1. Contenu

PREAMBULE

2. Contenu

Ce document définit les orientations du ministère de le défense en matière de logiciels.Ces orientations concernent l'architecture logicielle des systèmes d'information et définissent des critères d'aide au choix en matière d'acquisition, de réalisation et de mise en oeuvre.Elles sont déclinées dans les documents de niveau schéma directeur⁽¹⁾, référentiels et cahier des charges techniques.

Ce document s'inscrit dans un cadre ministériel et interministériel notamment défini par :

• la stratégie ministérielle de réforme (SMR) qui prévoit, entre autres, la définition d'une politique sur les logiciels, comme un objectif à court terme ;

• la politique ministérielle des systèmes d'information et de communication (SIC) du ministère de la défense ;

• le décret 2006-497  du 02 mai 2006 portant création de la direction générale des systèmes d'information et de communication (DGSIC) et fixant l'organisation des systèmes d'information et de communication du ministère de la défense ;

• le plan stratégique pour l'administration électronique qui comporte un volet sur l'emploi des logiciels par les administrations ;

• la politique de renforcement de la sécurité des systèmes d'information (PRSSI).

La présente directive concerne tous les composants⁽²⁾, projets, programmes, opérations comprenant des logiciels, sous tous types de licences d'usage « propriétaires » ou « libres »⁽³⁾, qu'ils soient :

• acquis sur étagère ;

• développés spécifiquement de façon interne ou externe au ministère.

Cette directive est complétée par des référentiels techniques et méthodologiques (cf annexe).

3. UNE DIRECTIVE SUR LES LOGICIELS POUR QUOI FAIRE?

La maîtrise de l'information est l'enjeu majeur de la politique ministérielle des SIC. Celle du système d'information et de communication du ministère de la défense en est un élément essentiel.

Celle-ci est rendue nécessaire par :

• l'exigence croissante des missions opérationnelles où l'utilisateur reste un acteur essentiel ;

• la mise en commun des réseaux d'infrastructure ;

• l'augmentation des menaces qui fait de la sécurité un élément prépondérant ;

• le besoin de réactivité au changement de l'environnement et de l'organisation ;

• l'accroissement à la fois des échanges interarmées, intraministériels, interministériels, européens et internationaux, mais aussi de l'interaction entre les SIC eux-mêmes ;

• le poids croissant de la complexité et de l'hétérogénéité du SIC du ministère de la défense ;

• l'évolution rapide de la technologie ;

• les contraintes de plus en plus importantes sur les ressources.

S'agissant des logiciels, cette maîtrise repose sur les principes suivants :

• favoriser l'interopérabilité par un recours aux standards, protocoles et formats d'échanges ouverts ;

• inscrire la sécurité comme un des critères majeurs de choix et de mise en oeuvre ;

• rechercher la plus grande indépendance technologique et commerciale possible ;

• pérenniser les données archivées ;

• préserver une diversité des choix technologiques offerts par le marché ;

• promouvoir le partage et la réutilisation des composants⁽⁴⁾ ;

• maîtriser l'architecture du SI ;

• appréhender le coût global.

Enfin, dans le cadre d'une éventuelle démarche de « faire-faire », il convient de maintenir une réelle compétence interne de spécification, d'évaluation, d'intégration, et de développement.

4. LES ORIENTATIONS.

4.1. Recourir aux standards ouverts.

Les standards et formats ouverts, au sens de la loi pour la confiance dans l'économie numérique (LCEN), assurent un usage universel et non discriminatoire des logiciels. Ils favorisent leur interopérabilité. De plus, ils pérennisent les données et les architectures.

En conséquence :

• les standards et formats d'échange ouverts sont à privilégier pour la conception de nouveaux systèmes et lors d'évolutions majeures de systèmes existants ;

• un référentiel des standards et formats est élaboré et maintenu par la DGSIC. Il s'appuie sur les recommandations nationales du cadre commun d' interopérabilité des systèmes d'information publics⁽⁵⁾ puis, sur le référentiel général d'interopérabilité et le référentiel général de sécurité⁽⁶⁾. Ces documents s'inscrivent eux-mêmes dans une démarche européenne⁽⁷⁾ et internationale.

4.2. Atteindre et maintenir une hétérogénéité maîtrisée.

Une homogénéité absolue est source de vulnérabilité et de dépendance. Elle est hors d'atteinte pour un parc matériel et logiciel aussi important que celui du ministère de la défense. A l'inverse, une hétérogénéité trop grande pose un problème de cohérence, de compatibilité et à terme de maîtrise du système d'information.

En conséquence :

• une hétérogénéité maîtrisée⁽⁸⁾ doit être recherchée ;

• un référentiel de préconisations⁽⁹⁾ de technologies logicielles explicitant l'apport et les limites de ces technologies est validé par la DGSIC sur proposition de la commission ministérielle des SIC (CMTSIC) par domaine technique ;

• les maîtrises d'ouvrage, dans le respect du code des marchés publics, doivent se conformer au référentiel pour l'élaboration des cahiers des charges techniques.

4.3. Converger progressivement vers une architecture maîtrisée.

 

Des choix d'architecture doivent être faits pour tenir compte des nouvelles technologies, des contraintes de mise en oeuvre et de l'hétérogénéité inévitable mais maîtrisée du parc.

Il faut privilégier⁽¹⁰⁾ pour les nouveaux projets et les évolutions majeures qui constituent des opportunités de convergence :

• le poste de travail banalisé, le client léger / riche et la technologie du portail utilisateur qui facilitent l'accès aux applicatifs. Ils sont porteurs d'économies en matière de soutien et de potentialités dans le domaine de la mobilité ;

• les architectures orientées services, et notamment les services web, permettant la modularité et l'agilité rendues nécessaires par l'évolution permanente du système d'information. Les architectures orientées services permettront de passer d'une logique fondée sur les applications à une logique fondée sur les processus ;

• la modularité des composants logiciels qui favorise les évolutions et le maintien en condition de sécurité du système d'information. Cette approche modulaire s'accompagne d'une méthode autorisant une expression progressive du besoin et permettant une réalisation parallélisée des différents composants. Les composants logiciels seront stockés dans des bibliothèques et seront suffisamment génériques pour permettre leur réutilisation par d'autres applications et d'autres domaines. La certification de conformité des composants se fera sous la responsabilité de la DGSIC ;

• les solutions multi-plates-formes, notamment celles indépendantes des systèmes d'exploitation ;

• les produits supportant le mécanisme de multilinguisme pour une utilisation dans un contexte international ;

• les produits intégrant l'accessibilité pour les personnes handicapées.

Pour l'ensemble du SIC du ministère de la défense, la continuité du service est une priorité, y compris durant les phases d'évolution majeure du système d'information.

Il n'est pas question de faire table rase de l'existant pour mettre en place un système cible. Ce dernier reste un objectif à long terme, hors d'atteinte dans l'immédiat, car les organisations et les méthodes de travail doivent s'adapter et accompagner le changement. Ce dernier point est de la responsabilité de la maîtrise d'ouvrage et des groupes utilisateurs.

Il s'agit donc d'une démarche par paliers privilégiant des phases courtes.

De plus, les réseaux et leurs capacités actuelles conditionnent les capacités d'évolution du système d'information (SI).

Enfin, la maîtrise de cette évolution suppose un suivi adapté des configurations⁽¹¹⁾.

4.4. Avoir une démarche de confiance en matière d'acquisition et de développement.

L'intégration, au sein d'un système d'information, de composants multiples interagissant, nécessite un haut niveau de confiance envers chacun d'eux notamment pour les composants de sécurité.

Cette confiance s'obtient de différentes manières, entre autres par :

• l'évaluation de sécurité d'un produit par un centre spécialisé qui est un préalable nécessaire à une qualification formelle ;

• la disponibilité du code source documenté avec le droit de le recompiler à des fins d'analyse qui est un facteur de confiance. Cette disponibilité peut être exigée, notamment pour les produits qui concourent à la sécurité ;

• la caractérisation des flux d'entrée/sortie aux frontières, tels les flux circulant entre un monde de confiance et l'extérieur ;

• l'application d'une directive « qualité des logiciels ».

De façon générale, en particulier pour les SIC opérationnels et de sécurité, la réalisation des logiciels doit s'appuyer sur un tissu industriel de confiance.

4.5. Favoriser la concurrence et l'innovation face à une situation de monopole du marché.

Dans un contexte de marché, le ministère de la défense doit s'appuyer sur la concurrence pour disposer du meilleur rapport qualité/prix. Cependant, le marché des logiciels présente une tendance à la constitution de monopoles.

C'est pourquoi, pour conserver une liberté de choix et de favoriser l'innovation, le ministère de la défense engage une démarche volontariste vis à vis des logiciels libres : il peut contribuer à des projets de logiciels libres lorsque c'est son intérêt (pérennité, indépendance,…). Cette démarche peut comporter une évaluation de sécurité visant éventuellement une attestation de la direction centrale de la SSI (DCSSI), voire un agrément.

4.6. Privilégier les logiciels libres à coût global, risques et efficacité comparables.

Outre les avantages liés à la disponibilité du code source, les logiciels libres permettent de vérifier le respect des standards et favorisent l'interopérabilité.

Le ministère de la défense doit s'efforcer, avant toute acquisition ou tout développement interne ou sous-traité, d'identifier des solutions alternatives en logiciels libres disponibles, de fonctionnalité équivalente ou voisine.

Il faut donc rechercher la libre disponibilité des logiciels acquis par le ministère de la défense :

• à coût global, risques⁽¹²⁾ et efficacité opérationnelle comparables, le logiciel libre est privilégié ;

• l'utilisation de certains logiciels libres peut être imposée aux contractants ;

• le bien fondé de solutions comprenant tout ou partie de logiciels libres doit être systématiquement étudié ;

• en cas d'acquisition de logiciels « propriétaires », la solution d'une licence libératoire est systématiquement étudiée par le porteur du besoin.

Dans le cas de logiciels dont la divulgation du code source impacte la sécurité nationale, le recours à un produit logiciel sous une licence⁽¹³⁾ obligeant à reverser le code à une communauté hors défense nationale est proscrit.

4.7. Mettre en place une analyse de la valeur systématique.

Le choix d'une solution est fondé sur une analyse de décision, telle l'évaluation du coût global de possession :

• de façon systématique pour tout nouveau projet de système d'information, métier ou service commun, et toute modification majeure ;

• s'appuyant sur une analyse de la valeur fondée sur les critères définis par la présente directive.

Un guide est établi en la matière et entretenu sous responsabilité de la DGSIC.

4.8. Mutualiser les composants logiciels et les modèles de données.

Le ministère de la défense engage une démarche visant à rationaliser les composants de logiciels par le recours à la mutualisation et à réduire la redondance des données par le partage des modèles et des référentiels de données. Cela nécessite la définition et la mise en place d'une organisation, de méthodes et d'outils.

Cette capacité de ré-emploi concerne notamment les logiciels spécifiques fournis dans le cadre de marchés. Elle implique que le ministère de la défense dispose des droits suffisants⁽¹⁴⁾. Cela suppose la définition d'un cadre juridique adapté.

4.9. Mettre en place une politique de gestion de compétences.

En tant que maître d'ouvrage de systèmes, le ministère de la défense doit posséder une expertise en matière de logiciels, reposant sur des compétences spécifiques, approfondies, mises à jour régulièrement et en nombre suffisant. Le pilotage de cette expertise suppose la mise en place d'une véritable gestion des compétences en matière de SIC et l'établissement d'un schéma directeur de la formation en informatique et communications électroniques.

Afin de garantir la disponibilité d'une réelle expertise, notamment sur les nouvelles techniques informatiques, la formation en interne sera complétée par un examen de certification des connaissances pour les experts volontaires.

Une cellule de veille technologique complétera le dispositif de partage des connaissances et fournira études, rapports et conseils sur des technologies susceptibles de figurer au référentiel technique en tant que préconisations de technologies logicielles.

Cette gestion des compétences s'inscrit dans le contexte plus général de la gestion de compétence des domaines SIC. Appliquée aux logiciels, elle doit comprendre :

• le recensement des pôles de compétence⁽¹⁵⁾ existants, de leur patrimoine technique et l'identification des compétences à acquérir ;

• la mise en réseau des pôles de compétence ;

• l'animation⁽¹⁶⁾ de ces réseaux ;

• la mise en relation des maîtrises d'ouvrage avec les pôles de compétence ;

• la prise en compte des compétences SIC dans la gestion prévisionnelle des emplois, des effectifs et des compétences (GPEEC) par les directions de personnels. Par exemple, dans le contexte actuel, un des métiers à développer est celui d'intégrateur d'applications ;

• l'adéquation des formations des personnels du ministère de la défense aux technologies actuelles et futures et leur coordination.

4.10. Renforcer la compétence juridique dans le domaine des marchés des technologies de l'information et en matière de sécurité.

La DGSIC exprime auprès de la direction des affaires juridiques (DAJ) les besoins actuels et à venir du ministère en matière de SIC.

En particulier, le domaine des logiciels évolue très rapidement et se complexifie sur le plan administratif et juridique. Des compétences adaptées sont nécessaires en matière de licences, de droits d'usage des logiciels et de gestion des risques.

5. Mise en oeuvre

Les autorités responsables déclinent cette directive dans les projets et programmes du ministère de la défense.

La direction interarmées des réseaux d'infrastructure et des systèmes d'information de la défense (DIRISI), en tant qu'opérateur défense, décline cette directive pour les aspects transverses du SIC défense. Elle est l'interlocutrice privilégiée des maîtrises d'ouvrage en matière d'infrastructure technique, de mise en oeuvre et de soutien, dès les phases des projets entrant en amont de son périmètre de responsabilité.

Les commissions « métier » (CSIOC, CSIAG et CIST) et les commissions ministérielles spécialisées veillent au respect de cette directive.

Les formes du contrôle d'application de cette directive tiennent compte :

• des contraintes de calendrier sur les projets et programmes ;

• du respect des règles de la mise en concurrence pour les projets en acquisition, à charge pour le cahier des clauses techniques particulières (CCTP) de tenir compte des orientations de cette directive ;

• des règles d'application du code des marchés publics.

Les dérogations font l'objet d'une saisine de la DGSIC par l'organisme d'appartenance de la maîtrise d'ouvrage concernée. Les cas structurants sont débattus en commission ministérielle technique des SIC. Les questions d'interopérabilité opérationnelle interalliée sont traitées de façon prioritaire.