Mme Joëlle Garriaud-Maylam interroge Mme la ministre des armées sur les modalités de reconduction du contrat liant son ministère à Microsoft.
Ayant lu dans la presse que le contrat « open bar Microsoft-défense » devait être renouvelé fin mai pour la période 2017-2021, elle souhaiterait savoir si tel a été le cas et, sinon, connaitre le calendrier de la procédure décisionnelle, ainsi que ses modalités. Elle aimerait notamment savoir si un appel d'offre avait été ouvert, rappelant que les deux contrats précédents avaient été signés sans mise en concurrence préalable et dans des conditions de légalité douteuses, comme elle l'avait dénoncé dans sa question écrite n° 24267 du 8 décembre 2016 (p. 5263, réponse publiée le 26 janvier 2017, p. 295). Elle demande que soit rendu public le montant du contrat envisagé et que soit justifiée la très forte augmentation des coûts depuis le contrat initial de 2009. Elle rappelle que le délit de favoritisme dans la passation de marchés publics relève du droit pénal.
Elle souligne que le « rançongiciel » ayant fait des ravages en mai ne s'attaquait qu'aux ordinateurs fonctionnant sous certaines versions de windows et s'inquiète donc de la vulnérabilité que le recours unique à ce système d'exploitation fait peser sur notre défense nationale. Elle souligne que l'expérience de la gendarmerie nationale, dont le parc informatique a migré sous ubuntu, démontre la faisabilité d'un passage au logiciel libre. Le risque de perte de souveraineté, qu'elle avait déjà souligné dans sa question écrite n° 10694 du 27 février 2014 (p. 510, réponse publiée le 24 avril 2014 p. 985), n'a rien perdu de son acuité. Si le risque ne se limite pas aux produits de l'éditeur américain, il est accru par sa position monopolistique, et son modèle fermé crée de fait une dépendance à son égard en ce qui concerne les mises à jours de sécurité.
Elle rappelle que lors du vote de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique avait été adopté un amendement encourageant le recours au logiciel libre par les administrations.
Elle s'interroge enfin sur l'acceptation tacite de la stratégie d'évitement fiscal que symbolise la signature du contrat avec Microsoft Irlande et estime que dans un souci de moralisation de la vie publique et de lutte contre l'évasion fiscale, il serait bon que cette dimension soit intégrée à la réflexion du ministère.
Comme il a déjà été indiqué à l'honorable parlementaire, le ministère des armées a fait le choix de signer, en 2009, le premier accord-cadre, de gré à gré, avec la société Microsoft Irlande qui dispose de l'exclusivité de la distribution des licences Microsoft en Europe. Cette solution a permis de soutenir une partie du parc Microsoft déjà déployé au sein du ministère au moyen d'un support contractuel désormais unique, induisant d'importantes économies, ainsi que la mise en place d'une gestion centralisée, avec un nombre réduit de configurations. En 2013, ce contrat-cadre a été reconduit pour une période de quatre ans, avec une extension, à l'ensemble du ministère, de la démarche initiée en 2009 de maintien en condition des systèmes informatiques exploitant des produits Microsoft. Comme l'a rappelé le ministre dans ses réponses aux questions écrites n° s 10694 et 24267, publiées respectivement au Journal officiel des 24 avril 2014 et 26 janvier 2017, les termes « open bar », qui ont été parfois utilisés afin de qualifier le contrat global Microsoft, ne reflètent aucunement la réalité du fonctionnement de cet accord-cadre. En effet, si le ministère peut ajuster annuellement, durant l'exécution du contrat, la cartographie logicielle en fonction de la configuration réelle détaillée de son système d'information, cette évolution reste circonscrite par les strictes limites du plafond fixé. Dès lors, les coûts sont prévisibles et ajustés au strict besoin dans le cadre d'un pilotage continu de l'exécution du contrat. En tout état de cause, l'avis émis par la commission des marchés publics de l'État (CMPE) n'a remis en cause ni l'objet ni la procédure suivie pour passer l'accord-cadre. L'attestation d'exclusivité fournie par Microsoft a montré que cette société est la seule habilitée à fournir les prestations demandées, dans le cadre d'une offre globale et intégrée. Le ministère des armées regrette donc l'emploi de l'expression « légalité douteuse » à propos des conditions dans lesquelles les contrats considérés ont été conclus. L'accord-cadre et son marché subséquent pour la période 2013-2017 arrivant à échéance en mai 2017, un nouvel accord-cadre ainsi qu'un marché subséquent, négociés de façon globale, ont été notifiés en décembre 2016. Afin de garantir la continuité de fonctionnement du système d'information ministériel, la date du début des prestations a été fixée au 1er juin 2017. Les conditions financières négociées de ce contrat ont été améliorées, entraînant, par rapport à la période précédente, une dépense annuelle inférieure. Au total, ces accords-cadres successifs ont permis au ministère d'acquérir une maîtrise croissante du déploiement, de la maintenance, de la qualité de service et des coûts de la partie de son socle technique commun reposant sur des produits Microsoft. Le ministère a ainsi très largement amélioré la situation par rapport à celle qui prévalait jusqu'en 2008, notamment sur le plan financier. Par ailleurs, il est précisé que le rançongiciel « WannaCry » n'a pas impacté le ministère des armées qui, s'agissant du contrôle des risques en matière de cybersécurité, considère qu'il n'est ni réaliste ni indispensable de construire des systèmes d'information uniquement sur la base de matériels et de logiciels entièrement maîtrisés de façon souveraine. En effet, les mécanismes de sécurité mis en œuvre par le ministère ne reposent pas uniquement sur la confiance dans les logiciels et les matériels, mais s'appuient également, d'une part, sur des choix d'architecture adaptés et des mesures organisationnelles, notamment dans la cyberdéfense, permettant de contenir les risques, d'autre part, sur un investissement ciblé dans des dispositifs qui sont entièrement maîtrisés nationalement (sondes, dispositifs logiciels et matériels de chiffrement…), développés par le ministère et l'agence nationale de la sécurité des systèmes d'information (ANSSI) et choisis en cohérence avec l'architecture retenue. Plus généralement, il peut être observé qu'une forme de dépendance est inévitable dès lors que l'État ne réalise ou ne maintient pas lui-même la totalité des logiciels utilisés et des compétences nécessaires. Dans ce contexte, le ministère est donc très vigilant afin de disposer d'une visibilité pluriannuelle en matière de maîtrise et de prévisibilité des coûts et de qualité du service, concernant tout particulièrement le maintien des conditions de sécurité. Les accords-cadres conclus avec la société Microsoft s'inscrivent dans cette logique, tout en préservant une grande souplesse et en définissant de façon claire et précise les conditions contractuelles de sortie. Enfin, le ministère des armées n'a connaissance d'aucun élément objectif qui conduirait à écarter Microsoft Irlande de l'attribution de marchés publics ou à appliquer à cet opérateur économique européen, en l'état actuel de la réglementation, quelque forme de discrimination que ce soit en la matière. Il convient de préciser que le socle de base du système d'information du ministère ne sera pas refondu avant plusieurs années. Néanmoins, le ministère des armées, conscient des potentialités offertes par le logiciel libre, va réexaminer la possibilité d'y avoir recours à l'avenir, plus largement. Une feuille de route pour le ministère des armées, indiquant à la fois le calendrier et les applications pour lesquelles il serait pertinent de passer au logiciel libre, sera établie courant 2018.
Aucun commentaire n'a encore été formulé sur cette question.