Qui est auditionné
Table ronde des directions des systèmes d'information de quatre grands organismes publics de recherche, sous serment, présidée par la vice-présidente de la commission Sophie-Laurence Roy (la rapporteure Cyrielle Chatelain menant l'essentiel du questionnement) : Inserm (Damien Rousset, DG délégué à l'administration ; Sammy Sahnoune, DSI), Inrae (Louis-Augustin Julien, DG délégué ressources ; Jean-Michel Vansteene, DSI), CEA (Baptiste Grigy, DSI civil) et CNRS (Marie-Pierre Fontanel, DSI). L'angle est concret et opérationnel : des praticiens qui gèrent au quotidien des SI de dizaines de milliers d'agents (34 000 au CNRS, 120 000 utilisateurs, 22 000 au CEA) et arbitrent chaque jour entre sécurité, souveraineté et coûts.
La substance
Thèse commune et structurante : il faut distinguer sécurité technique et souveraineté. La sécurité (protection contre les cyberattaques) reste le premier impératif — « les fuites de données résultent avant tout de cyberattaques » — et a conduit dès 2018 à choisir des solutions propriétaires, souvent américaines, « les seules à l'état de l'art ». La souveraineté a été greffée ensuite, principalement sur la donnée : hébergement systématique en France/Europe, on-premise ou clouds régionaux labellisés et SecNumCloud. L'Inserm double « presque la facture » pour héberger Exchange en France plutôt que sur Azure ; le CEA est à « 99 % on-premise ».
Le point de vulnérabilité résiduel n'est donc pas la donnée mais le logiciel et le matériel, restés massivement propriétaires. Grigy (CEA) dresse une typologie en trois risques : « un risque de fuite de données », « un risque de chantage commercial » et « un risque d'arrêt de service ». Les chiffres livrés sous serment documentent le verrouillage économique : CNRS 2,5 M€/an SharePoint + 3 M€ messagerie (ramenée à 600 000 € via Renater/Zimbra) ; CEA 6 M€/an Microsoft avec « une augmentation… de l'ordre de 20 % sur trois ans » et clause de non-communication ; vente liée de Teams « que nous n'avons jamais déployé mais que nous étions obligés de payer ». Sur VMware/Broadcom, l'Inserm rapporte une hausse « de 50 % ou 60 %… du jour au lendemain » et une migration chiffrée à « 1 000 jours-hommes », trop lourde, donc subie. Fontanel (CNRS) nuance : sortir de SAP après vingt ans est tout aussi impossible — « le verrouillage n'est pas lié qu'aux constructeurs américains ».
Trois autres apports factuels : l'IA souveraine (chaque organisme déploie un agent conversationnel interne sur LLM ouverts — Mistral au CNRS et au CEA, modèles libres sur cloud propre à l'Inserm/Inrae — pour endiguer le « shadow AI », l'objectif du PDG du CNRS étant « que les agents… n'utilisent plus ChatGPT ») ; les outils Dinum massivement adoptés (Visio, Tchap, Grist, FranceConnect), gratuits et souverains ; et le matériel (marchés Matinfo/Ugap) dont « la quasi-totalité des titulaires… sont étrangers », sans « alternative souveraine ».
Les enjeux et confrontations
La rapporteure Chatelain conduit un interrogatoire serré et nomme les concepts : elle qualifie les pratiques Microsoft de « stratégies de verrouillage (lock-in) », relie les tarifs « éducation » à l'accoutumance précoce (« plus on habitue les gens tôt, plus le verrouillage est fort ») et introduit le kill switch — « le fournisseur peut nous priver de l'accès à une mise à jour ». Les DSI corroborent (Windows 11 a forcé le renouvellement d'« un quart » du parc du CEA). Sur l'IA, elle confronte directement Fontanel aux articles de presse mettant en cause la sécurité du déploiement Mistral au CNRS ; celle-ci récuse fermement : « Il ne faut pas croire tout ce que disent les journaux… l'article… a été démonté point par point ».
Le vrai clivage vient du député écologiste Nicolas Bonnet (EcoS), militant pro-libre, qui pousse à une migration globale vers Linux et présente les freins comme relevant de l'habitude, non d'un obstacle réel. Les DSI résistent poliment mais fermement : intégration, ergonomie, identités toujours gérées par Microsoft, applications inexistantes sous Linux, support d'intégrateurs « parfois américains » (Red Hat) qui rouvre la question de la souveraineté du libre lui-même. Sahnoune tranche l'échange sur la confiance : « on ne fait pas non plus ce que l'on veut » avec un support Red Hat.
Ce que l'audition apporte au dossier
Une vue de terrain, chiffrée et sous serment, du coût réel de la dépendance et de son inertie (« cela se compte en années »). Elle enrichit le dossier de plusieurs angles peu couverts : la nuance selon laquelle « ce qui nous préoccupe… c'est moins la nationalité… que… une logique de profit » (Rousset) ; le coût humain de la souveraineté mal accompagnée (le portage SAP/ESR à l'Inserm a provoqué « une augmentation des risques psychosociaux » et une alerte santé-sécurité) ; la fragilité de la souveraineté par un acteur unique — « Qui nous dit que demain, Mistral ne se fera pas racheter par des Américains ? » — doublée du dilemme géopolitique de repli chinois. La doctrine défendue est explicite : approche hybride (pas de dogme du tout-libre), souveraineté pensée à l'échelle européenne car « la commande publique… ne suffit pas », et une Dinum à qui il faut donner « les moyens de son ambition ». La présidence conclut sans fard : « les entreprises françaises ne sont manifestement pas au niveau ».