Je choisis la french tech après la DINUM

Le Premier ministre a publié une circulaire « relative à la commande publique numérique » couchant noir sur blanc la doctrine de l’État concernant les choix et achats de logiciels par ses services. Elle priorise l’utilisation de solutions internes existantes avant l’achat de produits « sur étagère ». Le développement de solutions en interne n’arrive qu’après.

Depuis la mise en avant de la Suite numérique de l’État et notamment sa solution de visioconférence Visio, une partie du milieu de l’industrie numérique français criait à la concurrence déloyale. Une circulaire relative à la commande publique numérique signée par Sébastien Lecornu essaye de jouer l’équilibre entre la mise en avant des solutions mutualisées développées en interne et le soutien aux startups françaises.

Publiée le vendredi 13 février au Journal officiel, cette circulaire relative à la commande publique numérique avait été évoquée par le gouvernement Lecornu lors de l’annonce, au début du mois, d’une nouvelle phase de déploiement pour le programme « Je Choisis La French Tech ».

À cette occasion, David Amiel, le ministre délégué chargé de la Fonction publique et de la Réforme de l’État, affirmait que « l’État n’a pas pour mission de concevoir des produits » et qu’il fallait se tourner vers le secteur privé. Mais c’est, en même temps, ce même ministre qui a récemment annoncé la généralisation de Visio, développé par la Dinum au sein de sa plateforme La Suite numérique.

• Je choisis la French Tech… mais la French Tech doit faire attention à ce qu’elle choisit !
• L’État veut généraliser « Visio », l’outil de webconf de La Suite Numérique d’ici 2027

Priorité aux solutions mutualisées existantes…

Avant la publication de la circulaire, Bercy affichait que son but était de clarifier la doctrine d’achat de solutions numériques de l’État. Tout en essayant de ménager les startups françaises, ce texte donne priorité aux « solutions mutualisées déjà développées […] disponibles au sein de l’administration, en particulier via les services offerts par les opérateurs mutualisés ».

La circulaire donne une liste non exhaustive de ces opérateurs : DINUM, IGN, Opérateur des systèmes d’information interministériels classifiés (OSIIC), Centre interministériel de services informatiques relatifs aux ressources humaines (CISIRH), Agence pour l’Informatique financière de l’État (AIFE). « Leur recours doit être étudié en premier lieu en prenant en compte, le cas échéant, les besoins de développements complémentaires qui pourraient être nécessaires », explique encore le texte. C’est la DINUM elle-même qui tient le catalogue des solutions disponibles.

… puis aux solutions privées « sur étagère »

Ce n’est qu’après avoir vérifié qu’aucune solution mutualisée n’existe qu’un service de l’État peut s’équiper via des solutions « sur étagère » du privé. Le texte affirme que « l’État accorde une priorité forte à l’achat auprès de PME innovantes pour soutenir la recherche et développement au sein de l’écosystème européen » et ajoute que « chaque secrétariat général se fixe pour objectif d’augmenter sa part d’achats auprès de PME innovantes ».

Le développement d’un logiciel en interne ne peut intervenir que s’il n’existe pas de solutions « sur étagère » ou si celles-ci existent mais ne sont pas satisfaisantes. La circulaire évoque quand même de nombreux motifs d’insatisfactions autres que le coût, ainsi sont énumérées « les conditions de sécurité, de durabilité, de besoin ou de délais précitées ».

La souveraineté numérique en critère essentiel

Lorsqu’il y a achats numériques, la circulaire pose des objectifs prioritaires à prendre en compte. Le premier est « la performance métier ». La « souveraineté numérique » arrive en deuxième, puis la sécurité, le coût, la disponibilité, l’adaptabilité et la réversibilité, l’interopérabilité et enfin la durabilité.

Si la souveraineté numérique est bien placée, il restait à la définir. Le texte affirme qu’en pratique, elle s’appuie « en particulier » sur trois points : l’immunité au droit extra-européen à portée extraterritoriale, la capacité de l’État à substituer une composante de ses systèmes numériques par une solution alternative, la maîtrise des technologies clefs.

« La qualification SecNumCloud permet notamment d’attester qu’une offre de service d’informatique en nuage bénéficie d’une protection adéquate à l’égard des réglementations extra-européennes à portée extraterritoriale. Cette immunité est en particulier requise lorsque la sensibilité des données le justifie », affirme le texte, toujours sur le volet souveraineté.

• Vincent Strubel (ANSSI) tient à rappeler ce qu’est vraiment SecNumCloud

Côté sécurité, le besoin doit être « défini dès le lancement du projet en prenant en compte les exigences réglementaires spécifiques à certains types de données ou d’activité ». La qualification SecNumCloud y est aussi évoqué pour l’hébergement de « données d’une sensibilité particulière telles que définies par la loi ».

Le texte fait enfin un « zoom sur l’open source », affirmant : « que les solutions soient directement disponibles auprès d’un opérateur ou résultent d’un achat « sur étagère », il est recommandé de privilégier, lorsque c’est pertinent, le recours à des produits open source ». L’utilisation des logiciels open source permet « d’investir dans les mêmes technologies et de bénéficier des avancées de chacun ». « Une attention particulière doit être portée sur les contributions au code ouvert, tant sur la qualité que sur la quantité, afin de garantir sa pérennité et sa sécurité », précise le texte.

« Complotisme à la limite du tolérable »

Objet d’une enquête du média suisse Republik, Palantir attaque ce site en justice pour obtenir un droit de réponse.

Alors que la DGSI renouvelait encore, en fin d’année dernière, son contrat avec Palantir, l’entreprise fondée par Peter Thiel était l’objet d’une enquête du magazine suisse Republik et du collectif d’investigation WAV. L’entreprise attaque maintenant nos confrères suisses, réclamant un droit de réponse, explique Republik. La cour du canton de Zurich a confirmé avoir reçu une demande de droit de réponse à ce sujet auprès de nos confrères de Heise.

• La DGSI renouvelle encore son contrat avec Palantir

L’entreprise a des bureaux dans le pays, à Zurich, qu’elle utilise notamment pour ses relations commerciales, comme l’explique le média Swiss Info. Republik et WAV ont donc enquêté sur d’éventuels liens entre les autorités suisses et Palantir, notamment en déposant 59 demandes d’accès à des documents des autorités fédérales suisses.

Un rapport qui s’inquiétait du potentiel transfert de données au gouvernement américain

Et ils ont découvert que, malgré 7 ans passés à essayer de convaincre les autorités suisses, Palantir n’y était pas arrivé (9 refus immédiats et un refus après évaluation par Armasuisse, l’Office fédéral de l’armement). Cette enquête révélait aussi un rapport interne à l’armée suisse de 2024 [PDF] qui fermait de nouveau la porte à Palantir.

La qualité des produits de l’entreprise n’était pas en jeu, comme le relevait le Temps qui a relayé l’enquête, puisque le rapport qualifiait ses performances d’« impressionnantes ». Mais le risque de transfert de données au gouvernement américain était trop élevé, selon les auteurs du rapport qui soulignaient aussi les potentielles conséquences négatives dues à la réputation de l’entreprise.

Republik explique dans son article de lundi que l’entreprise lui a adressé des demandes de rectification entre Noël et le Nouvel An, mais le média suisse les « a jugées infondées » et n’y « a donc pas pu donner suite ». Le média explique, pour son enquête, s’être basé sur l’analyse des documents mais aussi avoir discuté avec différentes sources et des cadres de Palantir au siège de Zurich (dont les citations ont été relues et approuvées).

Sur LinkedIn, la journaliste Marguerite Meyer, coautrice de l’enquête, explique que son équipe a rejeté la demande de modifications de Palantir « sur la base d’un travail minutieux ». « Cette demande a été suivie d’une deuxième demande, que nous avons également rejetée », ajoute-t-elle.

Un droit de réponse pour donner une version des faits

De son côté, Palantir a pu librement critiquer l’enquête. Dès le 12 décembre, le responsable « Confidentialité et libertés civiles » de Palantir, Courtney Bowman, affirmait sur LinkedIn que les articles de Republik étaient « empreints de distorsion, d’insinuations et de complotisme à la limite du tolérable » sans pour autant étayer ses accusations. Concernant le rapport de l’état-major suisse, il affirme qu’il « soulève des questions légitimes, mais malheureusement, ses auteurs semblent s’appuyer exclusivement sur un ensemble limité de sources issues de moteurs de recherche ».

« Palantir respecte pleinement la liberté de la presse et le rôle essentiel des médias indépendants dans le débat public », affirme de son côté l’entreprise à Heise. Le droit de réponse est un « instrument de correction destiné à fournir au public des informations équilibrées », selon elle.

En Suisse, « le droit de réponse ne porte pas sur la véracité ou la fausseté d’une information », explique le corédacteur en chef de Republik, Daniel Binswanger, à Heise. « Il s’agit de savoir si une autre version des faits pourrait également être possible ».

Selon Republik, le jugement du tribunal de commerce de Zurich doit être rendu dans quelques semaines.

Ce lundi 16 février, la DSI du CNRS a informé certains agents de l’institution de recherche d’un « incident de cybersécurité au CNRS », leur expliquant que des données de ressources humaines les concernant ont fuité.

« Ce courrier s’adresse à vous parce que, à notre connaissance, vous faites partie de ce groupe », explique la direction à ces agents.

Questionné par Next, le CNRS nous renvoie vers un communiqué qu’il a publié ce jour et qui contient globalement les mêmes informations.

Ainsi, les fichiers récupérés contiennent, selon la DSI du centre de recherche, des données de personnes rémunérées par le CNRS avant le 1^er janvier 2007. Dans le détail, il s’agit des informations suivantes : nom, prénom, date de naissance, adresse, numéro de sécurité sociale, RIB mais aussi statut de l’agent, type de son contrat et la structure de son affectation.

« Les personnels recrutés après le 1/1/2007 ne sont pas concernés », ajoute le CNRS. Cela concerne donc les titulaires et non-titulaires ayant travaillé au CNRS avant le 31 décembre 2006.

La CNIL et l’ANSSI ont été informées et le CNRS a déposé plainte auprès de la section cybercriminalité du parquet de Paris.

L’institution affirme que, « dès connaissance de l’incident, le serveur a été isolé et arrêté », sans pour autant donner de précision sur la date à laquelle s’est passée l’exfiltration ni la date à laquelle la DSI s’en est rendu compte. « Après analyse, l’incident ne s’est pas propagé au reste des infrastructures », ajoute le communiqué.

Le CNRS a publié une FAQ concernant cet incident en conseillant à ses agents concernés de prévenir leur banque, et de surveiller leur compte. « Portez attention aux démarchages à domicile, surveillez le contenu des courriers postaux, veillez aux messages liés à votre sécurité sociale ou carte vitale, Consultez le site de la CNIL, vérifiez si vos données sont en fuite sur le site haveibeenpwned.com , veillez à l’utilisation de votre identité », ajoute la FAQ.

Eclipse solaire

L’application de gestion comptable des collectivités locales Helios a subi une panne complète pendant plus d’une semaine. Ce logiciel de Bercy gère l’intégralité de la comptabilité des collectivités locales françaises. Selon la DGFiP, l’incident est lié à une défaillance d’une baie de stockage. Le syndicat Solidaires Finances affirme que la direction « n’a jamais voulu, faute de moyens alloués, mettre en place une redondance ».

« Depuis le jeudi 5 février, l’application Hélios gérant les flux financiers de la comptabilité publique est indisponible en raison d’un incident sur un serveur entraînant la corruption de données », lançait dans un communiqué le syndicat Solidaires Finances publiques ce vendredi 13 février.

De la Collectivité Territoriale de Martinique à la communauté de communes du pays de Baud en passant par la ville de Lagarde et bien d’autres, de nombreuses administrations locales ont dû informer leurs fournisseurs.

« En raison de cet incident technique d’ampleur nationale, totalement indépendant de la volonté et des services de Baud Communauté, l’ensemble des virements à destination de nos fournisseurs et prestataires est bloqué par les systèmes bancaires de l’État depuis le 5 février 2026 », explique ainsi la communauté de communes du pays de Baud. Elle ajoute que « le rétablissement du service nous est annoncé pour le 19 février 2026 ».

Ni un bug, ni une cyberattaque mais une défaillance matérielle sur une baie

Hélios centralise, depuis 20 ans, la gestion comptable des collectivités par Bercy. Utilisant le protocole d’Échange Standard Version 2 (PES V2), il permet de « dématérialiser les données comptables de prise en charge (titres, mandats ainsi que les bordereaux avec la mise en œuvre de la signature électronique) et leurs pièces justificatives ».

« L’origine de l’incident est connue, et il ne s’agit ni d’un bug informatique lié à une évolution de version de l’application, ni d’une cyberattaque. C’est un incident exceptionnel de nature technique, lié à une défaillance matérielle sur une baie de stockage », expliquait à nos confrères d’Acteurs Public, Éric Barbier, chef du service des gestions publiques locales, des activités bancaires et économiques à la direction générale des Finances publiques. « Dès le début, les équipes informatiques de la DGFiP et l’assistance technique du prestataire de la baie de stockage sont intervenues pour faire en sorte que cette anomalie soit réparée », ajoute-t-il.

Hélios s’appuie sur deux sites physiques situés l’un à Versailles, l’autre à Metz. Chacun héberge une partie des trésoreries des collectivités territoriales. C’est celui de Metz qui a été touché et les collectivités qu’il héberge ne peuvent plus du tout accéder à Hélios. Mais les activités de celles dont les données sont à Versailles ont aussi été perturbées.

Pas de redondance

Solidaires Finances publiques souligne dans son communiqué que « les agentes et agents informaticiens de la DGFiP sont sur le pont sans relâche pour restaurer les données et permettre que tout fonctionne à nouveau. La tâche est immense et une fois encore les agentes et agents de la DGFiP sont au rendez-vous ». Mais le syndicat pointe le fait qu’il n’y ait pas de redondance des serveurs d’Hélios : « Cette crise d’ampleur montre les conséquences concrètes des réductions budgétaires sur notre administration. En effet, la DG [Direction générale] n’a jamais voulu, faute de moyens alloués, mettre en place une redondance (un serveur de secours) comme nos camarades des Disi [Directions des services informatique] le réclament depuis des années, ce qui aurait permis que cette panne soit transparente pour les usagers tout comme pour les agents ».

Le logiciel est utilisé pour payer les loyers, emprunts et prestataires des collectivités mais aussi des services publics hospitaliers. La CGT Finances publiques de Haute Garonne alertait aussi ce 12 février [PDF] sur le paiement d’aides sociales et des salaires des agents de la fonction publique territoriales : « l’inquiétude est réelle quant à la validation et le paiement des payes de l’ensemble des fonctionnaires territoriaux de ces collectivités, si la réparation tarde à intervenir (à ce jour, les payes sont encore en temps d’être réalisées, avec un visa allégé). D’ores et déjà, un certain nombre de dépenses sociales n’ont pu être payées aux usagers (allocations de retour à l’emploi, bourses, service d’aide et l’accompagnement à domicile…), ainsi que des remboursements de factures aux entreprises prestataires de ces collectivités ».

La paie des agents devrait être assurée

« Selon notre plan actuel, la paie des agents territoriaux et hospitaliers devrait être assurée dans les conditions habituelles, d’ici la fin du mois, car on se place dans une perspective de reprise de la disponibilité d’Hélios pour l’ensemble des postes comptables dans le courant de la semaine prochaine [ndlr : cette semaine, donc] », expliquait Éric Barbier vendredi dernier à Acteurs Publics. Au pire, la direction envisageait de rejouer la paie du mois précédent, comme elle l’a déjà fait au moment des confinements dus à la pandémie de Covid-19.

Selon les informations apportés aux syndicats, les collectivités dont les données sont stockées sur le serveur de Versailles auraient vu, depuis la fin de la semaine dernière, leur situation se débloquer.

En aout 2025, la DGFiP a publié [PDF] son schéma directeur du numérique pour structurer ses grandes orientations stratégiques. On peut y lire qu’elle prévoit de moderniser le système d’information comptable du secteur public local et hospitalier avec le projet « Helios 2 », mais les collectivités risquent d’attendre quelques années puisque le déploiement du projet n’est prévu qu’en 2030 :