La migration fédérale vers Microsoft 365 sous la loupe du Contrôle des finances
L'administration fédérale a prévu d'utiliser à l'avenir le produit cloud Microsoft 365 comme solution bureautique. Dans son rapport d'audit, le Contrôle fédéral des finances constate que la migration progresse avec un léger retard et recommande à la Confédération de veiller aux risques et aux doublons.
«Un tableau mitigé»: voilà comment le Contrôle fédéral des finances (CDF) résume son examen de la migration de l'administration fédérale vers Microsoft 365. Dans le cadre de ce projet, la Confédération veut migrer au total 40'000 postes de travail de l'ensemble de produits Microsoft Office installés localement vers Microsoft 365 basé sur le cloud. La transition a déjà commencé et devrait durer jusqu'en 2025. Le CDF fait remarquer que si le projet a été classé comme projet informatique clé, cela n’est pas dû à son volume de 26,5 millions de francs, mais parce qu'il a des répercussions sur le mode de travail de presque toute l'administration fédérale.
Plus de temps?
La réalisation du projet Cloud Enabling Bureautique (CEBA) avance avec de légers retards, écrit le CDF dans son rapport, qui correspond à son état fin 2023. Concrètement, l'organe de contrôle mentionne un retard de six semaines pour le sous-projet «CEBA Zielllösung» et de six mois pour « Cloud @ Ausland» par rapport à la planification initiale.
Mais le fait que le projet prenne plus de temps ne semble pas gêner le CDF. Le projet CEBA, note l'autorité, se base sur l'hypothèse qu'une exploitation locale de la gamme de produits Microsoft Office ne sera plus possible à partir de 2026. Mais entre-temps, des éléments ont montré que cette possibilité devrait tout de même exister. Le CDF renvoie à cet égard à des documents publiés par Microsoft. En effet, le géant de la technologie a récemment annoncé une version d'Office sans licence d'abonnement. Le Contrôle des finances recommande au secteur Transformation numérique et gouvernance de l’informatique (TNI), responsable du CEBA, de clarifier avec Microsoft jusqu'à quand une utilisation de la suite Microsoft Office sans connexion au cloud sera supportée. L'organe de contrôle mentionne entre autres les risques résiduels liés à l'utilisation du cloud et estime que «le possible changement de situation de départ pourrait donner plus de temps au projet, notamment pour remédier à cette situation».
Dans sa réaction, le secteur TNI accepte certes la recommandation. Mais il ajoute également qu'une nouvelle validation a déjà eu lieu avec Microsoft. Verdict: «Microsoft n'a pas pu garantir que les fonctionnalités et les interfaces de la version on-prem actuelle seraient assurées pour une large utilisation au-delà de 2026».
Absence d'un concept de surveillance
Au total, le rapport du CDF contient huit recommandations concernant le projet CEBA, dont quatre de niveau de priorité 1. Le Contrôle des finances déplore par exemple l'absence d'un concept de surveillance et de contrôle de Microsoft. Avec l'introduction de Microsoft 365, il ne suffit plus de gérer et de piloter Microsoft comme un fournisseur, car le groupe technologique devient désormais un prestataire de services. Certes, Microsoft exploite un système de contrôle interne et met à disposition de ses clients des informations à ce sujet. Mais le CDF constate que la Confédération n'a pas encore de stratégie sur la manière dont elle doit utiliser ces données. En outre, «il n’existe pas encore de concept coordonné en la matière». Le CDF recommande au secteur TNI d’élaborer et de mettre en œuvre un tel concept en tenant compte des compétences des offices concernés. Le secteur TNI accepte cette recommandation et indique qu'il soumettra entre autres les services cloud de Microsoft à un audit.
Risques et doublons
Le CDF trouve également à redire sur le concept de sécurité et de protection des informations. A cet égard, il faudrait s'assurer que l'exhaustivité des risques est vérifiée et qu'il existe une compréhension des risques coordonnée avec les utilisateurs ultérieurs. Les risques résiduels devraient en outre être validés au niveau hiérarchique approprié. Dans sa prise de position, le secteur TNI écrit que le concept a été achevé et signé début 2024. Les risques résiduels seraient assumés par le chancelier et le chef du TNI. Dans sa réponse à une autre recommandation, le secteur TNI assure en outre que les risques de projet rapportés seront régulièrement comparés avec le rapport sur les projets clés.
Une quatrième recommandation de priorité 1 concerne la solution de conférence et de téléphonie Microsoft Teams. Selon le rapport, l'administration fédérale utilise encore actuellement Microsoft Skype for Business, dont le support expire à son tour fin octobre 2025. Teams, qui est en partie déployé dans le cadre du projet CEBA, ne remplace pas la fonction de téléphonie de Skype for Business, mais une autre possibilité de chat et de visiophonie, écrit le CDF. Entre-temps, plusieurs projets de remplacement de Skype semblent avoir été mis en place. Sans surprise, l'organe de contrôle recommande au secteur TNI d'assurer une étroite coordination des fonctionnalités Collaboration et Téléphonie, en vue d'éviter de nouveaux doublons. Le secteur TNI affirme que cette coordination étroite est assurée. La planification concrète d'un changement se fait dans le cadre du projet séparé «Téléphonie hybride».