Après l’hébergement des données de santé chez Microsoft dans le cadre du Health Data Hub ou des données de maintenance des centrales nucléaires d’EDF chez AWS, c’est au tour des ministères de retenir un duo franco-canadien pour la cybersécurité des ministères. Le couple Wavestone (cabinet de conseil français) et CGI (SSII canadienne) ont été - selon nos confrères du Canard Enchaîné - les gagnants d’un appel d’offres sur le conseil et la formation en cybersécurité auprès des ministères à l’exception de celui des Armées. Le montant du contrat est estimé à 250 millions d’euros sur 4 ans. Le duo avait déjà été retenu en 2019 pour le même lot.

Ce qui fait grincer des dents est que face aux deux fournisseurs, un consortium comprenant plusieurs acteurs français (Capgemini, Atos, Thalès et Headmind Partners (ex Bejaflore)) affichait l'ambition de rafler la mise. Le Canard indique que ce groupement avait le soutien du patron du Campus Cyber, Michel Van Den Berghe à travers une lettre envoyée au ministère de l’Agriculture. Ce dernier a été choisi pour être le décisionnaire sur l’appel d’offres. Mais l’action de lobbying n’a pas fonctionné.

Un rabais de 30% décrié

Le prix a été l’arbitre de la décision ministérielle. La paire Wavestone/CGI a proposé leurs services 30% moins cher que ceux de la concurrence. En sachant que sur les critères « qualité des solutions » et « compétence des équipes », les prétendants étaient à égalité. Le consortium et en particulier le DG de Thalès Cyber Solutions se sont étonnés de l’offre anormalement basse de son concurrent. Au ministère de l’Agriculture, on se défend d’une offre sous-évaluée en indiquant que « le marché a été attribué aux soumissionnaires ayant présenté l’offre économiquement la plus avantageuse ».

Cette affaire est à mettre en perspective avec le plan cybersécurité dévoilé en 2021 par Emmanuel Macron. Doté d’une enveloppe d’un milliard d’euros, il avait plusieurs objectifs dont le développement de solutions souveraines avec la création d’un incubateur de start-ups et la mobilisation des grands laboratoires (CEA, CNRS et Inria) sur des programmes de recherches dédié. Le plan militait aussi pour la promotion des offres nationales. Une orientation à l’époque défendue par Jean-Noël de Galzain, président de Hexatrust (regroupant plusieurs acteurs français de la cybersécurité), « chaque euro investi dans ce plan, doit être investi dans nos sociétés de croissance. Cela peut nécessiter quelques compromis provisoires en termes de fonctionnalités ou un léger effort sur les prix. Il faut l'accepter ». Un effort n’a semble-t-il pas été suffisant dans le cadre des ministères.