Le gouvernement suisse a décidé d’adopter Microsoft 365 comme suite bureautique standard pour l’administration fédérale, dès lors que certaines conditions sont remplies. Le gouvernement de la confédération a stipulé des exigences spécifiques, notamment que la juridiction des données soit établie en Suisse, que les règles et réglementations locales soient respectées et l’assurance qu’aucune tierce partie ne puisse accéder aux données ou aux logiciels sans y être autorisée.
La migration vers Microsoft 365 débutera au cours du deuxième semestre 2023 et devrait se terminer fin 2025. Pendant cette période de transition, les employés du gouvernement fédéral ne sont pas autorisés à enregistrer des données sensibles ou des documents confidentiels sur le cloud de Microsoft. Au lieu de cela, ils continueront de gérer et de stocker leurs e-mails, calendriers et documents dans les centres de données du gouvernement.
Des solutions alternatives à Microsoft 365 sont également à l’étude, afin de garantir une stratégie de sortie visant à réduire la dépendance du gouvernement au logiciel américain et à maintenir sa souveraineté numérique, sur le moyen et le long terme.
Quelles sont les conditions du gouvernement suisse ?
Le gouvernement fédéral a émis les exigences clés suivantes pour adopter Microsoft 365 :
- Juridiction des données : les données doivent être hébergées en Suisse, dans l’Union européenne (UE) ou dans l’Espace économique européen (EEE) et ne doivent pas être traitées ni stockées dans d’autres pays.
- Conformité : le service doit être conforme à la loi suisse sur la protection des données, à la loi fédérale suisse sur la protection des données (LPD), à l’ordonnance suisse sur la protection contre les cyber-risques et au règlement général sur la protection des données (RGPD) de l’UE.
- Accès restreint pour les tiers : le transfert de données à des tierces parties nécessite obligatoirement un accord préalable. Toute transmission de données aux forces de l’ordre américaines ne peut avoir lieu qu’en cas de crime et en redirigeant le représentant de la loi concerné vers le gouvernement suisse.
- Mesures techniques : outils de chiffrement en place, surveillance continue des processus et des incidents de sécurité, contrôles de conformité et garanties contractuelles.
Le cloud public est-il une option valable pour le secteur privé et les petites entreprises ?
Le secteur privé – les petites entreprises en particulier – n’a généralement pas les mêmes préoccupations ou des exigences aussi rigoureuses que le gouvernement fédéral. Et pour ce type d’entité, le cloud public est généralement considéré comme une solution viable et rentable.
Toutefois, il est conseillé aux entreprises privées suisses opérant au sein d’industries qui stockent et traitent des informations très sensibles et confidentielles, telles que les services financiers et juridiques, le secteur de la santé et de la fabrication industrielle, d’utiliser des solutions de cloud privé sur site ou infogérées.
Mise en garde
Microsoft Corp. contre États-Unis est une affaire juridique au cours de laquelle le gouvernement américain a demandé à accéder à un compte de messagerie stocké sur les serveurs de Microsoft en Irlande, dans le cadre d’une enquête de trafic de drogues. Microsoft a répondu favorablement à cette requête concernant des données stockées aux États-Unis, mais a refusé de fournir les données stockées sur des serveurs situés en dehors des États-Unis. L’affaire est allée devant les tribunaux. Le gouvernement américain a soutenu que le mandat avait une portée extraterritoriale, et Microsoft a affirmé que ce n’était pas le cas. Après plusieurs procédures d’appel, l’affaire a été réglée en 2019 suite à l’adoption du CLOUD Act (Clarifying Lawful Overseas Use of Data Act) précisant que les mandats américains ont une portée extraterritoriale. Ce procès a eu des conséquences importantes sur la confidentialité des données et sur le rayonnement des forces de l’ordre américaines en dehors des États-Unis.
Une alternative au cloud privé
Lorsque l’on utilise des services de cloud public, il peut s’avérer difficile de contrôler la manière dont les ressources sont partagées ou les données sont déplacées. Grâce à un modèle de cloud privé infogéré, les entreprises peuvent bénéficier d’un espace d’hébergement sécurisé et isolé dans la juridiction de leur choix. La gestion d’une infrastructure de cloud privé est généralement confiée à un fournisseur tiers fiable, qui offre divers services tels que le provisionnement, la surveillance et la maintenance des logiciels et du matériel sous-jacent.
En Suisse, un pays qui est reconnu pour maintenir une position ferme lorsqu’il s’agit de confidentialité, il existe de nombreux fournisseurs locaux offrant des solutions de cloud privé infogéré. De nombreuses entreprises qui traitent des données sensibles et hautement confidentielles préfèrent adopter un modèle d’hébergement en Suisse, géré par des sociétés informatiques suisses, explicitement soumises à la législation suisse.
