Réponse publiée le 5 août 2025

L'École polytechnique (EP) applique l'ensemble des dispositions de sécurité du ministère des armées, dont la politique de sécurité des systèmes d'information, basée sur une analyse de risques réalisée par l'établissement. Actuellement, l'environnement numérique de travail (ENT) de l'EP présente une hétérogénéité de briques logicielles répondant à une pluralité d'usages. Cette situation nécessite une harmonisation pour renforcer la protection face à deux menaces majeures : la cybercriminalité et le cyberespionnage. Aujourd'hui, constitué d'outils non intégrés et peu utilisés, l'ENT fait l'objet de nombreux contournements par l'utilisation d'outils plus intuitifs mais non sécurisés par les usagers, compromettant la capacité de l'EP à maîtriser son système d'information. L'EP a besoin d'une solution permettant des échanges sécurisés avec les personnels administratifs, professeurs, élèves et homologues de l'Institut polytechnique de Paris, y compris en mobilité, partout en France et dans le monde. En conformité avec la transformation de la doctrine d'utilisation de l'informatique en nuage par l'État, l'EP a cherché à homogénéiser ses solutions logicielles pour simplifier les usages ne nécessitant pas de confidentialité particulière. L'environnement de sécurité du logiciel Microsoft est conforme aux recommandations de l'ANSSI pour les données non sensibles : authentification multi-facteurs, filtres anti-spam maintenus à l'état de l'art, gestion du besoin d'en connaître et détection d'activité malveillante par des fonctionnalités de gouvernance intégrées, journaux de sécurité détaillés et facilement exploitables. Le risque identifié de l'absence de souveraineté des données reste maîtrisé en raison de leur caractère non sensible. Les données de la recherche issues des laboratoires, les plus sensibles, ne sont pas concernées par le déploiement des outils collaboratifs Microsoft ni par une migration vers le cloud Azure. Les 23 laboratoires de l'EP, dont 22 sont des unités mixtes de recherche avec le CNRS, font l'objet d'une attention particulière en matière de lutte contre les ingérences étrangères et le cyberespionnage. Cette vigilance a conduit à la création de plusieurs zones à régime restrictif (ZRR) bénéficiant d'une protection spécifique décrite par l'instruction ministérielle n° 298 du 5 mars 2014 du ministère des armées. Ce corpus réglementaire vise à assurer la sécurité des informations détenues et échangées au sein des ZRR et sur les systèmes d'informations qui y sont déployés. Conformément à la politique de confidentialité des données de l'EP, les données issues des ZRR comportent un marquage spécifique de confidentialité et sont conservées dans des serveurs protégés. Seules les personnes ayant le besoin d'en connaître et ayant fait l'objet d'une enquête administrative peuvent y avoir accès. La conformité de l'ensemble des dispositions réglementaires relatives aux mesures de protection physique et logique fait l'objet de contrôles réguliers menés par la direction générale de l'armement, direction de tutelle de l'EP, et de la direction du renseignement et de la sécurité de la défense, service de contre-ingérence du ministère. Face à ces deux menaces qui pèsent sur la cybersécurité de l'EP, la sensibilisation des acteurs (chercheurs comme élèves) reste une priorité. Une politique de confidentialité des informations plus claire et un environnement numérique plus homogène constituent ainsi une preuve d'avancement en maturité cyber de l'établissement.