Attention, prudence. La Confédération semble redoubler de précaution face à Microsoft et à ses services cloud. Sa crainte principale: que des données sensibles soient envoyées dans ses serveurs, notamment à l’étranger, avec le risque d’une perte de contrôle sur celles-ci.

L’avertissement lancé il y a quelques jours par la Confédération semble très technique. Mais il est fondamental. Berne note que la stratégie de Microsoft est désormais claire, en donnant «la priorité au nuage informatique (cloud first)». Comme le relèvent les autorités, la multinationale américaine a annoncé que bientôt elle ne proposerait ses applications plus que sous forme de solutions en nuage. Office se transforme ainsi en Microsoft 365. Et les clients n’ont pas le choix: tout sera en ligne sur le cloud.

Et cela pose des problèmes majeurs. «Un examen minutieux est nécessaire car le passage aux nouveaux produits Office implique que des données seront enregistrées dans le nuage public de Microsoft», note la Confédération. Résultat: des tests poussés seront effectués jusqu’en 2024 pour évaluer les risques. Il faudra ainsi du temps, beaucoup de temps, pour déterminer ce qui sera faisable ou non. C’est d’autant plus long que les tests, qui avaient débuté en 2020, devaient initialement s’achever cette année. Manifestement, la Confédération doit en savoir plus avant d’avancer.

Cet examen approfondi fait écho à des propos récents de Sébastien Fanti, préposé valaisan à la protection des données. «Tout le monde, dans l’administration, veut migrer vers cette suite logicielle, en nous assurant que tout ira bien car les serveurs de l’entreprise sont basés en Suisse. Mais cela exige un examen approfondi», déclarait-il fin janvier.

Selon plusieurs experts, la Confédération, mais aussi les autorités cantonales et communales, est accro aux solutions de Microsoft, utilisées depuis des années. Les services sont certes de qualité, mais il existe une réelle dépendance face à ces solutions. Il est utile d’examiner les risques induits par le cloud. Mais imagine-t-on les autorités, en 2024, opter pour un autre prestataire si des problèmes devaient alors être constatés?

Chronique précédente: Une lettre recommandée pour avertir d’une faille de sécurité…