MINISTÈRE DE LA DÉFENSE ET MICROSOFT

Description du document

Ce document peut être considéré comme exemplaire car, outre son profond ancrage dans les actualités récentes (espionnage par le gouvernement américain des activités politiques et économiques en Europe), il a, aussi, l'avantage d'exposer très clairement les enjeux qui opposent les décideurs, les pressions qui s'exercent sur eux, lorsqu'il s'agit de faire un choix entre logiciels privateurs et libres.

Les décisions sont, au final, un compromis entre interopérabilité des systèmes, addiction des utilisateurs aux systèmes, négociations tendues entre éditeurs de logiciels privateurs et gouvernements ou entreprises... tous s'alignant sous la coupe du plus fort... en l'occurrence, Microsoft et l'OTAN.

Les usagers finaux n'ont, en bout de parcours, aucun avis à donner; les experts, bien qu'avisés pour émettre des objections stratégiques, techniques et commerciales réalistes, ainsi qu'ils le font dans ce texte, tout en restant, logiquement, ancrés dans des positions strictement nationalistes et militaires, n'ont pas, pour autant, gain de cause auprès des politiques qui, nous pouvons le constater par la confrontation des dires et des faits, entérinent des décisions finales suffisamment lourdes de conséquences à long terme pour que, plusieurs années plus loin, soient déballés les scénarios qui font, actuellement, la une des média et que, ces mêmes politiques continuent de faire comme si de rien n'était.

• (voir le second texte, Renouvellement du contrat cadre avec la société Microsoft, en date d'avril 2013).

Ce document intitulé Analyse de la valeur du projet de contrat-cadre entre le ministère de la défense et la société Microsoft est le rapport final, en date du 15 février 2008, du groupe de travail chargé de réaliser une analyse du contrat cadre Microsoft Environnement Direct comprenant le système d'exploitation, le navigateur, le client de messagerie et la suite bureautique, c'est à dire un contrat commercial d'achat de licences Microsoft en volume à usage des armées françaises, lesquelles sont liées, par divers accords gouvernementaux et internationaux, aux armées américaines... d'où la nécessité de prendre en considération prioritaire, l'interopérabilité entre les postes de travail et la sécurisation optimale du réseau.

Le plus grand dénominateur commun étant le système Windows, il paraît donc inconcevable d'en passer par d'autres systèmes d'exploitation. Toutefois, la question se pose de la pertinence de ce choix qui, non seulement entraîne une allégeance quasi totale (affaiblissement de la gouvernance) mais aussi l'acceptation d'en passer, nécessairement, par les contrôles de la NSA (National Security Agency) sur des fichiers systèmes clés de Windows (risques de sécurité et de maîtrise) dont les codes contiennent des portes dérobées ou backdoors non modifiables puisque ces codes sont fermés et privateurs.
Il en est de même de la gestion financière des divers logiciels liés à Windows qui est totalement entre les mains des politiques commerciales complexes et non pérennes de la société éditrice, Microsoft (risques financiers).
Ces choix doivent également prendre en compte les risques juridiques liés aux textes même des licences mais aussi aux décisions de la Commission Européenne qui ne cesse de faire pression sur la société Microsoft régulièrement prise en flagrant délit d'abus de position dominante.
Les décideurs doivent également prendre en compte les effets secondaires de leurs décisions: par leur position privilégiée dans la pyramide des prescripteurs, ils entraînent, par leurs choix, un cautionnement et une valorisation des technologies Microsoft qui est préjudiciable aux techniques et au savoir faire de sociétés européennes... toutes choses que les média d'affaires n'oublient jamais de relever, sans oublier qu'un tel choix est également une sorte de camouflet adressé aux défenseurs du logiciels libres à qui les politiques ont fait diverses promesses (Risques relatifs à la culture et à la communication).

Les extraits, lourdement chargés en jargons administratif et technique, sont succinctement documentés, soit par des liens plus explicites, soit par développement des multiples acronymes utilisés.

• Le texte intégral en a été publié sur scribd.com le 20 avril 2013.

• Droits d'auteur : Attribution Non-commercial © Copyright 2013 Scribd Inc.

Extraits du document

Le comité de pilotage (COPIL) du projet de contrat cadre Microsoft, présidé par l'IGA Alain Dunaud, directeur adjoint de la DGSIC, a mandaté la sous-direction architecture et ingénierie de la DGSIC pour animer un groupe de travail composé de représentants de l'EMA, du SGA, de la DGA, de la DIRISI et de la DGSIC et chargé de réaliser une analyse de la valeur du projet de contrat cadre Microsoft.

Après avoir défini l'unité de mesure des risques en terme de gravité et de probabilité, le groupe de travail a identifié vingt quatre risques qu'il a classé en sept catégories. Le groupe a été scindé en deux sous-groupes indépendants qui ont chacun de leur côté positionné les risques sur une matrice sous forme de post-it. Les deux sous-groupes ont ensuite rapproché leurs travaux et un dialogue s'est engagé lorsqu'il y a avait des écarts. Le groupe s'est entendu sur un positionnement unique des risques.

• IGA Inspecteur Général de l'Administration
• DGSIC: Direction Générale des Systèmes d'Information et de Communication
• EMA: Etat Major des Armées
• SGA: Secrétariat Général pour l'Administration
• DGA: Direction Générale de l'Armement
• DIRISI: Direction Interarmées des Réseaux d'Infrastructure et des Systèmes d'Information

• Alain Dunaud (lien externe) Ingénieur en chef de l'armement, architecte du système de forces Préparation et maintien de la capacité opérationnelle; Direction des systèmes de forces et de la prospective (DGA)
• Décret du 23 novembre 2006: nomination de Alain Dunaud (lien externe)

Risques financiers

Coût du renouvellement du contrat à technologie identique

A l'issue du contrat avec la société Microsoft, une grande partie des SIC du ministère reposera sur des produits Microsoft dont le coût de renouvellement reste inconnu. Le prix à payer après le marché pour les produits Microsoft déployés dépendra de négociations futures dans lesquelles l'éditeur Microsoft sera en position de force.

Coût de sortie de la technologie

Afin de rester maître des ses SIC (Systèmes d'information et de communication), le ministère doit pouvoir changer de fournisseur et de produits à coût raisonnable. Compte tenu de l'intégration très forte des différents produits Microsoft , une évolution partielle ou totale vers d'autres solutions techniques peut s'avérer coûteuse. En effet, les produits Microsoft fonctionnent très bien dans un monde Microsoft mais présentent des écueils avec d'autres éditeurs ou avec le monde libre. Le choix d'un éditeur avec une architecture monolithique s'oppose à des solutions par composants ou briques indépendantes interopérables préconisées par la directive logicielle.

• SIC: Systèmes d'information et de communication

Incapacité à mettre en œuvre le catalogue acheté

Compte tenu de la taille importante du catalogue de produits Microsoft, il est possible que la durée de quatre ans du contrat soit insuffisante pour déployer tous les produits achetés.

MCO

Le contrat proposé par la société Microsoft offre un nombre déterminé de jetons d'unité d'œuvre. Au delà du forfait proposé par Microsoft, l'appel à des unités d'œuvre supplémentaires risque d'être onéreux dans une configuration ou le nombre de produits Microsoft sera en hausse, nécessitant une assistance plus grande.

• MCO: Maintien en condition opérationnelle ou maintenance informatique (sauvegardes, déploiements, configurations des postes de travail)

Construction du budget nécessaire à l'opération

Aujourd'hui, les produits Microsoft sont utilisés par les SIAG, les SIOC et les SIS. Leurs achats sont financés par plusieurs BOP à travers plusieurs marchés. La passation d'un contrat unique par le ministère demande que tous les BOP intéressés abondent le marché unique pour un montant global de 20 M€ sur quatre ans. La construction budgétaire peut être complexe à mettre en œuvre.

• SIAG: Systèmes d'Information, d'Administration et de Gestion
• SIOC: Strategic Information and Operations Center
• SIS: Société d'Informatique et Systèmes
• BOP: Budget Opérationnel de Programme

Incompatibilité avec d'autres projets ministériels ou interministériels

Certains projets ministériels ou interministériels sont peu compatibles avec une extension des produits Microsoft au sein du ministère. L'initiative technique n°11 (Référentiel général d'interopérabilité) piloté par la DGME oriente le choix des administrations vers des produits du monde libre, respectueux des normes et standards ouverts, en matière de bureautique et de système d'exploitation. Le marché GAIA 4 permet de mettre en œuvre la politique d'hétérogénéité maîtrisée décidée par le ministère.

• RGI (lien Wikipédia) Ce référentiel général d'interopérabilité "établit des règles relatives aux normes et standards techniques, aux modèles de données, aux nomenclatures, aux bases de données référentes, aux exigences fonctionnelles ou ergonomiques relatives aux services, aux politiques de mise en œuvre de systèmes".
• DGME: Direction Générale de la Modernisation de l'État
• GAIA: Groupement d'Achats Inter Armées : Air, DGA, EMA, Gendarmerie, Marine, Services Communs, SGA et EPA

Non renouvellement du contrat au bout de 4 ans

La fin du contrat intervient au bout de quatre ans. Une fois la migration effectuée vers l'ensemble des produits de l'éditeur Microsoft, la dépendance du ministère de la défense sera telle que celui-ci sera en position de monopole confirmée. Le ministère sera à la merci de la politique tarifaire du moment. Dans le cas où le contrat ne serait pas renouvelé, il faudra s'acquitter pour l'ensemble des licences utilisées d'un droit de sortie équivalent à 1,5 année de contrat et acheter les licences complémentaires au prix « fort » de type contrat sélect D (contrat en vigueur actuellement).

• contrat sélect D (lien Microsoft)

• 1 oct. 2013 - La Liste des Produits Microsoft (lien externe Microsoft Licences en volume, document format docx).
• Ouvrir un document au format docx avec Libreoffice, Openoffice

Risques juridiques

Juridique européen

Dans le cadre du traité de Nice, la commission européenne est chargée de lutter contre l'abus de position dominante. La société Microsoft a été sanctionnée par la commission européenne pour abus de position dominante, notamment à cause de l'intégration très forte des produits Microsoft et de la très grande difficulté à les rendre interopérables avec les autres produits du marché. Les risques de nouvelles sanctions européennes contre Microsoft sont réels. Le commissaire européen en charge de la libre concurrence estime que Microsoft couvre 95% des systèmes d'exploitation pour les PC et 80% pour les serveurs. La commission surveille particulièrement l'éditeur pour son format vidéo propriétaire WMV (Windows Media Video). Deux enquêtes pour abus de position dominante sont en cours. L'une concerne le navigateur internet explorer. L'autre s'intéresse à la suite bureautique Office 2007 pour son format propriétaire OpenXML et pour les composants connexes comme Outlook et .Net.

• Rappel : la rédaction de ce texte date de 2008; ci-dessous, liens et résumés de la situation actuelle entre CE et Microsoft

• 2004, Windows Media Video : mesures correctives couplées d'une amende de 497,2 millions d'euro.(sources : fondation Robert Schuman).
• 2006, demandes de fournir des informations sur les interfaces de Windows non abouties : amende de 280,5 millions d'euros (sources: 01.net)
• 2008, nouvelle amende de 899 millions d'euros (sources: 01.net)
• 2013, pour application partielle de l'obligation de laisser un choix de navigateurs aux utilisateurs : amende de 561 millions d'euros (sources: l'Expension, l'Express)
• Office Open XML (lien Wikipédia)

Juridique US

Dans le cadre de la loi anti-trust, le juge américain peut ordonner le démantèlement d'une entreprise qui se trouve en situation de monopole sur un marché. Microsoft entre dans le périmètre des sociétés susceptibles d'être concernées à cause de sa position dominante pour les systèmes d'exploitation, les jeux, les bases de données, les PGI, les terminaux mobiles et les terminaux musicaux, les consoles de jeux et le domaine de la téléphonie sur IP (offre live communication serveur). En cas de démantèlement, précédemment évoqué sous présidence démocrate, le risque pour le ministère est une moins bonne intégration des produits et un coût supérieur.

• PGI: Progiciel de gestion intégré: logiciels de gestion de production, gestion commerciale, logistique, ressources humaines, comptabilité, contrôle de gestion.

Juridique français

Le choix d'un marché négocié ouvrant tout le catalogue des produits Microsoft, ainsi que les prestations de formation, d'expertise, de veille technologique et d'architecture écarte de facto les différents concurrents sur plusieurs marchés. Une telle action est contraire à l'esprit et à la lettre des marchés publics qui met en avant l'égalité et l'équité de traitement des différents industriels dans la fourniture de services et de matériels aux administrations.

Lois extra-territoriale des USA

Deux lois américaines (loi Helms-Burton et loi d'Amato) interdisent l'exportation par des sociétés américaines ou non américaines vers les états désignés comme voyous par l'administration américaine. Si ses lois d'application extra territoriales sont illégales en droit international, elles permettent au gouvernement américain d'interdire à toute entreprise américaine, dont Microsoft, d'approvisionner ou de soutenir ses clients étrangers. La France, membre de l'Union Européenne, est susceptible de mener des missions dites de Petersberg sans préjuger de l'endroit où elle déploiera ses systèmes.

• La loi Helms-Burton (lien wikipédia) ou Cuban Liberty and Democratic Solidarity (Libertad) Act est une loi fédérale américaine (1996) renforçant l'embargo contre Cuba.
• D'Amato-Kennedy Act (lien Wikipédia) Loi sanctionnant les états voyous (1996).
• Missions de Petersberg (lien Glossaire Europa) Ces missions ont été instituées par la déclaration de Petersberg adoptée à l'issue du conseil ministériel de l'UEO (Union de l'Europe occidentale) de juin 1992. Aux termes de cette déclaration, les États membres de l'UEO (ou WEU: Western European Union) décident de mettre à la disposition de l'UEO mais également de l'OTAN et de l'Union, des unités militaires provenant de tout l'éventail de leurs forces conventionnelles.
• Union de l'Europe occidentale (lien Wikipédia)

Risques liés à la maîtrise

Adhérence à des formats et architectures propriétaires

La mise en œuvre généralisée d'une architecture SIC qui s'appuie sur une architecture propriétaire et des formats propriétaires limite fortement la politique du ministère en matière d'hétérogénéité maîtrisée de l'architecture des SIC.

Perte de souveraineté nationale

L'ensemble des produits américains doivent obtenir l'aval de la NSA pour être exporté. La NSA introduit systématiquement des portes dérobées ou « backdoors » dans les produits logiciels. Un système SIC reposant majoritairement sur des produits américains comme Microsoft serait vulnérable car susceptible d'être victime d'une intrusion de la NSA dans sa totalité.

• National Security Agency (lien Wikipédia)
• NsaKey (lien Wikipédia)
• Advapi.dll (lien Wikipédia)
• Résumé succinct; lecture technique simple (lien externe)
• Local Security Authority Subsystem Service (lien Wikipédia)
• erreur Lsass.exe - Point d'entrée introuvable (lien Microsoft).

• Si l'on parle aujourd'hui beaucoup de cette DLL, il ne faut pas perdre de vue que depuis que Windows existe, advapi.dll y est présente; composant essentiel du système, elle est en liaison avec l'exécutable Lsass, le service d'authentification utilisateurs.

Non-maîtrise de l'informatique noire

L'informatique noire couvre l'utilisation de logiciel pour un usage non prévu. Par exemple la mise en œuvre d'une base Access alors qu'une application ministérielle couvre le besoin. La mise en œuvre d'un pouvoir adjudicateur unique au sein du ministère limite fortement ce risque.

Affaiblissement de la gouvernance

La généralisation des produits Microsoft risque de limiter l'autonomie du ministère en matière de gouvernance. Des choix seront soumis aux possibilités et au bon vouloir de l'éditeur Microsoft. Un partage de la gouvernance peut apparaître entre l'éditeur et le ministère.

Risques relatifs à la sécurité

Vulnérabilité de l'approche mono-produit

1. La mise en œuvre d'un seul produit présente nativement plus de risque en terme de sécurité et de failles techniques. La correction des failles techniques dépend exclusivement de l'éditeur Microsoft.

2. Backdoors ou blocage : la politique d'exportation US impose un accord de la NSA.
La mise en œuvre de la quasi totalité des produits Microsoft rend le ministère vulnérable car le maintien de notre système serait entièrement dépendant de la bonne volonté du seul État américain. Or le gouvernement américain a déjà utilisé cette arme par exemple pour les technologies liées au systèmes de positionnement de satellites vis à vis de la Chine ou encore pour les produit de PGP qui utilisent une version internationale et une version nationale.

• Systèmes de positionnement de satellites (lien Wikipédia)
• chiffrement PGP (lien Wikipédia)

3. Blocage produit (boycotte, interdiction de vente, non communication des mise à jour de sécurité)
L'achat de produits étrangers est soumis à un risque de blocage ou de boycotte de la part du pays fournisseur sous la pression de la population. Toutefois, ce risque est limité car les USA sont des alliés et la société Microsoft possède des sites dans de nombreux pays.

Risques relatifs à la culture et à la communication

1. Addiction aux technologies Microsoft (ergonomie)
Aujourd'hui, les personnels du ministère sont fortement imprégnés par les technologies Microsoft implémentées sur le poste de travail (système d'exploitation et suite bureautique). La généralisation de tous les produits Microsoft à l'ensemble du SIC entraînera une accoutumance de l'ensemble du personnel aux seuls produits Microsoft, renforçant son emprise sur le ministère. En revanche, le coût de formation des personnels en sera réduit.

2. Exploitation médiatique
L'éditeur ne manquera pas d'utiliser la référence Ministère de la défense dans sa politique commerciale. Il sera alors difficile de faire comprendre que le ministère poursuit une politique de mise en concurrence entre les logiciels propriétaires et les logiciels libres à l'instar de ce que préconise la décision n°58 du rapport pour la libération de la croissance.

Risque relatifs à la performance

1. L'implémentation des standards et des technologies futures sera laissée à l'éditeur qui choisira de les mettre ou non en œuvre.

2. Le risque d'hétérogénéité est d'autant plus fort qu'il n'existe pas de contrat. La mise en œuvre d'un marché unique avec Microsoft pour le ministère permettra en effet d'homogénéiser le parc des logiciels de l'éditeur. Par exemple, une seule et même version du système d'exploitation et de la bureautique pourront être déployé au sein du ministère par l'opérateur DIRISI.

3. Le déploiement des produits Microsoft proposé pour un marché de quatre ans n'est pas forcément réalisable avec le parc matériel existant dont la durée de vie est de cinq ans. La généralisation du système d'exploitation Vista est incompatible avec la majorité du parc matériel existant. En effet, le nouveau système d'exploitation de Microsoft demande des ressources processeurs et mémoires dont la plupart des PC du ministère est dépourvue.

Risques relatifs à la société

Affaiblissement de l'industrie française et européenne du logiciel car la contractualisation avec Microsoft engendre un effet prescripteur.

Texte complémentaire

Ce texte en date du 25 avril 2013 définit les orientations d'un nouvel accord-cadre entre Microsoft et le ministère de la défense.

Le premier contrat cadre du ministère de la défense avec la société Microsoft a pris fin le 22 décembre 2012. Le marché subséquent associé arrivant à terme en mai 2013, la DIRISI a été mandatée en février 2012 par le comité des achats du ministère de la défense pour négocier avec la société Microsoft un nouvel accord-cadre. Comme le contrat actuel, celui en négociation a vocation à centraliser et rationaliser les acquisitions de produits logiciels Microsoft et du support associé. Il concerne la totalité des systèmes d'information du ministère.

Le choix de solutions Microsoft répond à des contraintes opérationnelles, de rationalisation et de transformation des systèmes d'information du ministère. Il ne conduit ni à une dépendance vis-à-vis de cet éditeur, ni à un déploiement exclusif de ces solutions.
Les contraintes opérationnelles et d'interopérabilité avec nos alliés imposent des choix Microsoft. En effet, dans le cas d'un engagement opérationnel interarmées et multinational, l'interopérabilité des systèmes d'information est primordiale. La France doit pouvoir assurer la conduite d'opérations interalliées et donc inter-opérer avec les systèmes de l'OTAN ou alliés. Or, l'OTAN a fait le choix des solutions Microsoft pour ses postes de travail, pour ses systèmes bureautiques et collaboratifs et pour ses applications majeures. Par ailleurs il est demandé, dans un souci d'interopérabilité et d'économie, d'utiliser les applications de l'OTAN dès lors que celles-ci couvrent le besoin opérationnel national. C'est pourquoi, les nouveaux SIOC français sont développés et sont en cours de déploiement sur des technologie Microsoft.

• Extraits de Renouvellement du contrat cadre avec la société Microsoft (lien externe) © Copyright 2013 Scribd Inc.

En savoir plus

• Bureautique et logiciels libres