Lexipedia

21.4163 · Interpellation · 2021-09-30

Chancellerie fédérale

Liquidé

Wortlaut

Il a été annoncé récemment qu'Amazon, IBM, Oracle, Microsoft et Alibaba ont remporté l'appel d'offres OMC (20007) 608 Public Clouds Confédération.Le projet agile CEBA (Project Cloud Enabling BA) est également associé au nuage de Microsoft. Ce projet vise une future utilisation des services Office dans un nuage informatique.Dans ce contexte, le Conseil fédéral est prié de répondre aux questions suivantes.1. L'application partage-t-elle des données télémétriques ou des données spécifiques à l'utilisateur avec Microsoft ? Si oui, lesquelles ?2. Les collaborateurs devront également formuler des appels d'offres sur le nuage M365. Est-il garanti qu'aucune métadonnée ne sera divulguée à Microsoft ?3. Est-il garanti que les serveurs seront disponibles à tout moment ?4. Office 365 reconnaît-il automatiquement les documents confidentiels ou secrets ? Si c'est le cas, un algorithme analyse-t-il en arrière-plan le contenu de tous les documents ? où ces contenus sont-ils traités ?5. Le Conseil fédéral a-t-il envisagé de mettre en place une infrastructure en nuage autonome pour la Suisse ?

Stellungnahme des Bundesrates

1. Microsoft poursuit une stratégie Cloud first qui donne la priorité aux services en nuage, et la société a annoncé qu'elle ne proposerait plus ses applications que sous forme de solutions nuagiques. Cela soulève des questions fondamentales pour l'administration fédérale qui utilise des logiciels Microsoft. Afin de se pencher sur cette question le plus tôt possible, celle-ci a lancé le projet de bureautique Cloud Enabling Büroautomation (CEBA). Le projet CEBA prépare le déploiement et teste la possibilité d'utiliser Microsoft 365 (M365), que Microsoft propose sous forme de logiciel en tant que service (software as a service, SaaS). L'objectif de ce projet est de vérifier que toute utilisation future des services en nuage de Microsoft sera conforme à la stratégie en nuage de l'administration fédérale et qu'elle répondra notamment aux exigences de protection des données et des informations. À cet effet, les bases légales sont en cours d'analyse, un plan de protections des données et de sécurité de l'information est élaboré et une analyse des risques réalisée.La phase de conception du projet CEBA n'est pas encore terminée. Le Conseil fédéral ne peut donc pas encore se prononcer définitivement sur la question de savoir si des données seront effectivement enregistrées sur un nuage public de Microsoft et de quelles données il pourrait s'agir. Mais on sait déjà qu'en général, les comptes des utilisateurs doivent être enregistrés dans le nuage public pour pouvoir utiliser les logiciels. Il s'agit normalement de données télémétriques et de données spécifiques aux utilisateurs qui sont liées aux comptes utilisateurs et à l'utilisation des applications et services M365 (par ex. nom d'utilisateur, nom, prénom, adresse électronique et données de connexion, comme date, utilisateur, adresse IP et emplacement). Lorsque des documents sont enregistrés dans Microsoft Teams, les métadonnées des utilisateurs sont enregistrées en même temps.Dans la phase de conception de CEBA, une infrastructure fédérale a été mise en place sur une plateforme de test spécifique, CEBA agil. Elle permet au personnel de l'administration fédérale d'utiliser Microsoft Teams et de découvrir le travail avec les produits en nuage de Microsoft. Des données personnelles non sensibles sont alors stockées sur le nuage, et en particulier le nom et l'adresse électronique des personnes qui participent au test. Les utilisateurs ont l'interdiction de stocker sur la plateforme de test des données personnelles sensibles, des documents confidentiels ou des données soumises au secret de fonction.2. Le projet CEBA a aussi pour but de contrôler des mécanismes techniques et de chiffrement qui garantiront le traitement sûr des données sensibles (parmi lesquelles des informations sur les acquisitions) sur des nuages externes. Les résultats ne sont pas encore disponibles.3. La disponibilité de M365 comme solution de logiciel en tant que service est réglée contractuellement. Dans le cadre du projet CEBA, la Confédération étudie de plus la possibilité pour l'administration fédérale de faire une copie de sauvegarde (backup) des données enregistrées dans M365. Des scénarios pour garantir la gestion de la continuité des affaires sont également élaborés.4. Les applications M365 ne savent reconnaître des documents classifiés que si l'utilisateur a saisi les informations pertinentes. Des mesures de protection (par ex. par chiffrement) pour les données classifiées et les données personnelles font l'objet d'analyses durant la phase de conception. Ce n'est qu'après cette phase que la décision sera prise de mettre M365 en utilisation productive. Il n'a pas encore été décidé non plus si la plateforme pourra être utilisée pour traiter des informations classifiées CONFIDENTIEL. Les informations classifiées SECRET sont quant à elles exclues du traitement dans un nuage public. L'accès de Microsoft aux données de clients dans le nuage de logiciel en tant que service est régi par les dispositions contractuelles et légales applicables dans chaque cas spécifique et, le cas échéant, par des mesures techniques.5. Le Conseil fédéral a étudié la mise en place d'un nuage informatique suisse, le Swiss Cloud. Il est arrivé à la conclusion que la nécessité d'un Swiss Cloud sous la forme d'une infrastructure technologique indépendante de droit public n'était pas démontrée (voir communiqué du 11 décembre 2020).