Question écrite n° 5346 :
Migration des services informatiques de l'X vers l'offre Microsoft 365

17e Législature

Question de : M. Philippe Latombe
Vendée (1re circonscription) - Les Démocrates

M. Philippe Latombe alerte M. le ministre auprès de la ministre d'État, ministre de l'éducation nationale, de l'enseignement supérieur et de la recherche, chargé de l'enseignement supérieur et de la recherche, sur la migration des services informatiques de l'X vers l'offre Microsoft 365. Alors que l'ENS avait, au dernier moment, en 2021, renoncé à cette solution américaine, afin de ne pas être soumise au Cloud Act et à l'obligation de se soumettre à l'extraterritorialité du droit américain, a contrario, Polytechnique vient d'acter la migration de ses services informatiques, déjà commencée par les messageries des étudiants, vers les serveurs de cette entreprise américaine. Prise par la seule direction, sans véritable concertation, cette décision suscite à juste titre en interne de vives inquiétudes en matière de protection des échanges, des travaux de recherche, en matière de risques de pillage technologique ou de divulgation de données sensibles, comme les partenariats public-privé ou les échanges concernant certains doctorants, chinois par exemple, refusés par l'établissement pour éviter toute tentative d'espionnage. Il semblerait même que la migration concerne les zones à régime restrictif, c'est-à-dire les laboratoires les plus sensibles. M. le député souhaite savoir comment M. le ministre envisage de contraindre la direction de l'X à appliquer les orientations, datant de 2021, de la direction interministérielle du numérique, interdisant le déploiement de Microsoft 365 dans l'administration, ou la règle n° 9 de la circulaire PM dite « cloud au centre » du 5 juillet 2021, actualisée par la circulaire n° 6404/SG du 31 mai 2023, dont les principaux éléments sont désormais intégrés dans la loi à l'article 31 de la loi SREN2 du 24 mai 2024.

Réponse publiée le 5 août 2025

L'École polytechnique (EP) applique l'ensemble des dispositions de sécurité du ministère des armées, dont la politique de sécurité des systèmes d'information, basée sur une analyse de risques réalisée par l'établissement. Actuellement, l'environnement numérique de travail (ENT) de l'EP présente une hétérogénéité de briques logicielles répondant à une pluralité d'usages. Cette situation nécessite une harmonisation pour renforcer la protection face à deux menaces majeures : la cybercriminalité et le cyberespionnage. Aujourd'hui, constitué d'outils non intégrés et peu utilisés, l'ENT fait l'objet de nombreux contournements par l'utilisation d'outils plus intuitifs mais non sécurisés par les usagers, compromettant la capacité de l'EP à maîtriser son système d'information. L'EP a besoin d'une solution permettant des échanges sécurisés avec les personnels administratifs, professeurs, élèves et homologues de l'Institut polytechnique de Paris, y compris en mobilité, partout en France et dans le monde. En conformité avec la transformation de la doctrine d'utilisation de l'informatique en nuage par l'État, l'EP a cherché à homogénéiser ses solutions logicielles pour simplifier les usages ne nécessitant pas de confidentialité particulière. L'environnement de sécurité du logiciel Microsoft est conforme aux recommandations de l'ANSSI pour les données non sensibles : authentification multi-facteurs, filtres anti-spam maintenus à l'état de l'art, gestion du besoin d'en connaître et détection d'activité malveillante par des fonctionnalités de gouvernance intégrées, journaux de sécurité détaillés et facilement exploitables. Le risque identifié de l'absence de souveraineté des données reste maîtrisé en raison de leur caractère non sensible. Les données de la recherche issues des laboratoires, les plus sensibles, ne sont pas concernées par le déploiement des outils collaboratifs Microsoft ni par une migration vers le cloud Azure. Les 23 laboratoires de l'EP, dont 22 sont des unités mixtes de recherche avec le CNRS, font l'objet d'une attention particulière en matière de lutte contre les ingérences étrangères et le cyberespionnage. Cette vigilance a conduit à la création de plusieurs zones à régime restrictif (ZRR) bénéficiant d'une protection spécifique décrite par l'instruction ministérielle n° 298 du 5 mars 2014 du ministère des armées. Ce corpus réglementaire vise à assurer la sécurité des informations détenues et échangées au sein des ZRR et sur les systèmes d'informations qui y sont déployés. Conformément à la politique de confidentialité des données de l'EP, les données issues des ZRR comportent un marquage spécifique de confidentialité et sont conservées dans des serveurs protégés. Seules les personnes ayant le besoin d'en connaître et ayant fait l'objet d'une enquête administrative peuvent y avoir accès. La conformité de l'ensemble des dispositions réglementaires relatives aux mesures de protection physique et logique fait l'objet de contrôles réguliers menés par la direction générale de l'armement, direction de tutelle de l'EP, et de la direction du renseignement et de la sécurité de la défense, service de contre-ingérence du ministère. Face à ces deux menaces qui pèsent sur la cybersécurité de l'EP, la sensibilisation des acteurs (chercheurs comme élèves) reste une priorité. Une politique de confidentialité des informations plus claire et un environnement numérique plus homogène constituent ainsi une preuve d'avancement en maturité cyber de l'établissement.

Données clés

Auteur : M. Philippe Latombe

Type de question : Question écrite

Rubrique : Grandes écoles

Ministère interrogé : Enseignement supérieur et recherche (MD)

Ministère répondant : Armées

Dates :
Question publiée le 25 mars 2025
Réponse publiée le 5 août 2025

partager