Des évaluateurs en cybersécurité du gouvernement américain ont qualifié la documentation de sécurité du Government Community Cloud High de Microsoft de « tas de merde » dans des documents internes révélés en mars 2026. Pourtant, ce même cloud destiné à héberger des données classifiées avait reçu l'autorisation officielle de FedRAMP dès décembre 2024. Ce contraste saisissant, mis en lumière par le média spécialisé Byteiota et recoupé avec le travail d'enquête de ProPublica sur les défaillances structurelles du programme FedRAMP, soulève une question vertigineuse : pourquoi valider un système que vos propres experts jugent indigne de confiance ? L'expression n'est pas une exagération journalistique. Elle figure mot pour mot dans les comptes rendus d'audit interne. Le GCC High est censé protéger les informations les plus sensibles de l'État fédéral américain, de la défense à la diplomatie. Voilà le décor planté pour une histoire qui mêle cynisme bureaucratique, dépendance technologique et abandon de toute exigence technique.
Sécurité du GCC High : diagrammes manquants et chiffrement oublié
Des lacunes documentaires qui rendent tout audit impossible
Le GCC High n'est pas un produit ordinaire. C'est la version la plus sensible du cloud gouvernemental de Microsoft, spécialement conçue pour héberger des données classifiées de l'État fédéral américain. Le niveau d'exigence devrait être maximal. Les évaluateurs chargés d'examiner la documentation de sécurité de ce système n'ont pourtant pas trouvé les mots pour décrire leur frustration avec la distance professionnelle habituelle. Ce qui a précisément poussé les évaluateurs fédéraux à un jugement aussi sévère n'a rien d'anecdotique. FedRAMP avait demandé à Microsoft des diagrammes de flux de données détaillés, montrant précisément comment les informations voyagent à travers les systèmes du GCC High et à quel moment le chiffrement intervient. C'est le strict minimum pour évaluer la sécurité d'une architecture cloud. Microsoft a mis des mois à répondre, et les documents fournis étaient incomplets. Des points critiques de chiffrement étaient simplement absents des schémas, comme si l'entreprise n'avait pas jugé nécessaire de documenter des étapes fondamentales de la protection des données.
Comme le résume Byteiota : « La sécurité qui ne peut pas être documentée ne peut pas être auditée. La sécurité qui ne peut pas être auditée ne peut pas être fiable. » Cette phrase résume à elle seule le cœur du problème. On ne parle pas d'une faille subtile qu'un audit approfondi aurait pu manquer. On parle d'une incapacité basique à produire la documentation permettant même de commencer un audit sérieux.
Une autorisation qui n'a pas corrigé les failles
La raison de l'approbation de décembre 2024 n'a rien à voir avec une résolution technique des problèmes soulevés. Microsoft n'a pas soudainement fourni les diagrammes manquants ni comblé les lacunes de chiffrement. L'autorisation a été accordée parce que plusieurs agences fédérales utilisaient déjà le GCC High, et que retirer cette certification aurait provoqué un chaos opérationnel immédiat. Des services entiers auraient dû cesser de fonctionner ou migrer en urgence vers d'autres solutions. Le raisonnement est donc purement politique, pas technique. C'est exactement la logique du « too big to fail » appliquée à l'infrastructure numérique de l'État. Le Cloud gouvernemental Microsoft : critiques, failles Storm-0558 et risques réels illustre parfaitement ce mécanisme : quand un fournisseur devient indispensable, la certification perd sa fonction de contrôle pour devenir un simple cachet de conformité a posteriori. Les failles documentées par les experts n'ont pas disparu. Elles ont été avalisées.
FedRAMP face à ses propres contradictions
Le programme FedRAMP, créé en 2012 par la General Services Administration, avait pour mission initiale de fournir une approche standardisée d'évaluation des risques pour les services cloud utilisés par le gouvernement fédéral. En théorie, ce dispositif devait garantir que chaque prestataire respecte un socle commun d'exigences de sécurité avant de traiter des données sensibles. Dans les faits, l'histoire du GCC High révèle un fossé béant entre cette ambition fondatrice et la réalité des pratiques. Quand les évaluateurs internes qualifient la documentation d'un cloud classifié avec une telle sévérité mais que l'autorisation est délivrée malgré tout, c'est l'ensemble du dispositif qui perd sa légitimité. La certification ne protège plus personne. Elle entérine une situation de fait.
Attaque Storm-0558 : la Chine pirate la messagerie gouvernementale américaine
Une intrusion d'une ampleur rare dans les systèmes fédéraux
Le cynisme de l'approbation prend une dimension concrète quand on examine ce qui s'est passé quelques mois plus tôt. À l'été 2023, un groupe de pirates soutenus par la Chine, identifié sous le nom de Storm-0558, a mené une intrusion d'une ampleur rare dans les systèmes de messagerie du gouvernement américain. En contrefaisant des jetons d'authentification numérique, les attaquants ont pénétré les comptes Office 365 d'environ 25 organisations, dont plusieurs agences fédérales. Parmi les cibles figurait Gina Raimondo, secrétaire au Commerce des États-Unis. Le plus alarmant : Microsoft a admis publiquement ne toujours pas savoir exactement comment les pirates étaient parvenus à entrer. Cette attaque, rapportée par The Guardian et la BBC, transforme la critique abstraite des évaluateurs FedRAMP en preuve tangible. Quand les experts qualifient la documentation de sécurité de « tas de merde », ce n'est pas un exercice théorique. C'est le constat qui précède le désastre.
Le rapport accablant du Cyber Safety Review Board
En avril 2024, le Cyber Safety Review Board, un panel nommé par l'administration Biden précisément pour analyser les incidents de cybersécurité majeurs, a publié un rapport dévastateur sur l'incident. Sa conclusion est sans appel : « La culture de sécurité de Microsoft était inadéquate et nécessite une refonte. » Le panel décrit une « cascade d'erreurs évitables » qui ont permis l'intrusion. Les produits Microsoft, souligne le rapport, « soutiennent des services essentiels » et l'intrusion « était évitable et n'aurait jamais dû se produire ». Ce ne sont pas des militants anti-Microsoft qui parlent. C'est un organisme officiel du gouvernement américain. Le CSRB pointe du doigt une culture d'entreprise laxiste, des pratiques de sécurité médiocres et un manque de sincérité de la part de Microsoft dans sa communication autour de l'incident.
1 360 vulnérabilités en un an : un bilan hors norme
Les chiffres de l'année 2024 viennent ajouter une couche supplémentaire d'inquiétude. Microsoft a signalé 1 360 vulnérabilités sur l'ensemble de ses produits, soit une hausse de 11 % par rapport au record précédent. Ce bilan couvre Windows, Office, Edge, Azure et les services cloud associés. Ce n'est pas un pic isolé mais une tendance ascendante qui montre un problème systémique dans la gestion de la sécurité chez l'éditeur. Parallèlement, les données de Check Point Research indiquent que 65 % des organisations mondiales ont subi un incident de sécurité lié au cloud en 2024, et 39 % d'entre elles ont signalé une violation effective de données. Ces statistiques, compilées par Virtru, rendent la validation de FedRAMP encore plus incompréhensible. On valide un cloud pour des données classifiées alors que le bilan de vulnérabilités de son éditeur bat des records historiques.
FedRAMP : un budget réduit et des moyens insuffisants pour contrôler
Un organisme sous-dimensionné par conception
Comment un tel décalage entre l'évaluation technique et la décision finale est-il structurellement possible ? La réponse tient en grande partie dans les moyens accordés à FedRAMP. D'après les informations relayées par Byteiota, le programme fédéral fonctionnerait avec un budget de l'ordre de 10 millions de dollars par an et un effectif total d'environ 24 employés. Ces chiffres, qui méritent d'être pris avec la prudence qui s'impose pour des données internes non officiellement publiées par l'agence, dessinent toutefois un tableau cohérent avec les dysfonctionnements observés. Vingt-quatre personnes pour évaluer la sécurité des clouds qui hébergent les données de l'ensemble du gouvernement fédéral américain : le décalage entre la mission et les moyens saute aux yeux.
Délivrer des autorisations plutôt que des contrôles rigoureux
Le directeur de FedRAMP aurait lui-même déclaré que ces employés sont « entièrement concentrés sur la délivrance des autorisations à un rythme record », et non sur la réalisation d'examens rigoureux. La formulation est éloquente. L'objectif affiché n'est pas la qualité du contrôle mais la vitesse de traitement. C'est le mécanisme exact qui transforme un organisme de régulation en machine à tamponner. FedRAMP n'a pas les moyens de contrôler. Il a surtout les moyens d'approuver. Ce biais structurel explique pourquoi des évaluations internes sévères ne débouchent pas sur des refus d'autorisation : l'organisme n'est tout simplement pas dimensionné pour dire non.
Le paradoxe d'une obligation réglementaire sans contrôle réel
Le piège se referme quand on comprend le cadre réglementaire. La circulaire de l'Office of Management and Budget impose que tout service cloud hébergeant des données fédérales doit être autorisé FedRAMP. En théorie, c'est une garantie de sécurité. En pratique, cela signifie que les agences fédérales sont piégées entre une obligation réglementaire d'utiliser du cloud certifié et une certification délivrée à la va-vite par un organisme sous-dimensionné. Le système se nourrit de lui-même : FedRAMP doit délivrer des autorisations pour que les agences puissent fonctionner, les agences utilisent les clouds autorisés, ce qui rend impossible toute révocation de certification, et l'absence de contrôle renforce l'illusion de sécurité.
Ingénieurs chinois pour la défense américaine
Comme si le tableau n'était pas assez sombre, un élément supplémentaire a émergé en juillet 2025. D'après un rapport de ProPublica relayé par CNBC, Microsoft utilisait des ingénieurs basés en Chine pour fournir une assistance technique cloud à des clients du Pentagone. L'entreprise a fini par cesser cette pratique, officiellement pour réduire les risques de sécurité nationale. Mais le fait même que cette configuration ait existé illustre l'incohérence de la chaîne de confiance : on demande à FedRAMP de valider un cloud pour des données de défense américaine, alors que l'assistance technique de ce même cloud est assurée depuis le territoire d'une puissance adverse potentielle.
Éducation nationale et Microsoft : 152 millions d'euros malgré les failles connues
Un contrat renouvelé en pleine connaissance de cause
Ce qui pouvait sembler être un problème strictement américain devient un problème français avec une clarté dérangeante. En mars 2025, le ministère de l'Éducation nationale a renouvelé son accord-cadre avec Microsoft pour quatre ans, soit jusqu'en 2029. L'enveloppe maximale s'élève à 152 millions d'euros hors taxes. Près d'un million de postes de travail et de serveurs sont concernés. Ce contrat est signé alors que le rapport du CSRB et les détails des failles Storm-0558 sont publics depuis plus d'un an. La France n'a pas attendu de savoir si le cloud était sûr pour s'engager. Comme le souligne Les Numériques, cette décision intervient dans un contexte où la question du Cloud américain vs souveraineté : OneDrive et Google Drive sont-ils vraiment sûrs ? ne cesse d'être posée. La réponse du ministère est sans ambiguïté : la souveraineté numérique attendra.
L'article L123-4-1 du Code de l'éducation contredit
Le problème ne s'arrête pas à la sécurité technique. Il devient juridique. L'article L123-4-1 du Code de l'éducation dispose que l'enseignement supérieur « utilise en priorité » des logiciels libres et open source. Le contrat de 152 millions d'euros avec Microsoft contredit directement cette disposition. L'État, par le biais de son ministère de l'Éducation nationale, outrepasse sa propre législation. Cette contradiction n'est pas nouvelle, mais le renouvellement du contrat en mars 2025 la rend particulièrement cynique. La loi existe, elle est claire, le ministère la connaît. Il choisit de l'ignorer au profit d'un contrat dont les failles de sécurité sont documentées par le gouvernement américain lui-même.
LaSuite bloquée par la Direction du numérique pour l'éducation
L'alternative n'est pas un fantasme théorique. Le programme LaSuite, développé par la Direction interministérielle du numérique (Dinum), propose une suite bureautique en open source destinée aux agents publics. Elle existe, elle est fonctionnelle, elle est souveraine. Pourtant, son déploiement au sein de l'Éducation nationale se heurte à des blocages internes. Philippe Lalouette, cosecrétaire général du Snasub-FSU, a dénoncé publiquement le rôle de la Direction du numérique pour l'éducation (DNE) qui freine le déploiement de LaSuite en invoquant « la taille du périmètre ». L'argument est circulaire : le périmètre est immense parce qu'on a laissé Microsoft s'installer partout pendant des années, et maintenant on utilise cette même ampleur pour justifier le maintien de Microsoft.
Données scolaires sur le cloud Microsoft : les risques pour les lycéens et étudiants
Des données personnelles confiées à un prestataire défaillant
Quand on passe du niveau institutionnel au niveau individuel, les enjeux deviennent concrets et personnels. Un lycéen ou un étudiant français qui rend un devoir sur OneDrive, tape ses cours sur Word en ligne, ou communique avec ses professeurs via Teams ne le sait peut-être pas, mais toutes ces données transitent par l'infrastructure cloud de Microsoft. Les notes, les évaluations, les commentaires des enseignants, les documents personnels : tout est stocké sur les serveurs d'une entreprise dont les propres défaillances de sécurité ont été qualifiées d'inadéquates par le gouvernement américain. Ce n'est pas une hypothèse lointaine mais la réalité quotidienne de près d'un million d'élèves et d'étudiants en France. Leurs données scolaires, qui sont des données personnelles au sens du RGPD, sont confiées à un prestataire dont la culture de sécurité a été jugée insuffisante par les instances les plus élevées des États-Unis.
Microsoft 365 Education condamné pour suivi illégal en Autriche
Le problème ne se limite pas à la sécurité contre les intrusions extérieures. Il concerne aussi l'utilisation que Microsoft fait des données qu'il héberge. L'Autorité autrichienne de protection des données a rendu une décision claire : Microsoft 365 Education utilise des cookies de suivi sans consentement, exploite les données des élèves à ses propres fins, n'a pas répondu à une demande d'accès aux données personnelles et a tenté de déplacer la responsabilité sur les écoles locales. L'association noyb, qui a porté plainte, a obtenu gain de cause. Felix Mikolasch, avocat chez noyb, a résumé la situation : « Microsoft essaie généralement d'argumenter que ses produits éducatifs sont respectueux de la vie privée. Cette procédure a montré que ce n'est pas vraiment le cas. » Si les autorités autrichiennes ont jugé ces pratiques illégales, rien ne garantit qu'elles ne sont pas reproduites en France, où le même produit est déployé à l'échelle d'un million de postes.
La suspension du compte d'un procureur sous pression politique
L'incident le plus révélateur concerne Karim Khan, procureur de la Cour pénale internationale. En mai 2025, son compte Microsoft a été suspendu sous pression de Washington, peu après l'émission de mandats d'arrêt contre des responsables israéliens. Le magistrat a dû migrer en urgence vers Proton Mail pour continuer à travailler. Un procureur international, dont le mandat dépend de son indépendance, s'est retrouvé privé d'accès à ses données par un fournisseur privé américain cédant à des pressions politiques. Si un procureur de la Cour pénale internationale, avec tout le poids institutionnel qui l'accompagne, peut se faire couper l'accès à ses propres données, quelles garanties a un lycéen français ? La dépendance à Microsoft n'est pas seulement technologique. C'est une dépendance politique.
Verrouillage fournisseur Microsoft : pourquoi il est si difficile de partir
Un enfermement calculé pour être dissuasif
Le verrouillage fournisseur est le mécanisme par lequel un client devient incapable de changer de prestataire sans un coût disproportionné. Quand un État, une université ou un lycée migre l'ensemble de son infrastructure sur Microsoft (messagerie, bureautique, stockage, authentification), les données, les habitudes de travail et les formats de fichiers deviennent dépendants de l'écosystème. Le coût de sortie n'est pas seulement financier. Il inclut la formation des personnels, l'interruption de service pendant la migration, l'incompatibilité des documents, et la réécriture des processus administratifs. Selon les données compilées par Virtru, 83 % des dépenses cloud et logiciels des entreprises européennes vont à des acteurs américains. Ce monopole n'est pas un accident du marché mais le résultat d'une stratégie délibérée d'enfermement.
Un monopole qui se renforce à chaque contrat renouvelé
Chaque nouveau service ajouté à l'écosystème Microsoft renforce les barrières à la sortie. Plus on utilise Microsoft, plus il devient difficile de ne plus utiliser Microsoft. C'est un effet de réseau appliqué à la dépendance institutionnelle. Quand l'Éducation nationale renouvelle pour quatre ans un contrat couvrant un million de postes, elle ne prolonge pas simplement un accord commercial. Elle creuse un peu plus le sillon de la dépendance, rendant toute future migration encore plus coûteuse et complexe. Les décideurs qui signeront le prochain renouvellement en 2029 auront un argument de poids encore plus massif pour justifier le statu quo : « Regardez ce que ça coûterait de partir. » Le piège se referme un peu plus à chaque cycle.
Le parallèle avec la crise financière de 2008
Le parallèle avec la crise financière est frappant. Les banques étaient devenues « too big to fail », si grandes que leur effondrement aurait entraîné tout le système avec elles. Les gouvernements les ont sauvées malgré leurs fautes, créant un aléa moral structurel. Microsoft est devenu l'équivalent numérique de ces banques. Sauf que ce qu'on risque de perdre cette fois, ce ne sont pas des milliards sur les marchés financiers mais les données personnelles d'un million de lycéens et d'étudiants français, les notes du baccalauréat, les dossiers scolaires, les échanges entre enseignants et élèves. Et comme en 2008, le sauvetage ne résout rien : il entérine le problème en envoyant un signal clair selon lequel les failles n'auront aucune conséquence contractuelle.
Nextcloud Workspace et LaSuite : les alternatives face au monopole Microsoft
Nextcloud Workspace comme alternative européenne
Les alternatives à Microsoft 365 existent, et il serait malhonnête de les ignorer. Nextcloud et IONOS ont annoncé la construction de « Nextcloud Workspace », une suite bureautique complète censée concurrencer Microsoft 365. La plateforme, présentée par Nextcloud, intègre le stockage et le partage de fichiers, l'édition de documents, l'e-mail, le calendrier, la visioconférence, le chat et des fonctionnalités de productivité alimentées par l'IA. Le tout est entièrement conforme au RGPD, hébergé en Europe, et open source. Nextcloud Workspace ne prétend pas être un produit parfait, mais il représente un changement de logique fondamental : la suite est open source, son code peut être audité par n'importe qui, et elle ne dépend d'aucune entreprise américaine susceptible de céder à des pressions politiques.
La transparence du code source contre l'opacité propriétaire
Pour une administration comme l'Éducation nationale, l'architecture open source offre une garantie que Microsoft ne peut tout simplement pas offrir : la transparence. Quand FedRAMP demande des diagrammes de flux de données et que Microsoft est incapable de les fournir, le problème disparaît avec une solution open source puisque le code lui-même fait office de documentation. Avec un produit propriétaire comme Microsoft 365, la confiance repose sur des déclarations du fournisseur et des audits que le fournisseur peut rendre impossibles. Avec un produit open source, la confiance repose sur la vérification indépendante. N'importe quel expert en cybersécurité peut examiner le code et vérifier exactement comment les données sont traitées, chiffrées, stockées.
LaSuite freinée et les signaux contradictoires de l'État
En France, LaSuite poursuit son développement sous l'égide de la Dinum. Mais son déploiement se heurte à un mur d'inertie administrative. Parallèlement, des initiatives comme Exaion : la France cède sa pépite cloud au géant américain Mara sous conditions strictes montrent que l'écosystème souverain tente de se structurer, même quand les signaux politiques sont contradictoires. Comment prétendre construire une alternative souveraine tout en cédant l'une des rares pépites cloud françaises à un acteur américain ? L'alternative technique existe. C'est l'alternative politique qui manque, celle qui consisterait à donner à LaSuite et à Nextcloud les moyens financiers et institutionnels de rivaliser avec un géant qui bénéficie d'un effet de réseau décennal.
Conclusion
Les experts fédéraux américains savent que le cloud Microsoft est défaillant. Ils l'ont écrit dans leurs documents internes avec une brutalité qui en dit long sur leur frustration. Ils l'ont validé quand même, en décembre 2024, non pas parce que les problèmes étaient résolus mais parce que l'infrastructure était devenue impossible à déloger. La France, informée de ces conclusions et des failles Storm-0558 documentées depuis avril 2024, a signé 152 millions d'euros avec le même prestataire en mars 2025. Les élèves français y stockent leurs devoirs, leurs notes et une partie de leur vie numérique sans que quiconque ne les ait consultés, tandis qu'un produit éducatif identique est condamné pour suivi illégal en Autriche et qu'un procureur international se fait couper l'accès à ses données sous pression politique.
Microsoft est devenu une banque numérique « too big to fail ». Le parallèle avec 2008 est complet : ses failles sont documentées, ses produits sont condamnés, son infrastructure obéit à des logiques qui n'ont rien à voir avec la sécurité des utilisateurs, et rien de tout cela ne suffit à empêcher un État de lui confier les données d'un million d'élèves. La technique a dit son mot. Ce sont maintenant les décideurs politiques qui devront choisir entre le confort du statu quo et le courage d'une migration que chaque année supplémentaire rend plus difficile et plus coûteuse.
