« La Confédération prolonge les tests de Microsoft 365 ». La Chancellerie fédérale suisse diffusait, la semaine dernière, un communiqué ainsi intitulé. Nouvelle échéance : la mi-2024.

Ces expérimentations s’inscrivent dans le projet CEBA (Cloud Enabling Büroautomation, traduit en français par « Bureautique permettant l’accès au nuage »). Celui-ci vise à créer les prérequis techniques, juridiques et organisationnels à l’usage de solutions bureautiques en cloud public et hybride dans l’administration.

Brique centrale de la démarche, l’environnement de test Microsoft 365 est en place depuis décembre 2020. En toile de fond, l’ouverture, à l’été 2019, de datacenters Microsoft dans les régions de Genève et de Zurich.

Microsoft 365 face à la protection des données

Le projet CEBA est l’une des composantes de la stratégie cloud de l’administration fédérale. Entrée en vigueur le 1er janvier 2021, elle a succédé à un premier volet ayant couvert la période 2012-2020. Le schéma ci-dessous illustre le modèle cible à l’horizon 2025.

« L’utilisation sûre, efficace et ordonnée de nuages publics sera possible dès 2022 », pose la stratégie. Ce « dans le cadre d’une première étape intermédiaire destinée à couvrir les besoins urgents de la Confédération qui découlent de la transformation numérique ». À la clé, de premiers contrats-cadres pour l’administration.

L’initiative suppose une « introduction progressive du traitement des données dans le cloud public ». La recommandation : commencer au maximum avec des informations classées « interne » ou des données personnelles non sensibles. Et, pour les autres, respecter le cadre juridique. Notamment l’obligation de garder le secret de fonction. Des consignes mises en œuvre dans le cadre du projet CEBA.

« Tout le monde, dans l’administration, veut migrer vers [Microsoft 365], en nous assurant que tout ira bien car les serveurs de l’entreprise sont basés en Suisse. Mais cela exige un examen approfondi », résumait récemment le préposé valaisan à la protection des données (équivalent du DPO au niveau cantonal).

IaaS/PaaS : les GAFAM trustent le marché public

À l’origine, cinq options d’approvisionnement étaient envisagées. Dont un « Swiss Cloud », infrastructure indépendante de droit public. Après étude de faisabilité, il n’a pas été jugé nécessaire. Pas plus qu’un autre mécanisme étudié : l’instauration d’un système fédéral de certification. La Confédération a considéré qu’il existait suffisamment de normes (SCA, STAR, ECSA, TCDP…). Elle évalue plutôt – de longue date – l’opportunité de rejoindre Gaia-X.

La stratégie nationale comporte aussi un volet IaaS/PaaS. Sa principale incarnation : le projet « Public Clouds Confédération ». Qui a consisté en un appel d’offres public pour un marché de cinq ans – sans obligation d’achat pour les administrations. Les gagnants :

– Amazon Web Services EMEA

– IBM Suisse

– Microsoft Suisse

– Oracle Software (Suisse)

– Alibaba.com (Europe)

Retardée en raison d’un recours, la mise en œuvre a démarré en novembre 2021. Dorénavant, on prépare les bases pour l’utilisation, avec le DPO fédéral. « Les applications et les données nécessitant un niveau de protection élevé continueront d’être gérées au moyen d’infrastructures et de plateformes exploitées par la Confédération dans des centres de calcul suisses appartenant à l’administration fédérale », nous précise-t-on.

