Le gouvernement suisse a décidé d’adopter Microsoft 365 comme suite bureautique standard pour l’administration fédérale, dès lors que certaines conditions sont remplies. Le gouvernement de la confédération a stipulé des exigences spécifiques, notamment que la juridiction des données soit établie en Suisse, que les règles et réglementations locales soient respectées et l’assurance qu’aucune tierce partie ne puisse accéder aux données ou aux logiciels sans y être autorisée.
La migration vers Microsoft 365 débutera au cours du deuxième semestre 2023 et devrait se terminer fin 2025. Pendant cette période de transition, les employés du gouvernement fédéral ne sont pas autorisés à enregistrer des données sensibles ou des documents confidentiels sur le cloud de Microsoft. Au lieu de cela, ils continueront de gérer et de stocker leurs e-mails, calendriers et documents dans les centres de données du gouvernement.
Des solutions alternatives à Microsoft 365 sont également à l’étude, afin de garantir une stratégie de sortie visant à réduire la dépendance du gouvernement au logiciel américain et à maintenir sa souveraineté numérique, sur le moyen et le long terme.
Le gouvernement fédéral a émis les exigences clés suivantes pour adopter Microsoft 365 :
Le secteur privé – les petites entreprises en particulier – n’a généralement pas les mêmes préoccupations ou des exigences aussi rigoureuses que le gouvernement fédéral. Et pour ce type d’entité, le cloud public est généralement considéré comme une solution viable et rentable.
Toutefois, il est conseillé aux entreprises privées suisses opérant au sein d’industries qui stockent et traitent des informations très sensibles et confidentielles, telles que les services financiers et juridiques, le secteur de la santé et de la fabrication industrielle, d’utiliser des solutions de cloud privé sur site ou infogérées.
Mise en garde
Microsoft Corp. contre États-Unis est une affaire juridique au cours de laquelle le gouvernement américain a demandé à accéder à un compte de messagerie stocké sur les serveurs de Microsoft en Irlande, dans le cadre d’une enquête de trafic de drogues. Microsoft a répondu favorablement à cette requête concernant des données stockées aux États-Unis, mais a refusé de fournir les données stockées sur des serveurs situés en dehors des États-Unis. L’affaire est allée devant les tribunaux. Le gouvernement américain a soutenu que le mandat avait une portée extraterritoriale, et Microsoft a affirmé que ce n’était pas le cas. Après plusieurs procédures d’appel, l’affaire a été réglée en 2019 suite à l’adoption du CLOUD Act (Clarifying Lawful Overseas Use of Data Act) précisant que les mandats américains ont une portée extraterritoriale. Ce procès a eu des conséquences importantes sur la confidentialité des données et sur le rayonnement des forces de l’ordre américaines en dehors des États-Unis.
Lorsque l’on utilise des services de cloud public, il peut s’avérer difficile de contrôler la manière dont les ressources sont partagées ou les données sont déplacées. Grâce à un modèle de cloud privé infogéré, les entreprises peuvent bénéficier d’un espace d’hébergement sécurisé et isolé dans la juridiction de leur choix. La gestion d’une infrastructure de cloud privé est généralement confiée à un fournisseur tiers fiable, qui offre divers services tels que le provisionnement, la surveillance et la maintenance des logiciels et du matériel sous-jacent.
En Suisse, un pays qui est reconnu pour maintenir une position ferme lorsqu’il s’agit de confidentialité, il existe de nombreux fournisseurs locaux offrant des solutions de cloud privé infogéré. De nombreuses entreprises qui traitent des données sensibles et hautement confidentielles préfèrent adopter un modèle d’hébergement en Suisse, géré par des sociétés informatiques suisses, explicitement soumises à la législation suisse.