21_RAP_3 - Rapport du Conseil d'Etat au Grand Conseil sur le postulat Jean-François Chapuisat et consorts au nom du groupe Vert'libéral - Pour une solution de visioconférence fiable, conviviale, et sécurisée ! (20_POS_220).

Séance du Grand Conseil du mardi 21 mars 2023, point 37 de l'ordre du jour

Documents

• Rapport de la CTSI-21_RAP_3-M. Gay
• Texte adopté par CE - Rap-CE POS Chapuisat 20_POS_220 - publié

Transcriptions

La Commission thématique des systèmes d’information s'est réunie le mardi 23 août 2022 pour traiter le postulat de notre collègue Jean-François Chapuisat demandant une solution de visioconférence fiable, conviviale, sécurisée, pour la tenue de nos séances de commission. En parallèle à ce postulat, le député Chapuisat a déposé une motion afin de fixer au sein de la Loi sur le Grand Conseil (LGC) la possibilité de tenir certaines séances de commission en visioconférence. En juin 2022, la Commission des institutions et des droits politiques a remis son projet de loi, proposant un article consacré aux séances de commission et en précisant les modalités pour leur éventuelle tenue à distance par visioconférence.

La pandémie a nécessité un déploiement très rapide de solutions à distance, tout en maintenant une sécurité informatique élevée. La Direction générale du numérique et des systèmes d’information (DGNSI) a choisi la solution de visioconférence Webex. Cette solution s'intègre dans une stratégie d'organisation du travail à distance, qui concerne près de 40'000 collaboratrices et collaborateurs au sein de l’Etat de Vaud. La DGNSI a pris en compte divers critères, dont la fonctionnalité, la performance, la faisabilité, la facilité d'utilisation et la convivialité de la solution, mais également la sécurité et la protection des données. La solution de visioconférence choisie doit être compatible avec les autres solutions métiers de l’Etat de Vaud comme la messagerie, la téléphonie, les agendas, le système de gestion documentaire ou d'archivage.

Pendant le Covid, jusqu'à 7000 personnes se retrouvaient en télétravail et utilisaient des outils distanciels. Des réunions Webex ont pu rassembler plusieurs centaines de personnes ; certaines journées ont compté plus de 1000 sessions Webex. Pour soutenir un tel volume d'utilisation, l’outil doit être éprouvé. Au terme de son analyse, le Conseil d'Etat constate que la solution Cisco Webex a été évaluée de manière très satisfaisante en termes de fiabilité, de convivialité et de sécurité. Webex est un produit Cloud dont les données sont hébergées sur des serveurs localisés en Allemagne, pays considéré comme garantissant le niveau de protection des données équivalant à la Loi fédérale sur la protection des données.

Le Conseil d'Etat admet qu'il existe des solutions suisses sur des logiciels open source. Ces solutions ne permettent cependant pas une intégration des éléments internes de l'Administration cantonale vaudoise, tels que les carnets d'adresses, la messagerie, les agendas, le système de téléphonie, etc. L'objectif ne consiste pas à choisir des logiciels libres par principe, mais bien de permettre aux collaboratrices et collaborateurs de l'Etat d'exercer leurs activités efficacement afin d'assumer les missions de l'Etat.

En conclusion, la Commission thématique des systèmes d’information confirme que la DGNSI dispose des compétences et des moyens pour mettre à disposition une solution de visioconférence fiable, conviviale et sécurisée. A l'unanimité moins une abstention, la Commission thématique des systèmes d’information vous recommande d'accepter le rapport du Conseil d'Etat.

La discussion est ouverte.

En préalable, je déclare mes intérêts comme partie prenante dans une start-up vaudoise qui développe un Web 3.0 permettant l'échange d'informations de façon simple, sécurisée, sans avoir recours à aucun serveur. Dans un premier temps, je tiens à remercier les membres de la Commission thématique des systèmes d’information de la législature précédente pour le travail effectué tout comme le Conseil d'Etat et ses services, la DGNSI, pour le rapport produit, très complet et vulgarisé. En commission, j'ai accepté cette réponse forte d’arguments assez implacables, notamment le fait que la solution Webex est comprise dans les contrats avec Cisco. Ainsi, pourquoi dépenser de l'argent pour développer une solution, alors qu’elle est accessible gratuitement ? Néanmoins, je l'ai acceptée avec regret, un regret que j’aimerais vous communiquer. En effet, aujourd'hui, au niveau de la stratégie relative aux systèmes d'information, j’ai l'impression que nous mettons tous nos œufs dans le même panier, car, nous travaillons beaucoup avec de grosses sociétés, américaines ou européennes, Oracle SAP, Cisco. A l’évidence, l’aspect sécuritaire n'est remis en cause par personne, pèse et conduit à des solutions de plus en plus complexes et onéreuses, de moins en moins conviviales, par exemple SIEL – sans vouloir polémiquer. Comme rappelé tout à l'heure lors de la lecture du rapport, un autre problème est relatif au fait que ces systèmes sont de plus en plus fermés. Aujourd'hui, si nous voulons mettre en place un système de visioconférence en s'appuyant sur des logiciels libres, cela devient de plus en plus complexe, parce que nous ne parvenons plus à les synchroniser avec des agendas ou d'autres outils.

Ces grosses sociétés ne sont pas idiotes : elles cloisonnent leurs systèmes. Quant aux implications financières, elles s’avèrent, à mon sens, plus délicates. Le modèle financier de ces sociétés a changé. A l'époque, nous achetions un logiciel que nous utilisions quelques années, puis devenu trop obsolète, nous nous procurions la nouvelle version. Aujourd'hui, le modèle d'affaires a changé, car nous travaillons désormais par licences ; tous ceux qui ont Office sur leurs ordinateurs le savent. Ces grosses sociétés ont exactement le même système. Le coût des investissements – sauf erreur de ma part – de la précédente législature équivaut à 383'000'000 francs ; à cela s'ajoutent des licences. Pendant la législature précédente, lorsque je faisais partie de la Commission de gestion, dans le rapport 2021, j’ai donné l'exemple de la Direction générale de l'environnement (DGE) qui admet environ 300 ETP. Tous ses systèmes d'information ont dû être remplacés : trois projets de décret votés lors de la législature précédente pour plus de 32 millions. Plus de 100 millions d'investissement par ETP pour des systèmes d'information. Des sommes colossales, sachant qu’un quatrième arrive avec cette législature.

Enfin, l’autre problème concerne les licences. A l'heure actuelle, celles pour la DGE équivalent à un peu moins de 2 millions, c’est-à-dire entre 5000 et 6000 francs de licence par ETP, chaque année. Un montant supplémentaire à endosser par les services ; un choix que je regrette. Mon souhait pour le futur : changer un peu de fusil d'épaule, tester vraiment une solution qui change complètement de paradigme, peut-être avec des logiciels libres, de façon à ne pas mettre tous nos œufs dans le même panier. Enfin, j'ai tout de même accepté cette réponse, et je le réitérerai lors du vote final.

On mise sur Cisco Webex qui s’est apparemment beaucoup développé et amélioré depuis notre utilisation dans le cadre des commissions, dans le contexte du Covid de 2020. Je note qu'on peut aujourd'hui l’utiliser sur Linux ; ouf ! Espérons que la protection des données suivra avec un hébergement en Allemagne, suite à l'adoption par l'Union européenne de sa Loi sur la protection des données, car il faut admettre qu'il y a trois ans, son utilisation dans le cadre confidentiel des commissions relevait de la bonne blague que seul l'état d'urgence pouvait justifier.

J'aimerais partager avec vous une anecdote concernant une des alternatives étudiées dans ce rapport. Il s'agit de Wire qui n'a pas été retenu pour des raisons qui sont manifestement tout à fait valables – comme d'habitude. Bien avant la pandémie, j'utilisais Wire comme messagerie qui était d'ailleurs recommandée par Edward Snowden pour son respect des données individuelles. Son histoire est intéressante, parce qu'il s'agissait d'une solution suisse. Mais le commun des mortels préfère utiliser WhatsApp, beaucoup plus courant.

En 2020, parce que Wire n'avait pas suffisamment d'utilisateurs, il a été racheté par des Américains, soumettant ainsi les données de tous leurs utilisateurs au Cloud Act qui autorise la consultation par les services secrets américains. Même si Wire a ensuite été relocalisé en Allemagne, ceci reste un exemple de ce qui se passe à force de favoriser des multinationales au détriment de solutions locales. Et, aujourd'hui, encore, ici, on lui préfère Cisco. Pour ma part, dans la mesure où refuser ce rapport ne changerait absolument rien, je m'abstiendrai.

Je fais partie de la Commission thématique des systèmes d’information et j'avais accepté la réponse, dont je tiens à souligner la qualité, car je l'ai trouvée accessible et très complète. Cependant je partage les réserves du postulant et de ma préopinante.

Les logiciels libres s'inscrivent dans une vision démocratique d’Internet : un réseau ouvert, collaboratif, transparent, décentralisé qui appartient à ses utilisateur-ice-s et les sert, c’est-à-dire à l'opposé de la direction majoritairement imposée aujourd'hui d’un Internet de plus en plus centralisé et contrôlé par un nombre toujours plus restreint d'entreprises mondiales, qui proposent des solutions boîtes noires, clés en main auxquelles on n'a pas d'autre choix que de faire confiance, en échange de nos données et d'une dépendance accrue. Je pense donc que cela fait véritablement partie du rôle de nos institutions d’encourager et de favoriser autant que possible les logiciels libres, à la fois dans leur intérêt direct et dans un esprit d'exemplarité.

Je comprends bien la pesée des intérêts et j’entends entièrement les arguments du Conseil d'Etat qui l'ont poussé à se diriger vers la solution Cisco, notamment en termes de fiabilité, d’intégration, de performance et de sécurité ; des axes qu'on ne peut évidemment pas négliger. Je comprends qu’il ne s’agisse pas de choisir les « logiciels libres » simplement par principe, mais je conserve la crainte que cet axe ne soit pas suffisamment considéré dans cette pondération. Par rapport à ces considérations, il faut aussi relever que plus les logiciels libres sont utilisés, plus vite ils peuvent s'améliorer.

En conclusion, peut-être que le choix de la solution de visioconférence ne constitue pas le bon projet pour se tourner vers des solutions libres. Comme le postulant, j'encourage vivement le Conseil d'Etat et la DGNSI à favoriser sérieusement cette option dans les prochaines sélections de solutions dans d'autres domaines.

Sans avoir prévu de prendre la parole, il est toujours agréable de s’y employer lorsqu’il s’agit de logiciels libres, quelque chose que je connais depuis un certain nombre d’années. La consultation de la conclusion de ce rapport me rapproche des propos de M. Schenker. Sur la base des analyses multicritères, le Conseil d'Etat ne privilégie actuellement pas une solution logicielle locale basée sur les logiciels libres « notamment pour des questions de cryptage et de sécurité, ainsi que d'intégration, etc. » Madame la conseillère d’Etat, j’ai besoin de vos lumières !

Je déclare mes liens d’intérêt comme enseignant d'informatique au gymnase de Beaulieu. Il m'arrive souvent de discuter avec mes élèves et de leur expliquer finalement que le cryptage, notamment des mails, représente notre possibilité de cacher de l’information, de la donner à qui il ou elle le souhaite. Il provient précisément du monde des logiciels libres, un mouvement qui s'appelle les cypherpunks et dont M. Zimmermann est à l'origine de ce qu'on appelle PGP, le logiciel principal de cryptage. Ce dernier est encore utilisé actuellement. Il fut d’abord interdit par le gouvernement américain qui craignait de perdre la mainmise sur les informations que les différentes citoyennes et citoyens américains pouvaient s'échanger, ce toujours sous couvert du fameux risque de terrorisme. Il n'empêche qu'aujourd'hui encore, les logiciels libres sont ouverts grâce à ce fait, l'algorithme qui permet de crypter aussi ; la seule chose qui demeure secrète reste le secret lui-même. Par conséquent, vous me voyez extrêmement étonné de lire dans le rapport que pour des raisons de cryptage et de sécurité, la solution des logiciels libres a été mise de côté. Je soutiendrai largement les remarques de M. le député Schenker et de Mme la députée Sabine Glauser Krug : quand est-ce que le canton de Vaud va enfin passer dans le domaine du logiciel libre et donc de l'avenir ?

Comme j'ai eu l'occasion de l’indiquer à la Commission thématique des systèmes d’information, fondamentalement, la question du choix du fournisseur de la solution pour les vidéoconférences s'est affinée, mais a largement été prise pendant la période du Covid, puisque je le rappelle, l’Etat de Vaud a dû renvoyer des milliers de collaboratrices et de collaborateurs à la maison, mais avec pour mission de très rapidement poursuivre l'activité, pour être en mesure de répondre aux diverses et nombreuses demandes de la population. A ce moment-là, quand il n'y avait plus rien, il restait l’Etat. Nous avons opté pour cette solution entre autres pour des motifs de sécurité et de confort d'utilisation. Comme nous avons eu l'occasion de le dire en commission, les études alternatives à la solution en place sont en cours. La question des logiciels libres fait très clairement partie des éléments que nous avons à évaluer. J’en profite pour rappeler que si nous devions changer de fournisseur, les critères notamment de prix seraient inévitablement pris en considération. Comme vous le savez, les logiciels libres présentent énormément d'avantages. Quant à la solution Cisco, elle présente un avantage financier – vous le savez – puisqu’aujourd'hui, l'entreprise s'occupe du domaine de la sécurisation. Or, avec une solution alternative en logiciel libre, il reviendrait évidemment à la charge de l'Etat de procéder à cette sécurisation, entraînant ainsi une augmentation du volume financier. Ces éléments comptent dans un appel d'offres public. S’il ne s’agit pas forcément du seul critère déterminant, il n’en demeure pas moins l’un de ceux que le Conseil d'Etat prend en considération.

Cela étant, pour ne pas caricaturer – comme vous le savez, j’abhorre les caricatures – plus de 80 % de nos serveurs fonctionnent sur des OS open source, comme indiquédans son rapport par la DGNSI relativement à la question des logiciels libres ; vous le savez, étant vous-même membre de la commission et ayant reçu ces informations. Ainsi, le Conseil d'Etat – via la DGNSI en l’espèce – dès qu’elle le peut s’y emploie dans 80 % des situations. A l’évidence, nous ne nous trouvons pas dans une posture de caricature. La question des logiciels libres n’est pas découverte aujourd'hui !

Le choix de la solution Cisco s’est opéré dans un moment très particulier, et chacun et chacune s'est montré assez satisfait-e de la solution fournie pour le télétravail. Il était très important de pouvoir le faire pour les milliers de personnes que nous avons dû renvoyer à la maison, d’un jour à l'autre, et de pouvoir accéder à une solution sécurisée, conviviale et qui fonctionne. Sur la base du rapport, tel qu’il vous a été transmis, l’étude d'alternative à la solution en place n'est évidemment pas exclue : une démarche permanente que nous entreprenons à la DGNSI. Ainsi, la Commission thématique des systèmes d’information et le Conseil d'Etat se rejoignent pour veiller à choisir des solutions qui soient en open source. En l'espèce, ce choix était celui qui s'est imposé à ce moment-là.

La discussion est close.

Le rapport du Conseil d'Etat est admis par 100 voix et 18 abstentions.