Dans les coulisses du contrat cloud de la Confédération

La 11e conférence sur les achats informatiques a eu lieu le 24 août. Près de 300 acteurs ont répondu à l’invitation à Berne, indiquent les organisateurs. Le slogan de la conférence de cette année était «Make or Buy? Make and Buy!»

Et il a bien entendu été question de l’une des acquisitions IT de la Confédération les plus discutées: son méga-contrat de cloud public conclu avec cinq fournisseurs. Pour rappel, en été 2021, la Confédération a attribué un contrat d'une valeur totale allant jusqu'à 110 millions de francs à cinq fournisseurs de cloud publics ( IBM, AWS, Oracle, Azure et Alibaba). Une décision très critiquée qui a fait ressurgir la question du cloud souverain.

>> La Confédération s’explique sur son recours à des prestataires cloud étrangers

Négociations

Au-delà de ces critiques, comment la Confédération a-t-elle abordé le projet après l'appel d'offres? Et comment les contrats avec les hyperscalers ont-ils été conclus? Les participants à la conférence ont obtenu quelques informations sur les coulisses lors de l’exposé d’Erica Dubach, chargée de domaine au sein du comité de pilotage IT et transformation numérique de la Chancellerie fédérale.

Le travail en équipes clairement structurées a fait ses preuves, a expliqué la responsable. Orientée vers l'extérieur, l'une des équipes s'est occupée des négociations contractuelles. Erica Dubach a décrit comment les cinq prestataires se regardaient en chiens de faïence lors du kick-off. L'équipe de la Confédération les a informés des conditions-cadres et des règles de communication. Parmi les conditions, l'administration fédérale exigeait un contrat-cadre et la même procédure d'appel de la part de tous les fournisseurs. «C’était déjà un premier obstacle», a commenté Erica Dubach.

Un catalogue de 23 critères d'exigences définis par la Confédération a ensuite joué un rôle central dans les négociations contractuelles. L'administration fédérale a utilisé ces critères pour analyser les offres soumises par les cinq soumissionnaires. Chacun a ensuite pu visualiser les critères que les autres soumissionnaires (anonymisés) remplissaient. La tactique de la Confédération a dès lors consisté à confronter les différents fournisseurs. Et la responsable de donner pour exemple: «Tu n'as obtenu que le jaune pour ce critère; nous aimerions que tu passes au vert; le fournisseur numéro quatre est déjà vert».

L’approche a permis de faire pression sur les fournisseurs. Avec succès, selon Dubach. Grâce à cette stratégie de négociation, il a notamment été possible de négocier de meilleures normes de protection chez tous les hyperscalers. La responsable mentionne également la technologie SCION pour le transfert sécurisé des données, qui bien que ne figurant pas dans l'appel d'offres initial, a été incluse dans tous les contrats grâce à la technique de négociation mise en œuvre.

Se préparer au cloud

Erica Dubach a également donnée des informations sur le volet interne du projet. «Si une administration fédérale passe au cloud public, elle a besoin de gouvernance»», a-t-elle souligné. Ainsi, chaque administration qui souhaite utiliser le cloud doit établir un cahier des charges neutre vis-à-vis des fournisseurs. Ce cahier des charges est ensuite comparé aux critères d'évaluation des cinq fournisseurs, ce qui permet de déterminer le fournisseur idéal. Il faut également définir les droits et les obligations de l'Office fédéral de l'informatique et de la télécommunication (OFIT), qui réalisera concrètement les travaux sur le cloud, notamment en matière de de risques de sécurité et de conformité.

Erica Dubach a également indiqué qu’un rapport sur le cadre juridique de l'utilisation du cloud dans l'administration fédérale est en cours d'élaboration. Et d’ajouter: «Nous savons que beaucoup attendent ce travail, cet état des lieux. Comme tous les travaux de base ne sont pas encore terminés, il n'est pas encore possible de dire grand-chose à ce sujet, mais "nous communiquerons ce que nous pouvons"».

>> Le Tribunal administratif fédéral devra statuer sur le projet de cloud public de la Confédération

Dans son exposé et lors de la séance de questions-réponses, Erica Dubach a admis que la Confédération est tributaire des prestations des grands fournisseurs de cloud. A l’instar de Météo Suisse qui mise depuis longtemps déjà sur l'infrastructure d’AWS. «Les modèles météorologiques ont besoin de telles capacités», a expliqué la responsable. Elle a en outre souligné qu'aucune donnée personnelle ne serait stockée sur les serveurs des hyperscalers ayant remporté l'appel d'offres. C»contrairement aux données météorologiques «qui peuvent être mises sur le cloud sans crainte».