeurs, élèves et homologues de l'institut polytechnique de Paris, y compris en mobilité, partout en France et dans le monde. En conformité avec la transformation de la doctrine d'utilisation de l'informatique en nuage par l'État, l'EP a cherché à homogénéiser ses solutions logicielles pour simplifier les usages ne nécessitant pas de confidentialité particulière. L'environnement de sécurité du logiciel Microsoft est conforme aux recommandations de l'agence nationale de la sécurité des systèmes d'information pour les données non sensibles : authentification multi-facteurs, filtres anti-spam maintenus à l'état de l'art, gestion du besoin d'en connaître et détection d'activité malveillante par des fonctionnalités de gouvernance intégrées, journaux de sécurité détaillés et facilement exploitables. Le risque identifié de l'absence de souveraineté des données reste maîtrisé en raison de leur caractère non sensible. Les données de la recherche issues des laboratoires, les plus sensibles, ne sont pas concernées par le déploiement des outils collaboratifs Microsoft ni par une migration vers le cloud Azure. Les 23 laboratoires de l'EP, dont 22 sont des unités mixtes de recherche avec le centre national de la recherche scientifique, font l'objet d'une attention particulière en matière de lutte contre les ingérences étrangères et le cyber-espionnage. Cette vigilance a conduit à la création de plusieurs zones à régime restrictif (ZRR) bénéficiant d'une protection spécifique décrite par l'instruction ministérielle n° 298 du 5 mars 2014 du ministère des armées. Ce corpus réglementaire vise à assurer la sécurité des informations détenues et échangées au sein des ZRR et sur les systèmes d'informations qui y sont déployés. Conformément à la politique de confidentialité des données de l'EP, les données issues des ZRR comportent un marquage spécifique de confidentialité et sont conservées dans des serveurs protégés. Seules les personnes ayant le besoin d'en connaître et ayant fait l'objet d'une enquête administrative peuvent y avoir accès. La conformité de l'ensemble des dispositions réglementaires relatives aux mesures de protection physique et logique fait l'objet de contrôles réguliers menés par la direction générale de l'armement, direction de tutelle de l'EP, et de la direction du renseignement et de la sécurité de la défense, service de contre-ingérence du ministère. Face à ces deux menaces qui pèsent sur la cyber-sécurité de l'EP, la sensibilisation des acteurs (chercheurs comme élèves) reste une priorité. Une politique de confidentialité des informations plus claire et un environnement numérique plus homogène constituent ainsi une preuve d'avancement en maturité cyber de l'établissement.
- page 5678
Page mise à jour le