La sortie de Windows à la DINUM

Loin d’un simple geste symbolique, un test grandeur réelle de la souveraineté numérique de l’État

EN RÉSUMÉ

> 234 agents de la DINUM quittent Windows : avant d’être une migration générale, il s’agit d’un test de souveraineté numérique. Peut-on le lire comme une stratégie de réduction progressive de dépendances ?

> L’objectif de cette migration dépasse le système opérateur pour embraser le contrôle des outils, des standards et architectures. L’Etat devra définir son plan sur plusieurs couches technologiques.

> Cette migration est techniquement crédible, mais encore floue sur sa capacité d’industrialisation : son succès dépendra de la gouvernance et des applications métiers. Le risque majeur demeure la fragmentation d’initiatives.

L’annonce a fait du bruit parce qu’elle touche un symbole central de l’informatique publique : le poste de travail Windows. Pourtant, la décision rendue publique début avril n’annonce pas encore la migration de l’ensemble de l’administration française vers Linux. Ce qui est acté, à ce stade, c’est la sortie de Windows pour les 234 agents de la DINUM (la direction interministérielle du numérique qui a pour mission d’élaborer la stratégie numérique de l’État et de piloter sa mise en œuvre), dans le cadre d’un plan plus large de réduction des dépendances numériques extra-européennes. La différence est importante. Si l’on surestime la portée immédiate de la nouvelle, on tombe dans le récit spectaculaire. Si on la lit correctement, on voit autre chose : le début d’une stratégie de découplage technologique, progressive, pilotée, et potentiellement structurante pour toute la chaîne publique.

Cette annonce doit donc être lue moins comme une révolution que comme un prototype politique, industriel et opérationnel. La DINUM ne prétend pas avoir résolu d’un coup la question des environnements bureautiques, des dépendances applicatives, des contrats Microsoft ou de la formation des agents. En revanche, elle ouvre un cycle dans lequel chaque ministère, opérateurs inclus, devra formuler d’ici l’automne son propre plan de réduction des dépendances sur sept axes : poste de travail, outils collaboratifs, anti-virus, intelligence artificielle, bases de données, virtualisation et équipements réseau. Autrement dit, l’enjeu réel n’est pas « Windows versus Linux », mais la capacité de l’État à reprendre la main sur son architecture, ses achats, ses standards et ses marges de décision.

Ce que l’annonce dit réellement, et ce qu’elle ne dit pas encore

Le premier point à clarifier est le périmètre. Le communiqué officiel ne dit pas que l’État français abandonne Windows dans son ensemble. Il dit que la DINUM annonce sa sortie de Windows au profit de postes sous Linux. Le point est confirmé et même nuancé par plusieurs lectures secondaires : nous sommes face à un mouvement initiateur, pas à un calendrier généralisé déjà ficelé pour les millions de terminaux du secteur public.

Le deuxième point est la méthode. Le gouvernement ne présente pas une migration uniforme décidée d’en haut pour tous les ministères. Il impose plutôt un cadre de transformation : cartographier les dépendances, structurer les besoins, et faire émerger des trajectoires ministère par ministère. Cette méthode est plus lente, mais elle est aussi plus crédible. Les dépendances de l’État ne sont pas homogènes. Elles sont empilées dans des contrats, des habitudes d’usage, des applications métiers, des briques d’infrastructure et des compromis de sécurité. Une politique sérieuse de souveraineté ne peut pas contourner cette réalité.

Le troisième point est ce que l’annonce ne précise pas encore. À ce stade, aucune distribution Linux n’est officiellement nommée dans les communiqués gouvernementaux. Il n’existe pas non plus, dans les textes publics, de doctrine détaillée sur la gestion de parc, la compatibilité applicative, l’authentification, le support utilisateur ou le rythme de bascule au-delà de la DINUM. C’est précisément pour cette raison qu’il faut résister aux surinterprétations. Il y a une direction politique claire, mais le plan d’industrialisation reste à formaliser.

Le vrai sujet : sortir d’une dépendance systémique, pas seulement remplacer un système d’exploitation

La force de l’annonce est qu’elle remet le poste de travail à sa juste place. Dans beaucoup d’administrations, Windows est devenu le symptôme d’une dépendance plus profonde qui inclut l’identité, l’administration de parc, la bureautique, la collaboration, le stockage, la sécurité, parfois même les workflows et les formats de documents. Sortir de Windows n’a donc de sens que si cette bascule s’inscrit dans une réflexion plus large sur l’ensemble de la chaîne de dépendance.

C’est d’ailleurs exactement ce que disent les textes officiels. Les sept axes de travail retenus montrent que l’État a compris que sa vulnérabilité ne se limite pas au poste de travail. Elle se situe dans l’empilement des couches propriétaires et dans leur capacité à créer des effets de verrouillage. Une administration peut très bien remplacer Windows sans avoir réellement regagné sa souveraineté si elle reste capturée par des outils collaboratifs fermés, des formats peu interopérables, des briques cloud externes, ou des solutions d’IA et de sécurité impossibles à auditer.

Sous cet angle, la migration de la DINUM a un intérêt très concret : elle permet de tester sur un périmètre limité ce que signifie réellement la souveraineté en environnement de travail. Il ne s’agit pas seulement d’installer Linux, mais de vérifier si l’on sait faire fonctionner un poste administré, sécurisé, maintenable, supportable, interopérable et acceptable pour les agents. Le poste Linux de l’État ne sera crédible que s’il simplifie la gouvernance au lieu de déplacer la complexité ailleurs.

Pourquoi cette décision est crédible sur le plan technique, mais encore incomplète sur le plan industriel ?

Sur le plan technique, il serait faux de dire que l’État part de zéro. La France dispose déjà d’un précédent majeur avec la Gendarmerie nationale, qui s’appuie depuis des années sur des logiciels libres à grande échelle. Une source institutionnelle européenne rappelait en 2019 que la Gendarmerie utilisait l’open source sur la quasi-totalité de son socle serveur, sur ses bases de données, et sur 77.500 de ses 85.000 postes de travail, avec un gain d’environ 35% du temps de gestion IT selon son responsable informatique. Le précédent est décisif : il prouve qu’une administration française peut déployer durablement un environnement libre si elle maîtrise sa standardisation, son exploitation et son support.

De la même manière, le cas du Schleswig-Holstein montre qu’en Europe, les migrations open source crédibles ne reposent pas sur un slogan mais sur une gouvernance dédiée. Le Land allemand a étalé sa stratégie dans le temps, l’a structurée par une politique explicite, puis a créé un OSPO (Open Source Programme Office) pour accompagner la transformation. Début 2026, il indiquait avoir migré plus de 44.000 boîtes mail, déplacé 80% de son écosystème bureautique vers LibreOffice, et poursuivi la bascule vers Linux, avec un discours insistant sur la transparence et le réinvestissement des économies réalisées. Là encore, la leçon est simple : une migration réussie n’est pas une affaire de distribution, mais d’organisation.

La faiblesse française, à ce stade, n’est donc pas d’abord technique. Elle est plutôt industrielle et de pilotage. L’État affiche un cap, mais il doit encore transformer ce cap en doctrine opérable. Qui supportera les postes ? Quelle chaîne de certification et de validation pour les logiciels ? Quels référentiels d’images, de paquets, de sécurité, de mises à jour et de compatibilité documentaire ? Quelle articulation avec les ministères les plus contraints par leurs applications métiers ? Sans réponse robuste à ces questions, le risque n’est pas l’échec immédiat, mais la dérive vers une succession de pilotes difficiles à mutualiser.

La piste NixOS : plausible, intéressante, mais à manier avec prudence

Une partie du débat s’est vite déplacée vers la question du « quel Linux ? ». Les communiqués officiels restent muets sur ce point. En revanche, des éléments publics disponibles dans l’écosystème cloud-gouv rendent crédible l’hypothèse d’une base technique inspirée de NixOS. Le dépôt public Sécurix se présente comme une base sécurisée pour poste d’administration, développée et utilisée au sein du département opérateur de la DINUM. Le projet indique reposer sur NixOS, avec un noyau Linux personnalisé, un durcissement aligné sur les recommandations de l’ANSSI, ainsi qu’un support de TPM2, FIDO2 et Secure Boot.

Il faut toutefois être rigoureux sur l’interprétation. L’existence de Sécurix ne signifie pas qu’une décision officielle a été prise pour faire de NixOS la base future de tous les postes Linux de l’État. En revanche, elle montre que la DINUM explore déjà des approches où reproductibilité, sécurité déclarative et industrialisation du poste sont au cœur du modèle. C’est un point important, car la question centrale n’est pas seulement le choix d’une distribution, mais le choix d’un mode d’administration. De ce point de vue, une approche déclarative est cohérente avec les exigences d’auditabilité, de cohérence de parc et de sécurité by design que recherche une administration.

Mais cette sophistication technique a un revers. Plus l’architecture est originale, plus l’État doit investir dans la formation, l’outillage, la documentation et la capacité d’exploitation. Une très bonne solution sur le papier peut devenir un facteur de friction si elle élève trop brutalement la barre de compétence pour les équipes de support et d’intégration. Le critère de choix ne doit donc pas être seulement l’élégance technique, mais le coût total d’appropriation institutionnelle.

Le nœud du problème : l’applicatif, pas le noyau

Dans tous les grands programmes de migration, la vraie difficulté n’est presque jamais le système d’exploitation lui-même. Elle réside dans les applications métiers, les dépendances périphériques, les macros, les extensions, les chaînes documentaires, les outils de visioconférence, les clients VPN, les signatures, les imprimantes, les habilitations, et tous les petits usages qui structurent le quotidien administratif. C’est là que se jouent les coûts réels, les résistances et les retours arrière.

Dans le cas français, la bonne nouvelle est que le gouvernement ne réduit pas le sujet au desktop. En imposant des plans de dépendance couvrant aussi les outils collaboratifs, les bases de données, la virtualisation ou l’IA, il se donne les moyens de traiter la transformation comme un portefeuille de dépendances plutôt que comme un simple changement d’interface. La moins bonne nouvelle est que cette ambition élargie accroît considérablement la complexité de gouvernance. Plus le périmètre est large, plus il faut une hiérarchie claire entre ce qui peut être substitué rapidement, ce qui relève de la coexistence, et ce qui restera durablement hybride.

Une analyse pragmatique conduit ici à une conclusion : la réussite se jouera d’abord sur la doctrine d’arbitrage. L’État devra décider, couche par couche, ce qui relève d’une sortie rapide, d’une transition longue, d’une mutualisation européenne, d’un maintien provisoire ou d’un abandon de certaines exigences historiques. Sans cette discipline, le discours sur la souveraineté risque de produire surtout de la dispersion. Disons que la discussion risque de prendre du temps.

Le risque principal n’est pas le refus du libre, mais la fragmentation des initiatives

L’un des arguments mis en avant dans la couverture médiatique est la crainte de voir se multiplier des distributions, des forks et des trajectoires nationales ou sectorielles. Cette inquiétude n’est pas absurde. Le projet EU OS montre bien qu’il existe déjà une réflexion européenne sur un socle commun pour le secteur public, mais son propre site précise qu’il s’agit d’un proof of concept communautaire, non d’un projet officiel de l’Union européenne. L’idée est intéressante : partir d’une base commune, puis ajouter des couches nationales, régionales ou organisationnelles, permettrait d’éviter à la fois l’uniformisation rigide et la balkanisation.

En pratique, la France n’en est pas encore là. Elle dispose d’initiatives prometteuses, de précédents puissants, d’une doctrine politique plus affirmée qu’avant, mais pas encore d’un socle de mutualisation stabilisé à l’échelle européenne. Le danger n’est pas tant d’avoir plusieurs expérimentations que de ne pas parvenir à les rendre interopérables, auditables et réutilisables. Une stratégie souveraine devient fragile lorsqu’elle produit une collection de solutions locales dont chacune recrée sa propre pile, son propre support et sa propre gouvernance.

C’est pourquoi la question industrielle est centrale. Les communiqués du gouvernement insistent sur la commande publique, la visibilité donnée à la filière, et la perspective d’une alliance public-privé pour la souveraineté européenne. Si la stratégie reste purement administrative, elle risque d’échouer par manque de profondeur de marché. Si elle parvient au contraire à agréger des intégrateurs, des éditeurs, des hébergeurs, des mainteneurs et des communautés autour de briques partagées, elle peut faire émerger une offre soutenable au-delà du seul appareil d’État.

En réalité, l’annonce marque surtout le retour de l’État architecte

Le point le plus intéressant, au fond, est peut-être institutionnel. Pendant des années, l’État s’est souvent comporté comme un acheteur de solutions davantage que comme un architecte de ses dépendances. L’annonce d’avril 2026 laisse entrevoir un déplacement. En lançant une cartographie, en demandant des plans ministériels, en articulant sécurité, achat public, interopérabilité et politique industrielle, l’État recommence à se penser comme organisateur de filière et pilote d’architecture, tout du moins dans les mots.

Cette bascule est en soit plus importante que le choix de Linux lui-même. Car la souveraineté numérique ne se mesure pas seulement à la nationalité d’un fournisseur ou au caractère open source d’une brique. Elle se mesure à la capacité d’une organisation publique à choisir, substituer, auditer, maintenir, négocier et faire évoluer ses outils sans être enfermée par les règles d’un acteur extérieur. Sous cet angle, Linux est un instrument possible d’une reprise de contrôle plus large.

Encore faut-il ne pas sous-estimer le coût politique de cette ambition. La souveraineté n’est pas gratuite. Elle suppose des investissements, des arbitrages, des renoncements à certaines facilités, et surtout une capacité à tenir dans la durée. Le cas Schleswig-Holstein rappelle qu’il faut plusieurs années pour stabiliser une telle trajectoire. Le précédent de la Gendarmerie montre que cela exige une discipline d’architecture et de support rarement visible dans les commentaires publics. La France vient donc moins d’annoncer une victoire que d’accepter un chantier exigeant. Métaphoriquement, annoncer la décision de changer tout le système électrique d’un pays est simple, mais rendre le système fiable, former les techniciens, adapter les usages et éviter les pannes prend des années.

---

CONCLUSION

Il faut éviter les deux erreurs symétriques. La première consiste à minimiser l’annonce sous prétexte qu’elle ne concerne encore que 234 postes. Ce serait ignorer qu’une administration centrale choisit publiquement de faire de son propre environnement de travail un démonstrateur de réduction de dépendance. La seconde consiste à exagérer l’événement comme si l’État français avait déjà quitté Microsoft. Ce serait confondre un signal de départ avec l’arrivée.

L’interprétation la plus solide est plus intéressante que ces caricatures. La DINUM ne bascule pas seulement vers Linux ; elle met à l’épreuve une nouvelle manière de gouverner la dépendance technologique. Si la méthode tient, l’annonce d’avril 2026 pourrait rétrospectivement apparaître comme le moment où l’État a commencé à passer d’une logique d’achat opportuniste à une logique d’architecture souveraine. Si elle échoue, elle ne prouvera pas que Linux était une mauvaise idée ; elle montrera surtout qu’aucune souveraineté numérique ne se décrète sans capacité d’exécution.