Question de M. CANÉVET Michel (Finistère - UC) publiée le 11/07/2019

M. Michel Canevet souhaite attirer l'attention de M. le ministre de l'action et des comptes publics sur les serveurs de systèmes d'information gérés par la direction générale des finances publiques (DGFIP).

Actuellement, les principaux serveurs de systèmes d'information de la DGFIP sont fournis par l'entreprise Bull, filiale du groupe Atos. Ces cinq principaux serveurs, qui traitent de données particulièrement sensibles (données fiscales, financières, etc.) à une échelle très importante, coûtent environ 7,5 millions d'euros par an en dépenses d'entretien. Ils abritent plus de 700 applications et sont essentiels au bon fonctionnement de la DGFIP dans l'accomplissement de ses missions.

Dans un rapport du 28 mai 2019, la Cour des comptes note que ces systèmes d'information, bien que robustes, sont vieillissants. Elle relève certaines faiblesses structurelles, tout en dégageant des pistes de réforme et de transformation, dans le cadre du programme action publique 2022.

Il semble que la DGFIP souhaite, dans cette optique, renouveler ses serveurs. Dans cette perspective, selon les informations disponibles, elle estime que les systèmes GCOS 8 de Bull ne correspondent plus aux besoins de la direction. Il apparaît que les produits proposés par l'entreprise IBM constitueraient une alternative crédible pour ce remplacement.

Dans l'hypothèse d'un tel remplacement, et du passage d'une entreprise française vers une entreprise étrangère, les données sensibles recueillies par la DGFIP pourraient par voie de conséquence être hébergées sur des serveurs situés hors de France, posant des questions de sécurité évidentes. En effet, la propriété de telles données constitue un enjeu de sécurité nationale majeur.

Il lui demande donc de lui préciser l'état de la réflexion de la DGFIP sur ce dossier de l'éventuel remplacement de ses serveurs de systèmes d'information. Il lui demande aussi de lui indiquer comment est traitée la question de l'hébergement des données sensibles. Il aimerait savoir si les services de l'État concernés, notamment l'agence nationale de la sécurité des systèmes d'information (ANSSI) sont associés à la réflexion.

- page 3626

Transmise au Ministère auprès du ministre de l'économie, des finances et de la relance - Comptes publics


Réponse du Ministère auprès du ministre de l'économie, des finances et de la relance - Comptes publics publiée le 23/09/2021

Le système d'information de la direction générale des finances publiques (DGFiP) s'appuie sur plusieurs grandes familles de serveurs : outre les serveurs Bull-GCOS7 mentionnés par l'auteur de la question (qui hébergent une quarantaine d'applications), ils comptent notamment des grands serveurs IBM-z/OS, et surtout de plus de 5 000 serveurs de type x86 issus de plusieurs fournisseurs. Les grands serveurs (i.e Bull et IBM), appelés « mainframe » dans l'industrie informatique, abritent 40 applications indispensables au bon fonctionnement de la DGFiP au quotidien. Parmi ces applications figurent plusieurs applications « cœur de métier », correspondant aux premiers processus à avoir été informatisés, et donc porteurs d'enjeux métiers critiques, et issues de dizaines d'années de stratification de développements. Ces serveurs Bull et IBM présentent l'inconvénient d'un « coût de possession » (maintenance, du matériel, licences du système d'exploitation) élevé. S'agissant des serveurs Bull, cet inconvénient se double d'un risque majeur d'impasse technologique. En outre, les applications qui sont installées sur ces serveurs sont développées dans des langages aujourd'hui obsolètes. Enfin, les moyens humains nécessaires à la maîtrise de ces technologies représentent des ressources rares et critiques, alors même que ces applications connaissent des évolutions dynamiques du fait des réformes et des évolutions réglementaires. C'est pour la combinaison de toutes ces raisons que la DGFiP, qui, depuis plusieurs décennies, a fait le choix pour ses nouvelles applications d'un cadre technique modernisé (serveurs x86 physiques ou virtualisés, applications web, langage Java), a entamé dès 2014 la migration progressive de son parc installé sur grands serveurs. Ces modernisations ont commencé avec le programme Paysage qui consiste à migrer la paie des fonctionnaires du système actuel (programmes en Cobol sur serveur IBM-z/OS) vers un système à l'état de l'art (langage Java sur serveurs x86). Les solutions de modernisation du système d'information de la DGFIP sont multiples et doivent être adaptées au contexte technique et applicatif. Ainsi, l'alternative d'un portage de Bull-GCOS7 vers l'environnement IBM-z/OS peut être envisagée mais n'est pas l'unique solution. Chaque projet fait l'objet d'une réflexion fonctionnelle, technique et d'une projection budgétaire afin de choisir la solution la plus à même de lui permettre de tenir le calendrier d'abandon de Bull-GCOS7. Bien entendu, dans tous les cas les prescriptions réglementaires quant à la localisation des données sont respectées ainsi que les normes fixées par la politique de sécurité des systèmes d'information de l'État (circulaire du Premier ministre du 17 juillet 2014), sous le contrôle de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Ainsi, la DGFIP est propriétaire et exploite ses infrastructures informatiques (datacenter et serveurs), ce qui lui permet d'avoir une totale maîtrise de ses données et traitements. Enfin, depuis 2019, la DGFIP a mis en place l'une des deux offres de l'État pour l'informatique en nuage ("stratégie cloud au centre") avec le même esprit de souveraineté des données et traitements, et dans le respect des préconisations de sécurité de l'ANSSI.

- page 5495

Page mise à jour le