CRCANR5L17S2026PO878304N017

— 1 —

La séance est ouverte à seize heures trente-cinq.

La commission entend lors de sa table ronde réunissant des directeurs des systèmes d’information d’organismes de recherche :

– Mme Marie-Pierre Fontanel, directrice des systèmes d’information du Centre national pour la recherche scientifique (CNRS) ;

– M. Baptiste Grigy, directeur des systèmes d’information du Commissariat à l’énergie atomique et aux énergies alternatives (CEA) ;

– M. Louis-Augustin Julien, directeur général délégué ressources de l’Institut national de recherche pour l’agriculture, l’alimentation et l’environnement (Inrae), et M. Jean-Michel Vansteene, directeur des systèmes d’information de l’Inrae ;

– M. Damien Rousset, directeur général délégué à l’administration de l’Institut national de la santé et de la recherche médicale (Inserm), et M. Sammy Sahnoune, directeur des systèmes d’information de l’Inserm.

Mme Sophie-Laurence Roy, présidente. Nous poursuivons nos auditions avec une table ronde de directeurs des systèmes d’information (SI) de différents organismes de recherche.

Les organismes de recherche traitent des données particulièrement sensibles qu’il convient de protéger. Comment appréhendez-vous cet enjeu ? Comment sont stockées vos données ? Quels outils utilisez-vous pour traiter de grands volumes de données ? Comment pouvez-vous partager des données lorsque les chercheurs de vos organismes coopèrent avec des laboratoires extérieurs ?

Je vais vous laisser la parole pour un propos liminaire d’une dizaine de minutes, au cours duquel vous pourrez nous indiquer ce qui vous paraît important.

Je vous remercie de nous déclarer au préalable tout autre intérêt public ou privé de nature à influencer vos déclarations.

Je tiens à vous rappeler auparavant que l’article 6 de l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires impose aux personnes auditionnées par une commission d’enquête de prêter serment de dire la vérité, toute la vérité, rien que la vérité.

(Mme Marie-Pierre Fontanel et MM. Baptiste Grigy, Louis-Augustin Julien, Jean-Michel Vansteene, Damien Rousset et Sammy Sahnoune prêtent serment).

M. Damien Rousset, directeur général délégué à l’administration (Inserm). Permettez-moi de débuter par un très bref rappel de ce qu’est l’Inserm. L’Inserm est un établissement public à caractère scientifique et technologique (EPST), comme le CNRS, l’Inrae ou l’Institut national de recherche en sciences et technologies du numérique (Inria) que vous avez également auditionné, je crois. Placé sous la double tutelle du ministère de la recherche et de celui de la santé, il est le seul organisme de recherche français entièrement spécialisé dans la recherche en santé et le premier au niveau européen en termes de taille et de production scientifique dans ce domaine. Notre objectif premier est de faire progresser les connaissances sur le vivant et les maladies, tout en développant des innovations de santé, ce qui se résume dans notre devise : « La science pour la santé ».

Nous jouons un rôle clé en France dans la recherche en santé et sommes présents sur les principaux sites universitaires et hospitaliers du territoire. Nous travaillons en étroit partenariat avec les hôpitaux, les universités et d’autres établissements publics de recherche, notamment au sein d’unités de recherche qui, pour l’Inserm, sont toutes mixtes, c’est-à-dire au minimum partagées avec une université et souvent avec d’autres partenaires. Pour vous donner une idée des volumes, nous comptons plus de 300 structures de recherche en France et rémunérons 9 000 agents. Cependant, si l’on inclut tous les personnels travaillant dans nos unités, quelle que soit leur origine, y compris ceux rémunérés par une université ou un autre partenaire, notre communauté de recherche s’élève à plus de 30 000 personnes, pour un budget de 1,2 milliard d’euros.

J’en viens maintenant à notre politique en matière de SI et à ses implications sur les problématiques de souveraineté qu’aborde votre commission. Il y a une dizaine d’années, le constat était celui d’un système d’information très déconcentré et fragile. La grande autonomie de nos unités de recherche avait favorisé le développement massif de ce que l’on nomme en mauvais français le shadow IT, c’est-à-dire des applications installées localement à la suite d’initiatives dont nous n’avions pas forcément connaissance. Il en résultait une forte hétérogénéité des outils, des pratiques et des niveaux de sécurité, et donc un risque élevé en matière de cybersécurité, de protection des données et de continuité d’activité. L’action de notre département des systèmes d’information se concentrait alors sur les outils dits « régaliens », c’est-à-dire, pour simplifier, l’informatique de gestion : notre SI budgétaire et comptable et notre SI de ressources humaines. Ce modèle, qui favorisait l’initiative locale et offrait une certaine liberté aux chercheurs, n’était plus soutenable au regard des enjeux de sécurité, de conformité et de recherche sur les données, notamment les données de santé.

Nous avons donc opéré un virage stratégique aux alentours de 2018, moment qui coïncide avec l’arrivée de notre directeur des systèmes d’information (DSI) actuel. Nous avons fait le choix de développer davantage d’outils orientés vers la pratique scientifique, et non plus seulement des outils de gestion classiques. Nous avons également voulu rationaliser, mutualiser et centraliser notre système d’information, avec pour préoccupation première d’élever son niveau de sécurité.

Les impacts sur les questions de dépendance à des acteurs étrangers dans le numérique, qui vous préoccupent, sont complexes. Plusieurs questions s’entremêlent, qui peuvent aboutir à des tensions, voire à des contradictions, entre les différents objectifs. Notre premier impératif, dès 2018, était la sécurisation technique du système d’information. Cette démarche a pu nous conduire à choisir des solutions propriétaires, souvent américaines, car elles étaient les seules à l’état de l’art permettant de concilier nos besoins d’usage et nos impératifs de sécurité. En matière de sécurité technique, nous avons donc été amenés à opter pour des solutions propriétaires, majoritairement aux mains d’entreprises américaines. D’ailleurs, en préparant cette audition, nous avons recensé les solutions fournies par des entreprises américaines auxquelles nous sommes le plus exposés ; les plus importantes, notamment en termes de poids financier, sont des outils de sécurisation de notre système d’information.

Progressivement, à cet impératif de sécurisation s’est ajouté un impératif de souveraineté sur les données, que nous avons pleinement intégré. Je redis cependant que la sécurité technique demeure notre premier objectif, car les fuites de données résultent avant tout de cyberattaques. Les cas où un gouvernement ou une entreprise étrangère nous auraient demandé un accès légal à nos données sont rares. Néanmoins, nous avons intégré cette problématique de souveraineté avec une logique de maîtrise de la donnée. Nous avons fait en sorte que nos données sensibles soient systématiquement hébergées en Europe, idéalement en France, et même, lorsque c’était possible, sur des infrastructures propres que nous maîtrisons, dites on-premise. Par exemple, pour la gestion de nos courriels, nous nous appuyons sur l’application Microsoft Exchange. Alors que cette solution s’accompagne d’une offre d’hébergement sur le cloud Azure, nous avons choisi de faire héberger ces données en France. Ce choix a un coût supplémentaire, qui double presque la facture, mais nous l’avons assumé.

Nous avons également développé notre propre cloud pour héberger des services en interne. Le ministère de l’enseignement supérieur et de la recherche a labellisé des centres de données en région, généralement opérés par des universités, et nous y avons installé nos propres capacités de stockage et de calcul. Nous avons aussi développé notre infrastructure cloud, qui nous permet d’héberger nous-mêmes certains services. C’est sur cette base que nous allons très prochainement ouvrir un outil permettant à nos agents d’utiliser des modèles de langage (LLM) libres de droit. Nous ne souhaitions pas que nos chercheurs utilisent les services disponibles sur internet, car nous savons que les données qu’ils y soumettent nourrissent le modèle et peuvent devenir accessibles à d’autres. Avec notre solution, nous installons ces modèles sur notre cloud, avec la garantie pour le chercheur que ses données ne nourrissent pas le modèle et ne sont pas accessibles aux autres utilisateurs.

Je terminerai par un mot sur la souveraineté économique. Je comprends que pour la représentation nationale, même si la souveraineté sur les données est assurée, la dépendance à des solutions logicielles développées par des entreprises étrangères puisse être un sujet de préoccupation, ne serait-ce que pour des raisons économiques. Du point de vue de l’établissement, je nuancerais ce point. Ce qui nous préoccupe en tant que service public, c’est moins la nationalité des entreprises – qui est d’ailleurs parfois difficile à déterminer pour des multinationales – que le fait qu’il s’agisse d’acteurs économiques mus par une logique de profit. Nous avons expérimenté qu’une forte dépendance à des solutions propriétaires peut entraîner des augmentations de coûts très brutales. Il s’agit souvent de marchés peu concurrentiels, relevant de l’oligopole sinon du monopole.

Par ailleurs, le coût de migration vers une autre solution est très important, ce qui nous rend très dépendants des choix faits à un instant T. Notre exposition à des entreprises dont le but premier est le profit est ce qui nous pose problème. À titre d’illustration, nous utilisons l’outil VMware pour gérer nos machines virtuelles. Face à de très fortes augmentations de coûts, nous avons envisagé de changer de solution. Les alternatives sont rares : le logiciel libre, qui pose des difficultés de maintenance en raison des ressources humaines qu’il requiert et que nous n’avons pas toujours, ou les outils souverains développés par l’État, comme ceux de la direction interministérielle du numérique (Dinum), qui ne pourront pas tout couvrir.

En conclusion, l’impératif premier de sécurité technique nous a orientés vers des solutions applicatives non souveraines. Dans ce contexte, nous avons intégré l’impératif de souveraineté sur les données en faisant en sorte qu’elles soient hébergées chez nous. Le développement d’un cloud propre s’explique aussi par le fait que nous sommes parfois soumis à des réglementations plus contraignantes, nécessitant des infrastructures habilitées à traiter des données de santé, ce qui est le cas de notre cloud. Cependant, ce choix n’efface pas le risque économique et stratégique lié à la dépendance à des solutions propriétaires développées par des sociétés mues par des motivations commerciales.

M. Louis-Augustin Julien, directeur général délégué ressources (Inrae). Je me permets d’enchaîner car, comme souvent, l’Inserm et l’Inrae ont beaucoup de points communs. Je ne reviendrai donc pas sur l’ensemble des éléments cités par mon collègue Damien Rousset. Tout d’abord, merci de nous entendre aujourd’hui sur ce sujet d’importance majeure pour le domaine de la recherche et pour l’Inrae.

En quelques mots, l’Inrae est l’Institut national de recherche pour l’agriculture, l’alimentation et l’environnement. Sur ce triptyque scientifique, nous figurons parmi les tout premiers organismes de recherche mondiaux. Nous disposons d’un budget d’un milliard d’euros par an, comme l’Inserm, et d’une communauté d’un peu plus de 10 000 personnes. Nous menons des recherches allant du plus fondamental au plus finalisé, ce qui explique notre implantation sur l’ensemble du territoire français, avec dix-huit centres régionaux et plus de 200 unités de recherche. Celles-ci sont soit mixtes, avec nos partenaires que sont les autres organismes nationaux de recherche, les universités ou les écoles agronomiques et vétérinaires, soit propres, notamment nos unités expérimentales réparties sur 7 000 hectares de dispositifs expérimentaux. Notre dimension décentralisée est donc très forte.

Sur la question du numérique, comme vous l’avez dit en introduction, c’est devenu un objet central, non seulement pour la gestion de l’établissement, mais bien sûr pour la recherche elle-même, notamment sur la question des données. Nous avons développé ces dernières années, comme tous les organismes ici présents, une stratégie de souveraineté et de sécurité numériques. Je suis d’accord pour distinguer ces deux éléments et j’y reviendrai. En tout cas, notre politique a d’abord visé à identifier et réduire notre dépendance et notre vulnérabilité en la matière.

Je distinguerai, comme mon collègue, notre fonctionnement quotidien en tant que grand établissement, qui ressemble à celui d’autres organisations, et la partie scientifique, qui est plus spécifique. Pour notre fonctionnement, notre action a d’abord consisté à nous doter de compétences internes robustes. Nous comptons 733 informaticiens, ce qui nous semble central pour choisir des solutions aussi souveraines et sécurisées que possible, mais aussi pour piloter leur déploiement et les développements propres qui sont indispensables. Notre stratégie contractuelle dans l’achat informatique est très claire : privilégier au maximum les solutions souveraines, tant pour les outils que pour le matériel, où c’est peut-être plus compliqué, et bien sûr pour le stockage. Lorsque les solutions disponibles sont acceptées par la communauté et à un niveau de performance correct, nous les adoptons. Je pense à Microsoft, qui est quasi incontournable, même si, comme l’Inserm, nous n’utilisons pas le cloud Office 365 et hébergeons en propre toutes nos données de gestion.

Sur l’hébergement des données, nous avons, comme l’Inserm, développé des serveurs en propre qui sont labellisés. Nous sommes d’ailleurs en partie hébergés par le CEA. Nous avons également recours aux solutions mutualisées de l’enseignement supérieur et de la recherche, avec des centres de données régionaux offrant un très bon niveau opérationnel et de sécurité. Lorsque nous utilisons des solutions en mode SaaS (Software as a Service), nous privilégions autant que possible des solutions souveraines, d’abord françaises, sinon européennes, et si possible certifiées SecNumCloud, bien que cette offre soit encore en développement et ait un coût non négligeable. Notre trajectoire est donc progressive.

Enfin, comme l’Inserm, nous avons développé un outil conversationnel d’intelligence artificielle hébergé sur nos propres serveurs pour réduire le shadow AI, c’est-à-dire l’utilisation non contrôlée d’outils comme ChatGPT par nos chercheurs. Il est impératif que nos données sensibles ne sortent pas de nos serveurs français.

J’ai commencé à émettre quelques bémols, notamment sur des solutions comme Microsoft ou VMware. Nous menons une action résolue pour sortir progressivement de ces dépendances et aller vers les outils de la Dinum quand c’est possible. Par exemple, nous allons abandonner Zoom pour l’outil de visioconférence de l’État. De même, nous avions un logiciel de gestion (ERP) fourni par Oracle et nous sommes passés à une solution mutualisée au sein de l’enseignement supérieur et la recherche (ESR), basée sur SAP et donc européenne. Nous essayons de le faire autant que possible, mais c’est une trajectoire qui prendra du temps, car il n’existe pas encore de solutions évidentes pour certains outils de gestion du quotidien.

Un autre bémol concerne le matériel. Dans l’enseignement supérieur et la recherche, nous recourons largement au marché Matinfo, qui est très bien négocié. Il faut toutefois reconnaître que la quasi-totalité des titulaires de ce marché sont étrangers. Que ce soit pour les téléphones, les ordinateurs ou les serveurs, ce sont des solutions étrangères, avec une dimension logicielle intégrée qui n’est pas neutre. Pour l’instant, il n’y a pas d’alternative souveraine à notre disposition.

Dans le domaine scientifique, la situation est un peu différente. Il y a eu longtemps une très forte autonomie dans les unités de recherche, due à un besoin d’agilité, à des ressources propres importantes sur les contrats de recherche et à une dimension de prototypage. Les chercheurs ont besoin des dernières technologies, ce qui se traduit par un recours massif à des logiciels open source, à de nombreux développements propres, mais aussi à des logiciels propriétaires de manière encadrée et limitée. Nous avons mis en place un plan ambitieux, le plan « données pour la science », pour partager les bonnes pratiques en matière de choix logiciels, de stockage et d’entrepôts de données, ce qui a beaucoup réduit nos dépendances. Il faut cependant reconnaître que la recherche scientifique est très internationale, fondée sur des outils open source et des bases de données largement partagées. Certains acteurs, notamment américains, y jouent un rôle majeur. C’est un point de vigilance : si des acteurs américains décidaient de couper l’accès à certains pans de ces bases de données, nous devrions être capables de continuer à faire de la science au meilleur niveau.

Je terminerai par notre politique de cybersécurité, qui est aujourd’hui l’angle d’attaque le plus important sur cette question de sécurité et, en partie, de souveraineté. Nous avons été victimes d’une cyberattaque fin 2023, que nous avons heureusement détectée assez tôt pour éviter le rançongiciel. Cet événement nous a rappelé la nécessité d’agir fortement. La politique que nous avons mise en place à la suite de cette attaque nous permet d’aller jusque dans les unités de recherche pour homologuer, du point de vue de la cybersécurité, les logiciels qui y sont déployés. C’est un processus en cours, mais nous voyons que le sujet progresse vite dans les esprits, grâce à notre politique de sensibilisation et de formation.

M. Baptiste Grigy, directeur des systèmes d’information (CEA). Le CEA est un établissement public industriel et commercial (Epic) qui emploie environ 22 000 personnes sur une dizaine de sites en France, avec un budget d’environ 6 milliards d’euros par an. Nos activités se répartissent en quatre grands domaines : la défense, le numérique, la santé et les énergies.

Au niveau des systèmes d’information, il existe une filière globale mais deux pôles assez disjoints : l’un pour la direction des applications militaires (DAM), sur lequel je ne m’étendrai pas, et l’autre pour la partie civile, que je pilote. Le premier pôle est protégé par le secret défense, avec des réseaux isolés correspondant aux niveaux de classification gérés. Pour la partie civile, la DSI représente environ 250 personnes sur cinq sites. Elle se divise en une partie nationale, qui opère des services globaux comme les réseaux ou la messagerie, et une partie locale sur chaque site, qui traite davantage des systèmes d’information industriels et scientifiques.

Historiquement, et sans doute en raison de sa proximité avec la DAM, le CEA a un système d’information qui est à 99 % sur site (on-premise). Notre informatique est localisée dans nos propres centres de données, répartis et redondés sur différents sites, et il existe une culture très forte de l’usage d’outils et de services locaux. Ayant rejoint le CEA il y a deux ans après avoir passé vingt-trois ans chez Thales dans des unités de défense, je peux dire qu’il y a eu au CEA une volonté constante de maîtriser l’ensemble de la chaîne du système d’information.

Des équipes de sécurité des systèmes d’information (SSI) ont été mises en œuvre dès la fin des années 1990. L’influence de la direction des applications militaires a infusé sur la partie civile, et une politique de SSI existe depuis longtemps. Elle a défini une architecture en zones, cloisonnant les données en fonction de leur sensibilité, avec différentes couches de réseau accessibles ou non selon le droit d’en connaître.

Malgré cette architecture sur site, nous avons une dépendance importante à certains outils, qui présente trois niveaux de risques. Premièrement, un risque de fuite de données si nous utilisons des plateformes extérieures. Deuxièmement, un risque de chantage commercial : lorsque nous sommes dépendants de solutions en situation de monopole, les éditeurs peuvent avoir des pratiques commerciales difficiles à juguler, comme cela a été mentionné. Troisièmement, un risque d’arrêt de service, comme certains exemples récents dans la presse l’ont montré. C’est de ces risques que nous essayons de nous protéger.

Nous différencions bien la souveraineté de la sécurité. Une solution peut être très bien sécurisée sans être souveraine. De même, dans les certifications, nous distinguons ces deux aspects. Nous suivons par exemple les avancées des clouds qui passent la certification SecNumCloud. Cette certification, initialement basée uniquement sur la sécurité, intègre désormais dans ses nouvelles versions des aspects de souveraineté.

Mme Marie-Pierre Fontanel, directrice des systèmes d’information (CNRS). Le CNRS représente 34 000 agents, 1 200 laboratoires dans toutes les disciplines de recherche, et notre système d’information s’adresse à 120 000 utilisateurs, principalement les personnels de nos laboratoires.

Depuis mon arrivée en 2024, nous avons mis en place un schéma directeur pour la DSI, dont les axes principaux sont la sécurité, l’optimisation des coûts et l’introduction de nouvelles technologies comme l’intelligence artificielle. Notre principale préoccupation actuelle est de sortir des Gafam, et en particulier de Microsoft, car nous rencontrons les mêmes problèmes que nos collègues. Par exemple, la messagerie du CNRS, aujourd’hui sur Microsoft Exchange opéré en interne, basculera le 14 avril sur une messagerie Zimbra, une solution open source opérée par Renater via son offre Partage. Cette migration est en cours.

Une autre étape cruciale concerne notre dépendance extrême à SharePoint pour les espaces collaboratifs et les applications construites dessus. Microsoft nous pousse vers le cloud à partir de 2029, ce qui est orthogonal avec les injonctions de souveraineté. Nous avons donc décidé de sortir à terme de cette dépendance en utilisant soit des outils que nous proposons en interne, soit ceux de la Dinum. Les outils de la Dinum présentent le double avantage d’être pour l’instant gratuits, ce qui est primordial pour l’optimisation des coûts, et souverains.

La prise de conscience en matière de cybersécurité a eu lieu au CNRS vers 2018. Un virage a été pris pour intégrer un regard très attentif sur la sécurité dans tous les projets. Nous sommes loin d’être parfaits, mais cette prise de conscience a entraîné des investissements et parfois la réécriture d’applications pour les rendre plus sécurisées. C’est un travail de longue haleine, car notre système d’information est ancien, avec près de 120 applications et services dont certains ont plus de vingt ans.

Dans notre politique de sortie des Gafam, outre Microsoft, nous visons aussi les bases de données Oracle. Contrairement à d’autres, nous utilisons SAP depuis vingt ans, mais nous avons une politique de migration de nos bases de données propriétaires Oracle vers des solutions libres comme PostgreSQL. Nous essayons, dans la mesure du possible, de passer sur des outils du monde libre, même si ce n’est pas toujours possible, car certains progiciels de gestion imposent des bases de données propriétaires.

Lorsque nous n’hébergeons pas en interne, la majeure partie de nos applicatifs sont sur des clouds certifiés SecNumCloud. Par exemple, notre système SAP pour les finances et les RH est hébergé en externe chez OVH, sur leur offre SecNumCloud, qui est distincte de leur offre publique. La difficulté est que ce type d’hébergement externalisé majore les coûts de 20 % à 30 % par rapport à un hébergement classique. L’État nous demande de faire un effort conséquent sur ces hébergements, mais plus c’est sécurisé, plus les architectures sont complexes à concevoir, à mettre en œuvre et à exploiter, et donc plus c’est cher.

Enfin, concernant l’intelligence artificielle, nous avons mis à disposition de nos 34000 agents, fin décembre, un agent conversationnel basé sur la solution Mistral. L’objectif du PDG du CNRS était simple : que les agents du CNRS n’utilisent plus ChatGPT pour leur travail. L’utilisation de cet agent est en forte croissance depuis début janvier.

Mme Sophie-Laurence Roy, présidente. Merci à tous. Si je résume un peu brutalement, tous vos organismes ont compris, il y a environ une dizaine d’années, que vous deviez faire face à deux problèmes majeurs : la sécurité de vos données, de vos recherches et de vos résultats, et, dans un second temps, la souveraineté des systèmes que vous utilisiez. J’ai également noté un objectif délibéré de quitter les Gafam et une volonté de choisir des logiciels open source ou libres.

Cependant, le risque avec les logiciels libres est qu’ils ne soient pas toujours mis à jour, améliorés ou complétés. Ne craignez-vous pas que cette décision de principe en faveur du logiciel libre – même si nous approuvons évidemment le choix de Mistral – ne finisse par devenir un frein à la performance de vos systèmes ? C’est ma première question.

Ma seconde question, pour comprendre, est : avec quelles données avez-vous nourri votre agent conversationnel Mistral ?

M. Baptiste Grigy. Concernant l’open source, je pense que la démarche est plutôt hybride. Nous ne parviendrons pas à remplacer l’ensemble des suites commerciales. Microsoft, par exemple, est très profondément ancré dans nos systèmes d’information, au-delà de ce que l’on voit comme le système d’exploitation ou la suite Office ; il pilote aussi la gestion de nos identités avec Active Directory ou la gestion de nos parcs de PC et de serveurs. Nous essayons tous d’aller vers l’open source là où c’est possible, mais ce n’est pas possible partout.

Comme vous le soulignez, l’open source présente une difficulté de mise à jour et nécessite des ressources internes importantes. Ce que nous n’achetons pas en licence, nous devons le réaliser nous-mêmes en effort humain. Un autre élément est que de nombreux éditeurs nous poussent vers des solutions cloud, et sur certains pans du système d’information, nous n’avons plus d’offres à proposer à nos utilisateurs en interne (on-premise). Pour illustrer, nous sommes en train de passer à une nouvelle version de SAP. Pour la partie achats, nous avions la contrainte que les données ne soient pas dans le cloud. Nous avons dû choisir entre deux ou trois solutions qui étaient fonctionnellement moins-disantes. Les seules solutions que nous pouvions héberger sur nos serveurs étaient moins performantes que ce que l’on peut trouver à l’extérieur. Cela rejoint ce que vous disiez : nous allons probablement devoir rechercher des compromis entre la performance et la souveraineté ou l’indépendance de nos solutions.

Mme Marie-Pierre Fontanel. Je suis entièrement d’accord avec mon collègue du CEA. Il ne faut pas mettre tous nos œufs dans le même panier et utiliser les logiciels libres quand c’est possible, sans en faire une doctrine. D’ailleurs, ce n’est pas parce qu’on utilise des solutions du marché qu’elles sont garanties pérennes. Qui nous dit que demain, Mistral ne se fera pas racheter par des Américains ?

Les DSI sont aujourd’hui confrontés à l’évolution extrêmement rapide de nos fournisseurs de matériel et de logiciels. Les rachats sont très perturbants ; de nombreuses sociétés françaises ont été rachetées, notamment par des Américains. En matière d’intelligence artificielle, s’il n’y avait pas Mistral, il n’y aurait personne d’autre en France. C’est extrêmement contraignant. Comme le disait mon collègue, quand on n’a plus le choix, on est parfois obligé de passer par des systèmes américains, en espérant ne pas être contraints de passer par des systèmes chinois par la suite. C’est là le grand risque.

M. Sammy Sahnoune, directeur des systèmes d’information (Inserm). Je voudrais compléter avec un point de vigilance sur l’open source. On s’aperçoit souvent que des solutions initialement open source voient apparaître des suites commerciales avec un support fourni par des entreprises qui ne sont pas forcément françaises. On part sur de l’open source et on se retrouve à devoir prendre un support qui est américain. Il existe bien sûr des solutions open source supportées par des entreprises françaises, mais ce n’est pas systématique.

M. Baptiste Grigy. Un autre exemple sur l’open source est que, parfois, même si les solutions restent européennes, elles changent leur politique tarifaire. Au départ, c’est gratuit, puis, à mesure que l’usage augmente, que vous voulez mettre plus de données ou utiliser certaines fonctionnalités, cela devient payant. Nous devons surveiller cela en permanence, car la situation évolue très vite.

Mme Sophie-Laurence Roy, présidente. Donc, pour résumer là encore brutalement, vous avez tous fait l’effort d’essayer de rapatrier votre recherche, votre travail et vos données dans un cadre le plus français possible, mais vous n’êtes pas sûrs de pouvoir tenir longtemps, car nous n’avons peut-être pas assez de vraies compétences nationales. C’est peut-être dur, mais ce n’est pas forcément loin de la vérité.

M. Damien Rousset. Je distingue l’hébergement des données des outils pour leur exploitation et le fonctionnement quotidien. Sur les données, en tout cas les données sensibles, elles sont toutes hébergées dans un cadre souverain. La problématique que nous pointons ici concerne plutôt les dépendances aux logiciels ou au matériel. Il faut vraiment distinguer les deux.

Effectivement, sur les logiciels, il n’y a pas de solution parfaite aujourd’hui. L’open source a ses limites, notamment en termes de ressources humaines pour la maintenance, que nous n’avons pas toujours. Nous dépendons donc encore de solutions propriétaires. La Dinum développe des outils, mais ils ne couvrent pas tout. Pour moi, il n’y a pas de solution parfaite pour l’applicatif. Pour l’hébergement des données, nous y arrivons, soit en allant chercher des services chez des fournisseurs français ou européens, soit en développant nos propres capacités, comme notre cloud Inserm.

M. Jean-Michel Vansteene, directeur des systèmes d’information (Inrae). Je suis d’accord avec mes collègues sur la non-exclusivité du logiciel libre ; il faut envisager des solutions hybrides. Cependant, il faut aussi considérer que, comme pour les solutions propriétaires, nous nous faisons aider pour le logiciel libre. Nous avons les compétences pour définir notre stratégie, faire nos choix, développer et exploiter, mais nous nous faisons aider, quelles que soient les solutions. Le logiciel libre n’est pas gratuit ; il faut envisager de se faire aider, et cela a un coût, tout comme la sécurité et la souveraineté. Mais ce coût est vertueux, car le logiciel libre permet de reverser à la communauté les développements que nous pouvons faire, ce qui sert l’ensemble des dispositifs. À notre sens, c’est un modèle beaucoup plus vertueux que les solutions propriétaires. Il faut voir le retour global pour la communauté. J’y vois donc quelque chose d’assez intéressant.

Mme Cyrielle Chatelain, rapporteure de la commission d’enquête sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France. Je voudrais revenir sur la question de la souveraineté économique. Pour avoir un ordre d’idée, combien vos structures dépensent-elles en licences ? Vous avez beaucoup évoqué Microsoft. Combien cette entreprise représente-t-elle dans vos dépenses ?

Mme Marie-Pierre Fontanel. Pour le CNRS, cela représente environ 2,5 millions d’euros annuels uniquement pour la partie espaces collaboratifs SharePoint. Pour la messagerie, c’était, de mémoire, 3 millions d’euros annuels. En basculant chez Renater, cela nous coûtera 600 000 euros par an. Économiquement, il est extrêmement avantageux de passer sur du libre pour ces sujets.

M. Baptiste Grigy. Côté CEA, nous venons de renégocier notre contrat Microsoft pour trois ans. L’ordre de grandeur est de 6 millions d’euros par an. Microsoft demande de ne pas communiquer sur les augmentations, mais je peux vous dire qu’entre le contrat précédent et celui-ci, l’augmentation est à deux chiffres, de l’ordre de 20 % sur trois ans, ce qui est bien supérieur à l’inflation. De plus, ils pratiquent la vente liée (bundle) en incluant des produits que nous n’utilisons pas. C’était le cas de Teams, que nous n’avons jamais déployé mais que nous étions obligés de payer. Une décision de la Commission européenne les a contraints à sortir Teams du lot, mais ils ne lui ont pas affecté son vrai prix. L’augmentation globale sur trois ans est bien supérieure au retrait de ce petit élément.

L’autre éditeur qui nous a créé des difficultés est VMware, qui a été racheté par Broadcom. Les changements de prix ont été très significatifs et pèsent sur le budget de l’État.

M. Damien Rousset. Côté Inserm, ce n’est pas Microsoft qui nous coûte le plus cher, car nous bénéficions de licences dites « éducation ». C’est de l’ordre de 350 000 euros par an. Les éditeurs américains qui nous coûtent le plus cher sont Broadcom pour VMware, qui gère nos machines virtuelles sur nos serveurs et dont le coût est supérieur au million d’euros par an, et aussi Palo Alto et Splunk, qui sont des outils de sécurisation de notre système d’information et qui doivent également dépasser le million d’euros chacun. Ce sont ces trois éditeurs américains, qui nous fournissent des solutions de gestion de machines virtuelles et de sécurisation, qui nous coûtent le plus cher, bien plus que Microsoft.

M. Louis-Augustin Julien. Du côté de l’Inrae, nous vous transmettrons le chiffre précis. Nous passons par l’Union des groupements d’achats publics (Ugap) pour Microsoft. Le chiffre global de l’Ugap est de l’ordre de 6 millions d’euros, mais la part de Microsoft doit se situer entre 400 000 et 500 000 euros. Nous vous confirmerons ce chiffre.

Mme Cyrielle Chatelain, rapporteure. Juste pour bien comprendre les différences de chiffres : pour l’Inserm et l’Inrae, Microsoft, c’est uniquement la messagerie Exchange ?

M. Damien Rousset. Non, c’est globalement la suite Microsoft Office 365, qui inclut tous les outils comme Word, Excel, OneNote, etc. Ce n’est pas uniquement Exchange.

Mme Cyrielle Chatelain, rapporteure. Excusez-moi, vous aviez mentionné des applications éducatives. Je n’ai pas bien compris.

M. Damien Rousset. Il s’agit des tarifs. Microsoft propose un tarif spécifique, environ dix fois moins cher, pour le monde de l’éducation au sens large. C’est une interprétation extensive de la notion d’éducation, mais nous bénéficions de ces tarifs.

M. Baptiste Grigy. Pour complément, le CEA ne bénéficie pas des licences éducatives, sauf pour notre organisme de formation, l’INSTN. Ce n’est pas le cas pour nos 22000 collaborateurs. Je pense que le principal inducteur de coût est le nombre de personnes à qui l’on fournit le service.

M. Jean-Michel Vansteene. Pour l’Inrae, nous reviendrons vers vous avec des chiffres précis, car il faut consolider les coûts de l’infrastructure centrale (Exchange, SharePoint, Skype) et ceux de toutes les licences Windows et Microsoft Office.

Mme Cyrielle Chatelain, rapporteure. Les tarifs pour l’éducation m’interrogent sur la politique de Microsoft. Ce que je retiens, ce sont des stratégies de verrouillage (lock-in). Vous avez tous mentionné un acteur devenu incontournable dans votre système d’information. J’aurais tendance à penser que plus on habitue les gens tôt, plus le verrouillage est fort.

Pour continuer sur cette question, vous avez évoqué des coûts de migration. Avez-vous déjà renoncé à des migrations parce que les coûts étaient trop importants ? Ou, à l’inverse, estimez-vous, comme le CNRS, que les coûts de migration sont finalement bénéfiques au regard de l’intérêt de souveraineté ou économique ? Enfin, êtes-vous accompagnés par de grands acteurs du conseil comme Capgemini ou Sopra Steria ? Dans ce cas, sont-ils aidants pour sortir des logiciels propriétaires ?

Mme Marie-Pierre Fontanel. Pour le CNRS, nous externalisons environ 97 % de nos développements. Nous nous reposons donc sur de grandes entreprises de services du numérique (ESN) comme Sopra Steria, CGI, Capgemini, Infotel... Nous avons une quarantaine de marchés publics en cours pour des développements et de l’exploitation, car nous ne sommes pas dimensionnés pour tout réaliser nous-mêmes.

Est-ce qu’ils nous aident à sortir des logiciels propriétaires ? C’est une question compliquée. Ils nous aident dans le sens où ils peuvent nous accompagner si nous voulons internaliser des choses ou passer sur du libre, mais ils ne proposent pas eux-mêmes de solutions packagées et adaptées en ce sens.

M. Baptiste Grigy. Pour le CEA, même si nos données sont sur site, nous sommes également aidés par des partenaires, notamment pour l’infogérance, la tierce maintenance applicative et l’exploitation. Notre marché en cours est avec Atos, dont les personnels sont sur nos sites. Comme nous n’avons quasiment aucune donnée chez des hyperviseurs, nous n’avons pas eu à gérer de migration d’un hébergeur à un autre et n’avons donc pas rencontré ce type de difficulté.

M. Damien Rousset. Pour l’Inserm, nous nous faisons généralement accompagner pour les migrations. Nous avons eu le même cas que l’Inrae : nous avons changé l’année dernière notre système d’information budgétaire et comptable pour passer sur un outil porté par l’Agence de mutualisation des universités et des établissements (Amue), qui s’appuie sur une base SAP. Nous nous sommes faits accompagner pour cette migration.

Vous posiez la question des migrations auxquelles on pourrait renoncer à cause du coût. Je reprends l’exemple de VMware. Quand ils ont annoncé une augmentation de 50 % ou 60 % des coûts du jour au lendemain, nous nous sommes posé la question de changer. Mon DSI avait évalué le coût de l’accompagnement de la migration à 1 000 jours-hommes. Nous avons commencé à diversifier un peu nos solutions en introduisant une solution de virtualisation open source, car nous ne pouvions pas mettre tous nos œufs dans le même panier. Mais nous n’avons pas été capables d’absorber une migration complète du jour au lendemain et avons donc dû subir cette hausse de coût.

M. Sammy Sahnoune. Pour compléter, même si notre dispositif peut paraître captif, nous l’avons conçu dès le départ pour être portable. Tout ce qui est conteneurisation et orchestration des conteneurs a été construit dans cet esprit, afin de faciliter un éventuel changement de solution, notamment de virtualisation, vers des solutions open source. Nous étudions d’ailleurs des alternatives de manière concomitante avec l’Inrae.

M. Baptiste Grigy. La situation est exactement la même. Quand vous demandez si nous allons y arriver, à court terme, la réponse est non. Pour le CEA, ce sera forcément très long. Cependant, je pense que nous avons tous commencé ce chemin vers d’autres solutions, si possible multiples, mais cela se compte en années.

M. Jean-Michel Vansteene. Je voulais juste compléter : nous travaillons avec Sammy Sahnoune pour mutualiser autant que possible notre approche et nos choix. Côté Inrae, nous avons fait le choix d’une solution libre pour remplacer VMware et nous envisageons une migration cette année. Nous n’avons pas chiffré le nombre de jours-hommes aussi précisément, mais nous comptons beaucoup sur l’automatisation que nous avons développée pour le faire dès cette année sur une grosse partie de notre parc de serveurs. C’est un projet en marche.

Mme Marie-Pierre Fontanel. Côté CNRS, en revanche, ce n’est pas du tout en marche. Nous sommes entièrement sur VMware. Contrairement à nos collègues, nous n’avons pas subi d’augmentation lors du passage à Broadcom, car je pense que nous payions déjà le maximum. Une sortie de VMware au CNRS est inenvisageable à moyen terme, cela nous coûterait extrêmement cher. C’est un peu la même chose pour SAP, même si ce n’est pas un acteur américain. Sortir de SAP quand on l’utilise depuis vingt ans, avec des développements spécifiques, est extrêmement compliqué. Le verrouillage n’est pas lié qu’aux constructeurs américains.

Mme Sophie-Laurence Roy, présidente. C’est un peu comme changer de langue.

M. Damien Rousset. Oui, c’est très structurant.

Mme Cyrielle Chatelain, rapporteure. Si je comprends bien, votre stratégie est maintenant d’essayer de diversifier au maximum les acteurs. Vous avez mentionné plusieurs fois la Dinum. Même si elle ne pourra pas répondre à tout, quel rôle jouent pour vous ses propositions aujourd’hui ? Est-ce intéressant d’avoir ces solutions développées par l’État et quels sont les échanges que vous avez avec elle ?

M. Baptiste Grigy. Oui, je pense que cette notion de commun numérique est extrêmement intéressante. Au départ, il y avait des briques de base comme FranceConnect, que nous utilisons beaucoup et qui nous aide énormément en nous évitant de redévelopper des mécanismes d’identification. Concernant la visioconférence, nous avons reçu une directive au début de l’année. Au CEA, nous utilisons Skype en interne, donc sans problème d’extraterritorialité. Néanmoins, nous allons migrer vers Visio, la solution de l’État, qui est tout à fait correcte. Je pense qu’il faut que la puissance publique accompagne la Dinum pour qu’elle soit plus performante et qu’elle ait les moyens d’assurer un support pour le nombre d’utilisateurs ciblés. C’est très intéressant, mais il faudra qu’elle ait les moyens de son ambition.

M. Damien Rousset. Il n’y a pas grand-chose à ajouter. En tant que services publics, si des solutions développées par la puissance publique répondent à nos besoins dans un cadre sécurisé, nous les utiliserons. La question est celle de la capacité de la Dinum à développer ces outils et à faire en sorte qu’ils répondent vraiment aux besoins. Il y a aussi la question du modèle économique ; pour l’instant, la plupart des outils sont gratuits, mais je ne sais pas quelle tête fait la Dinum quand le CNRS arrive avec ses 120 000 utilisateurs.

Sur le papier, c’est ce qui résout la quadrature du cercle pour nous. Mais il reste à voir si les outils développés répondront aux besoins en termes d’usage. Il y a toujours cette tension : si nos communautés d’utilisateurs ont le sentiment qu’il y a une régression importante en termes de fonctionnalités, c’est compliqué. La sécurité, par exemple, représente toujours des contraintes pour l’utilisateur. Quand nous déployons la double authentification, des chercheurs nous disent que c’est très compliqué. Il faut aussi que les utilisateurs suivent.

Mme Cyrielle Chatelain, rapporteure. Aujourd’hui, les outils de la Dinum sont-ils gratuits pour votre utilisation, quels que soient les outils déployés ?

M. Damien Rousset. La fédération d’identité rend leur usage très simple pour un agent public. Il peut se connecter aux outils de la Dinum avec les mêmes identifiants, mot de passe et double authentification que pour nos outils maison. C’est un élément très important en termes de facilité d’usage. Par exemple, pour la visioconférence, nous n’avons pas encore complètement basculé, nous utilisons encore Teams. Néanmoins, la consigne est d’utiliser Visio pour les sujets sensibles, et elle est déjà accessible à nos agents.

Mme Marie-Pierre Fontanel. Le CNRS a basculé sur Visio. Nous avons abandonné Zoom le 31 mars. Nous faisons la promotion de cet outil depuis plusieurs mois, et il est déjà adopté sur de nombreux sujets. Les autres outils de la suite de la Dinum, comme Grist, Docs ou Fichiers, sont également très populaires au CNRS. Nous faisons des points tous les mois avec la Dinum, notamment pour les prévenir de nos déploiements, car quand nous leur avons annoncé nos intentions, ils étaient heureusement prêts. Apparemment, ils tiennent bien le choc.

M. Louis-Augustin Julien. J’ajouterai que nous passerons également à 100 % à Visio au 1er juillet, un outil qui est déjà très largement utilisé et apprécié. Cela vaut pour la visioconférence comme pour d’autres outils, je pense notamment à Tchap, qui est très largement déployé au sein de nos services. Il a remplacé le système propriétaire payant d’appel d’urgence que nous utilisions pour alerter les agents en cas de crise. Je tiens à saluer la qualité du travail accompli sur ces sujets dans des délais assez courts.

Mme Cyrielle Chatelain, rapporteure. Vous avez beaucoup évoqué la question des logiciels libres. Si j’ai bien compris, l’argent qui n’est pas investi dans les licences est réalloué à des équipes humaines pour contribuer au développement. Cela m’amène à la question de la dépendance technologique. L’une des différences fondamentales ne réside-t-elle pas dans le fait que si nous développons nous-mêmes les applications et assurons les mises à jour, nous disposons d’un meilleur contrôle et d’une meilleure connaissance de l’outil ? Je m’interroge sur le degré de connaissance que vous avez des codes sources des outils propriétaires que vous utilisez. Quelle est votre maîtrise réelle de ces outils ?

La distinction me semble se situer là : il y a des outils dont on peut, pour ainsi dire, « soulever le capot », et d’autres pour lesquels cela paraît impossible. Est-ce une vision exacte, bien que probablement simplifiée ? Cette question de l’accès au code source me semble centrale dans les enjeux de dépendance technologique, y compris dans le domaine de l’intelligence artificielle que vous avez mentionné. Par exemple, pour des solutions comme celles de Mistral, l’accès au code est-il un élément clé ?

M. Damien Rousset. Vous avez raison, avec les solutions propriétaires, nous n’avons pas accès au code source. Par définition, nous avons une moindre capacité à expliquer leur fonctionnement interne. Cependant, elles présentent des avantages, notamment l’intégration poussée des outils au sein d’une même suite, comme Office 365, ce qui est très apprécié des utilisateurs. Pour prendre un exemple concret : depuis mon agenda Outlook, je peux créer un rendez-vous et, d’un simple clic, générer un lien Teams pour une visioconférence. Cette facilité d’intégration entre Outlook et Teams est un atout majeur. L’aspect le plus séduisant de ces outils propriétaires réside dans cette intégration. En contrepartie, nous ne savons pas exactement comment la machine fonctionne. La situation est différente avec les outils open source.

Concernant l’intelligence artificielle, nous allons très prochainement déployer un outil conversationnel s’appuyant sur plusieurs LLM. La plupart des entreprises qui développent des LLM proposent des versions ouvertes de leurs modèles. Ce ne sont pas toujours les plus récentes, mais des versions libres existent. Ce sont celles-ci que nous installons sur nos propres infrastructures, ce qui garantit que les données ne quittent pas notre environnement. L’intérêt de notre outil, qui fonctionne comme un agrégateur, est de donner accès à plusieurs modèles de langage, certains étant plus adaptés que d’autres à des usages spécifiques. Il existe en effet des modèles ouverts, y compris pour des technologies comme ChatGPT.

M. Baptiste Grigy. Au CEA, je ne l’ai pas mentionné précédemment, mais nous menons un projet de déploiement d’une intelligence artificielle générative interne, basée sur les modèles de Mistral. Souvent, les modèles open source, comme le modèle Small de Mistral, ne sont pas les plus performants ; les plus performants sont payants. Pour l’instant, nous utilisons uniquement les modèles de Mistral pour nos LLM. Cependant, il y a beaucoup de technologies open source autour. Le LLM ne constitue qu’une partie du travail. L’interaction avec l’agent conversationnel ou la reconnaissance de caractères, par exemple, nécessitent des modules spécifiques pour lesquels nous nous appuyons sur des solutions open source.

Il est certes plus intéressant de pouvoir « ouvrir le capot ». Néanmoins, je ne crois pas que nous rencontrions de blocage ou de difficulté majeure avec les outils propriétaires fermés. En revanche, la nécessité absolue est de disposer des mises à jour. Nous sommes dépendants de ces mises à jour, en particulier pour les outils Microsoft que nous payons cher et qui, pour certains comme SharePoint ou Exchange, sont fragiles ou, en tout cas, très ciblés par des attaques. Nous sommes absolument dépendants de l’application la plus rapide possible de ces mises à jour, car dans l’intervalle, des acteurs malveillants pourraient prendre le contrôle de ces outils.

M. Jean-Michel Vansteene. Je me permets de compléter ce point : dans le monde du logiciel libre, les communautés sont généralement très réactives pour corriger les failles de sécurité. C’est un élément important à prendre en compte.

Mme Cyrielle Chatelain, rapporteure. Oui, la question de la mise à jour soulève le problème du kill switch, une facette de la dépendance technologique. Le fournisseur peut nous priver de l’accès à une mise à jour, ce qui nous rend dépendants de sa volonté. Avez-vous rencontré ce type de situation dans vos institutions ? Je pense par exemple à la migration vers Windows 11, qui a, semble-t-il, entraîné le renouvellement d’un parc informatique conséquent et généré des surcoûts importants.

M. Baptiste Grigy. Oui, je pense que nous avons tous été confrontés à cette situation. Au CEA, nous avons dû changer quasiment un quart de notre parc informatique. Notre politique est de conserver les machines que nous achetons pendant sept ans au minimum, ce qui relève du numérique responsable, un sujet que nous n’avons pas abordé aujourd’hui. Il faut préciser que les machines que nous avons dû remplacer avaient globalement plus de sept ans. Néanmoins, ce renouvellement forcé de toutes les machines de plus de sept ans a concerné près d’un quart de notre parc, représentant des montants très importants.

M. Jean-Michel Vansteene. Nous avons réussi à obtenir de Microsoft une prolongation de support de trois ans. Cela nous a permis, notamment pour nos unités de recherche, d’étaler le renouvellement du parc, qui représentait une contrainte et un coût importants.

M. Baptiste Grigy. En payant pour ce support étendu ?

M. Jean-Michel Vansteene. Oui, en payant un supplément pour le support, ce qui nous a permis d’éviter le renouvellement massif d’un parc important. Le coût n’était pas très élevé, de l’ordre de 2 euros par poste et par an.

Mme Cyrielle Chatelain, rapporteure. Payer pour un support étendu constitue une dépendance supplémentaire. J’imagine que la réflexion du SI et celle de l’utilisateur ne coïncident pas toujours. C’est le cas de la double authentification, que nous subissons tous comme une contrainte mais qui est, vous l’avez rappelé, indispensable pour la sécurité.

Ma question porte sur le système d’information, qui est devenu un outil indispensable au travail quotidien ; s’il ne fonctionne pas, de nombreuses tâches deviennent impossibles. Avez-vous senti un changement ces dernières années dans le soutien que vous recevez lorsque vous proposez des alternatives aux solutions propriétaires ? Pendant longtemps, l’adage voulait qu’aucun DSI ne mette son poste en jeu en choisissant Windows, ce qui incitait à une certaine prudence. Aujourd’hui, avec la prise de conscience des risques posés par les logiciels propriétaires, sentez-vous de la part de vos directions une plus grande acceptation de la prise de risque ?

M. Baptiste Grigy. Oui, tout à fait. Plusieurs événements récents, pas seulement dans le numérique, nous ont fait constater nos niveaux de dépendance : la crise du covid, la dépendance énergétique et, bien sûr, la dépendance numérique. Pour prendre l’exemple de Teams, il y a eu de nombreux débats à ce sujet dans mes environnements professionnels précédents, privés comme publics, car nous n’avons pas tous la même évaluation du niveau de risque. Je confirme donc qu’un changement s’est opéré ces dernières années. Il est aujourd’hui plus facile d’expliquer pourquoi on ne peut pas déployer Teams, alors que c’était très compliqué auparavant.

M. Sammy Sahnoune. Pour l’Inserm, la réponse est plus mitigée, car elle dépend de la typologie des populations : les chercheurs d’une part, et les services d’appui d’autre part. En effet, nous sentons que les chercheurs sont plus sensibles aux questions de souveraineté, qu’il s’agisse de l’infrastructure ou de la technologie. En revanche, les agents en service d’appui ont pris des habitudes liées à l’ergonomie et à la facilité d’utilisation des applications. Je ne sais pas si vous avez déjà comparé l’ergonomie d’outils comme LibreOffice face à la suite Office 365. Je veux bien admettre que l’ergonomie n’est pas tout à fait la même et que de nouvelles habitudes sont à prendre, mais c’est faisable, quitte à être très directif. Pour répondre à votre question, cela dépend donc de la typologie des utilisateurs.

M. Damien Rousset. Si je peux me permettre de compléter, il ne faut pas minimiser l’impact d’un changement d’outils sur les utilisateurs. Nous l’avons vécu l’an dernier en changeant de système d’information budgétaire et comptable avec le portage de SAP pour l’ESR. Certaines fonctionnalités n’étaient pas complètement prêtes, et le changement a été très mal vécu par nos communautés. Nous avons constaté une augmentation des risques psychosociaux, qui a conduit à une alerte au niveau de notre formation spécialisée en santé et sécurité au travail. Nous avons dû mandater une expertise externe pour mesurer l’impact de ce déploiement, qui modifiait les habitudes et ne répondait pas à toutes les attentes. Honnêtement, ce fut très douloureux pour de nombreux agents, des utilisateurs quotidiens jusqu’à la direction. L’année a été très compliquée.

Si les problématiques de souveraineté peuvent nous inciter à prendre plus de risques, il faut, pour les applications vitales, mesurer le coût du changement. S’il se déroule mal, les impacts sont réels, y compris en matière de santé et de sécurité au travail pour nos agents.

Mme Cyrielle Chatelain, rapporteure. D’autres ont-ils connu la même augmentation des risques psychosociaux ? J’imagine qu’il s’agissait d’une solution sur étagère. Comment les besoins des utilisateurs ont-ils été pris en compte ? Quel a été l’accompagnement au changement ? Avez-vous été accompagnés par des sociétés comme Capgemini ou Sopra Steria ? Quelles études des besoins ont été menées ? Au-delà du changement d’outil lui-même, il y a parfois le calibrage de l’outil qui peut être, en effet, quelque peu « maltraitant » pour les utilisateurs.

M. Damien Rousset. Oui, c’est multifactoriel, nous sommes d’accord. Mais au final, le résultat peut être très compliqué à gérer.

Mme Cyrielle Chatelain, rapporteure. J’avais une courte question pour le CNRS, concernant le déploiement de l’IA Mistral. Des interrogations ont été soulevées sur la gestion des données. Si je comprends bien, les prompts et les documents saisis par un utilisateur ne peuvent être ni communiqués ni utilisés par Mistral. Toutefois, des questions se sont posées sur l’impossibilité d’utiliser le support, qui aurait été envoyé. Les articles de presse que j’ai lus soulevaient des doutes, c’est donc l’occasion de préciser les conditions d’utilisation.

Une autre question portait sur le fait que des agents du CNRS auraient eu accès à des données d’utilisation de leurs collègues, sachant par exemple que 7 000 d’entre eux étaient déjà connectés à l’IA. Des captures d’écran ayant circulé, je m’interroge. Cela a, me semble-t-il, posé quelques questions. Il serait d’ailleurs intéressant d’étudier, dans deux ou trois ans, l’impact de l’intelligence artificielle sur la santé au travail.

Mme Marie-Pierre Fontanel. Il ne faut pas croire tout ce que disent les journaux. Nous avons bien eu connaissance de ces articles. L’environnement de Mistral pour les entreprises, dans le contexte du CNRS, est bien sécurisé. Les données utilisées par un utilisateur ne sont pas partagées avec un autre, sauf si cet utilisateur le souhaite explicitement en mettant ses données à disposition de tous. C’est un acte conscient, possible uniquement dans certaines fonctions appelées « agents », et ce n’est absolument pas le comportement par défaut. Dans son contexte propre, un utilisateur peut injecter toutes les données qu’il souhaite en toute sécurité. Nous déconseillons évidemment d’utiliser des données classifiées, mais pour le reste, il n’y a pas de fuite particulière.

L’article de journal qui nous a été remonté a été démonté point par point. Je peux vous rassurer : l’agent IA que nous avons déployé est sûr et bien cloisonné, avec un système d’authentification. Je crois savoir que le chercheur à l’origine de cet article n’avait pas lui-même accès à Mistral, et il est compliqué de parler d’un outil sans y avoir accès.

M. Louis-Augustin Julien. Si je peux juste revenir sur le changement d’ERP que nous avons connu, comme l’Inserm, mon intention n’est pas de minimiser l’impact des changements d’outils sur les travailleurs, surtout quand il s’agit de leur outil quotidien. Cependant, le passage de notre ancien ERP à celui de l’Inrae a été un peu moins mal vécu. Je pense que la clé réside vraiment dans l’accompagnement. Vous parliez d’un accompagnement par des cabinets extérieurs ; nous avons privilégié un accompagnement interne, par des agents qui connaissaient le métier et avaient été formés sur le nouvel outil. C’est un point essentiel. Nous avions un réseau de proximité dans les unités de recherche et les centres, composé de collègues qui ont eux-mêmes formé leurs pairs et les ont soutenus durant toute la phase de déploiement.

Un changement d’outil n’est jamais parfait ; il est toujours déstabilisant et générateur de travail supplémentaire, ce qu’il faut reconnaître. Nous avions par exemple mis en place des moyens supplémentaires pour accompagner ce changement. Je pense qu’on peut réussir ce type de projet s’il est pensé dans son intégralité et, surtout, très accompagné par des experts métier solidaires de leurs collègues.

Mme Cyrielle Chatelain, rapporteure. J’ai une dernière question. Au début de votre intervention, vous avez évoqué la difficulté de trouver des solutions françaises ou européennes. Collaborez-vous avec des start-up, potentiellement des spin-off de vos propres structures, financées par Bpifrance ou d’autres ? Comment évaluez-vous l’écosystème actuel et comment travaillez-vous avec ces structures ? Pensez-vous que demain, vous pourrez développer des solutions qui vous permettraient, sur certains sujets, de changer de fournisseur ou, en tout cas, de vous diversifier ?

M. Damien Rousset. Pour nous, ce n’est pas vraiment le cas. Il existe bien des spin-off issus des laboratoires de l’Inserm, mais leur cœur de métier est rarement le développement de solutions logicielles.

M. Baptiste Grigy. Nous avons en effet un écosystème de start-up assez important, qui développent parfois des solutions logicielles. Néanmoins, le constat que nous faisons est que nous avons du mal à les intégrer et à les utiliser pour nos propres besoins, y compris pour des solutions de cybersécurité.

Par contre, un élément n’a pas été abordé. Nous avons beaucoup parlé de la Dinum, et nous sommes d’accord avec tout ce qui a été dit. Mais il existe aussi de nombreux champions français ou européens. J’avais préparé une liste, que je ne détaillerai pas, mais l’écosystème industriel est très riche et offre de nombreuses solutions pour des domaines où nous pouvons être bloqués. Il faut que nous arrivions collectivement à inciter également les groupes privés à investir dans ces solutions, car la commande publique, dont nous discutons au sein du Cigref, ne suffit pas. Je pense qu’il faut raisonner au niveau européen ; si nous nous limitons au franco-français, nous serons vite coincés. Il y a vraiment des solutions significatives dans le monde du logiciel européen, avec de nombreuses sociétés naissantes ou déjà bien avancées qu’il faut soutenir.

M. Sammy Sahnoune. En complément, nous faisons beaucoup de veille technologique pour suivre ce qui se fait au niveau national et européen. Nous consultons notamment des sites comme Go European pour identifier les technologies émergentes. Il est vrai que sur la partie cybersécurité, notre veille est un peu moins importante que sur les applicatifs hors infrastructure et systèmes. Nous testons des solutions ; il nous arrive de réaliser des preuves de concept (POC) avec des start-up, notamment sur la gestion de la donnée. L’une d’elles, Adlin Science, a été retenue récemment dans le cadre de l’Alliance IA Santé, et nous avions collaboré avec elle à ses débuts.

M. Baptiste Grigy. Je voulais juste ajouter qu’il est impératif de continuer à investir dans la recherche. Une part importante de la recherche en numérique est menée dans différents organismes, pas seulement au CEA. C’est aussi cet effort qui nous permettra de disposer de solutions souveraines au niveau européen. Il faut vraiment que nous parvenions à maintenir ce haut niveau de recherche.

Mme Sophie-Laurence Roy, présidente. Chers collègues, avez-vous une question ?

M. Nicolas Bonnet (EcoS). Pour aller plus loin sur les logiciels libres, je souhaiterais savoir si vous avez envisagé une migration plus globale des postes utilisateurs vers Linux. Vous évoquiez, je crois au niveau du CEA, avoir dû remplacer de nombreux ordinateurs en raison de la migration obligatoire vers Windows 11. Une alternative aurait pu être Linux, car il existe aujourd’hui des distributions très avancées et faciles à installer. On y retrouve la plupart des fonctionnalités, même si les outils Microsoft sont absents, et les alternatives à la suite Microsoft sont aujourd’hui assez performantes.

J’aimerais aussi que vous nous détailliez les manques que vous identifiez aujourd’hui du côté des logiciels libres, c’est-à-dire les domaines pour lesquels vous ne trouvez pas de solutions répondant à vos besoins.

Enfin, vous avez indiqué que les logiciels libres nécessitaient moins d’argent en licences mais plus de temps de travail. J’aimerais comprendre si c’est une généralité et avoir des exemples pour saisir pourquoi il serait fondamentalement plus compliqué de développer et de déployer une solution basée sur un logiciel libre.

M. Baptiste Grigy. Je peux commencer sur la partie Linux. Je pensais à cela tout à l’heure quand mon collègue mentionnait les difficultés de conduite du changement lors du passage d’un environnement à un autre. C’est vrai pour les applicatifs, mais c’est encore plus vrai pour le système d’exploitation. Une partie de notre parc est déjà sous Linux, car il y a beaucoup de développeurs au CEA. Pour toute cette communauté, cela se passe très bien, et nous aurions même du mal à les faire revenir sur Windows. Néanmoins, pour un déploiement global à l’échelle de l’organisme, cela reste très compliqué. On cite souvent l’exemple de la gendarmerie, qui a fait cette transition il y a très longtemps, mais nous avons finalement peu d’exemples réussis d’organisations, publiques ou privées, qui soient entièrement passées sous Linux. Il faut tout de même essayer, je pense, d’augmenter cette proportion.

M. Nicolas Bonnet (EcoS). C’est le « pourquoi » qui m’intéresse.

M. Baptiste Grigy. Le « pourquoi » réside, je pense, dans l’intégration et la facilité d’usage. Nous avons aussi quelques aficionados d’Apple qu’il est difficile de faire passer à d’autres systèmes d’exploitation. Mais c’est la facilité d’utilisation qui prime, ainsi que l’intégration de l’ensemble de la suite Microsoft, qui a été conçue à dessein pour être de bout en bout. Passer d’un environnement de type iOS ou Windows à Linux reste un changement majeur pour les utilisateurs non informaticiens. Néanmoins, il faut y aller.

De plus, comme je le mentionnais, Windows et sa suite ne sont que la partie émergée de l’iceberg. Même si nous fournissions aujourd’hui à nos utilisateurs un poste Linux, les identités resteraient gérées par une solution Microsoft. C’est pourquoi, même un poste de travail « Microsoft-free » ne nous permettrait pas de sortir complètement de ces solutions.

Dans cette recherche d’indépendance et de souveraineté, nous allons tâcher d’augmenter notre ratio de postes Linux. Nous allons dans cette direction.

Vous nous interrogiez également sur les manques en matière d’open source. Je n’ai pas d’idée complètement précise, mais je pense que du côté des outils de cybersécurité, comme Splunk que nous avons mentionné, ou pour la surveillance de nos réseaux, nous nous appuyons aujourd’hui sur des solutions propriétaires très abouties. Je ne pense pas que nous ayons de pistes pour l’instant pour les remplacer par de l’open source.

Enfin, sur le troisième volet de votre question concernant l’effort supplémentaire : avec les solutions propriétaires que nous achetons, nous recevons des paquets de mise à jour sur lesquels il suffit de cliquer pour les déployer. Les outils open source que nous utilisons demandent plus d’efforts : il faut davantage les maîtriser, et parfois « ouvrir le capot », comme cela a été dit. C’est plus simple, plus one-click, avec les solutions que l’on achète.

M. Sammy Sahnoune. Pour répondre à la première partie de la question sur Linux, nous avons des chercheurs qui utilisent cet OS ; c’est assez répandu. Pourquoi ne pas l’étendre ? C’est une bonne question. Historiquement, l’installation des premières versions de Linux était très fastidieuse, surtout pour un utilisateur non averti. Installer un pilote pour faire fonctionner une imprimante relevait de la croix et de la bannière. Ce ressenti a perduré. On cite l’exemple de la gendarmerie, qui s’est très bien adaptée, mais nous pourrions peut-être y aller progressivement, en commençant par les chercheurs avant de l’étendre au personnel d’appui. Il y aurait cependant des problèmes de compatibilité d’outils à identifier. Mais à l’heure actuelle, nous ne nous sommes pas posé cette question pour les services d’appui.

Concernant les logiciels open source, cela dépend de la typologie des systèmes d’information. Pour la cybersécurité, nous avons évoqué les ressources humaines nécessaires pour administrer des solutions open source. J’en ai plusieurs en tête pour lesquelles il faudrait une armée derrière, car l’administration se fait presque en ligne de commande. C’est possible pour un administrateur compétent, mais au-delà de cela, je dirais que c’est la conception même des outils américains qui est extrêmement ergonomique et facilitatrice. Tout est pensé pour industrialiser et mettre à l’échelle avec très peu d’administration, hormis un peu de paramétrage. On ne retrouve pas souvent ce côté facilitateur.

J’ai entendu l’exemple de Splunk. Nous avons testé d’autres solutions, certes américaines, mais encore plus évoluées, où tout est intégré : la corrélation des logs de tous les équipements, l’analyse par l’IA, et même l’automatisation des réponses sur incident. Ces aspects hyper didactiques, faciles à l’usage et sécurisants, posent la question du moment où nous atteindrons ce niveau de maturité avec des solutions franco-françaises ou européennes.

Il faut aussi éviter les idées reçues sur le libre. Quand on parle de logiciel libre, on pense souvent au système d’exploitation, pas aux petites applications développées et maintenues en interne. Quand on parle d’écosystèmes à l’échelle industrielle, on prend généralement du support derrière. Les équipes de support interviennent sur un logiciel libre, mais qui correspond à un support d’intégrateur. Je pense à Red Hat pour Linux. On peut certes regarder le code, mais qui le fait vraiment ? On a une forme de maîtrise de la conception qui nous donne la possibilité de changer. En revanche, quand on part sur des suites supportées par des intégrateurs américains, c’est compliqué de se dire que l’on est souverain.

M. Nicolas Bonnet (EcoS). L’intérêt de l’open source, je crois, c’est qu’on peut en faire ce que l’on veut, contrairement à une solution américaine où l’on ne peut que faire confiance.

M. Sammy Sahnoune. On parlait de mise à jour il y a quelques secondes. Si l’on prend du support sur des distributions Linux comme Red Hat, on ne fait pas non plus ce que l’on veut.

M. Nicolas Bonnet (EcoS). On ne fait pas plus ce que l’on veut avec Microsoft.

M. Sammy Sahnoune. Oui, nous sommes complètement d’accord sur ce point.

M. Jean-Michel Vansteene. Je vais donner quelques éléments pour l’Inrae. Nous avons bien réfléchi à la question de Linux sur le poste de travail. La marche est haute et nous n’y sommes pas encore. Une petite équipe va se constituer sur un de nos sites pour évaluer ce que signifierait un passage à Linux. Nous avons évidemment une communauté de chercheurs qui l’utilisent déjà, environ 5 à 10 %, qui sont convaincus. Par ailleurs, une petite équipe au sein de la DSI va réfléchir à ce que cela impliquerait à grande échelle.

Au-delà de ce qui a été dit, il y a la question des applications. La simplicité du déploiement d’un poste est, je pense, acquise. En revanche, les applications posent une réelle difficulté, certaines n’existant tout simplement pas sous Linux. Un autre sujet est le format des documents. Il nous faudrait repenser la conception de certains documents très dépendants d’Excel, Word ou PowerPoint, pour les rendre indépendants de la solution logicielle. C’est un travail à mener.

Enfin, il faut que nous arrivions à casser les modèles. La notion de commun numérique implique une communauté autour du libre. Nous devons repenser nos modèles de conception et de déploiement en mode communautaire, et non en silo, équipe par équipe. À vouloir cloisonner par petites équipes, nous n’arriverons pas à grandir ensemble. Il faut vraiment réfléchir à la manière de mettre en place des communautés et de mutualiser nos compétences pour construire l’avenir de nos solutions.

M. Baptiste Grigy. Ce n’est pas une excuse pour ne pas y aller, mais je voulais illustrer l’avance prise par les solutions, notamment américaines, en termes de facilité d’utilisation. En 2008, le top 10 des capitalisations boursières aux États-Unis comprenait des entreprises comme Exxon, Walmart et AT&T. Aujourd’hui, neuf des dix premières sont des géants du numérique : Nvidia, Apple, Alphabet, Microsoft, Amazon, etc., et leur capitalisation a été multipliée par dix. Cela montre que, sur les quinze dernières années, une avance énorme a été prise en termes de fonctionnalités, d’intégration et de complétude des solutions, ce qui rend extrêmement difficile, même avec beaucoup d’efforts et le logiciel libre, de rattraper ce retard.

M. Nicolas Bonnet (EcoS). La question est justement de réussir à impulser une dynamique pour que davantage de personnes se tournent vers le logiciel libre, afin que les communautés disposent de plus de moyens pour l’améliorer. Mais cela demande aussi un investissement interne à un moment donné. Certes, Windows est plus simple. Peut-être pas à installer, car Linux est facile à installer aujourd’hui, mais il y a la question des logiciels que l’on installe dessus. J’aurais été intéressé par des exemples de logiciels pour lesquels vous ne trouvez pas d’alternative fonctionnelle sous Linux, vous obligeant à rester sur Windows.

Sans négliger le fait que cela peut demander un investissement en temps plus important, j’ai l’impression que l’époque où il était difficile d’installer des pilotes est révolue. Il y a vingt-cinq ans, c’était effectivement compliqué, mais ce n’est plus le cas aujourd’hui. Je ne peux que vous inviter à regarder cela de près, car c’est en revenant collectivement vers le libre que celui-ci s’améliorera.

Mme Sophie-Laurence Roy, présidente. Messieurs, je vous remercie de votre disponibilité et de votre écoute. Cet échange était réellement très intéressant. Félicitations pour votre volonté de vous engager dans une recherche de sécurité et de souveraineté. Nous avons tous bien compris que la tâche est très difficile, que les entreprises françaises ne sont manifestement pas au niveau et qu’il faudra des efforts considérables si nous voulons concurrencer les États-Unis sur ce plan également.

La séance s’achève à dix-huit heures vingt-cinq.

———

Membres présents ou excusés

Présents. – M. Nicolas Bonnet, Mme Cyrielle Chatelain, Mme Sophie-Laurence Roy

Excusé. – M. Philippe Latombe