Dates clefs
- Lancement 2018 via une première Doctrine datant de novembre intitulée Doctrine d’utilisation de l’informatique en nuage par l’État
- Juillet 2021 : 1er assouplissement pour faire de l’informatique en nuage un levier majeur de la transformation numérique de l’État
- 31 mai 2023 : promulgation d’une circulaire qui confirme la stratégie « cloud au centre et la précise en matière notamment de définition des données sensibles
Pourquoi une doctrine « Cloud au centre » ?
Cette doctrine émane de la volonté de l’État d’inciter les services de l’État à aller dans le cloud en priorité et d’y aller de façon sécurisée.
« A l’instar de nombreux pays, il est aujourd’hui nécessaire de doter l’État d’une doctrine en matière d’utilisation de l’informatique en nuage, qui réponde à nos objectifs stratégiques en matière de transformation numérique de l’action publique et qui prenne également en compte les enjeux de maîtrise des données, de réversibilité, de sécurité numérique et de souveraineté. »
Extrait Doctrine d’utilisation de l’informatique en nuage par l’État
La doctrine « Cloud au centre » repose sur trois piliers
- La transformation des entreprises et des administrations
- La souveraineté numérique
- La compétitivité économique
A travers cette doctrine, la volonté du gouvernement est que le cloud devienne le mode d’hébergement et de production par défaut des services numériques de l’État tout en garantissant une protection maximale des données et en renforçant la résilience des produits numériques des administrations en cas d’incident afin de garantir la continuité du service public. L’objectif ultime est de garantir la confiance des Français dans le service public numérique.
Qui est concerné par la doctrine « Cloud au centre » ?
La doctrine « Cloud au centre » concerne tous les acteurs de l’État ainsi que les organismes placés sous sa tutelle pour tous nouveaux projets informatiques nécessitant un hébergement ou évolution de projets existants.
Quels sont les projets concernés par la doctrine « Cloud au centre » ?
Il est stipulé que pour tout nouveau projet informatique ou projet numérique existant nécessitant une évolution majeure tel qu’un changement de prestataire ou coûtant au moins 50% du coût initial du produit de, l’État et ses prestataires doivent par défaut utiliser le cloud, interne ou commercial.
Le choix du cloud doit se faire en fonction de critères prédéfinis, tels que le niveau de sécurité, le coût total, l’expertise en ressources humaines, les besoins techniques et fonctionnels…
Les équipes souhaitant déroger à la règle [R6] doivent documenter leur choix auprès de la DINUM pour tout projet coûtant au moins un million d’euros, en fournissant une analyse comparative des scénarios.
Quels sont les points à retenir concernant la circulaire de mai 2023 ?
La circulaire apporte tout d’abord une clarification du vocabulaire à des notions abstraites telles que :
- « Infrastructure as a Service » (laaS), qui correspond aux composants techniques de l’informatique en nuage
- « Platform as a Service » (PaaS), qui sert à fabriquer les applications cloud
- « Software as a Service » (SaaS) ou logiciels proposés en location par un éditeur
Elle précise 2 notions :
- Le cloud « interne », conçu, géré et exploité par l’État
- Le cloud « commercial », délégué à un prestataire, soumis à des règles de sécurité plus ou moins contraignantes
La circulaire couvre deux concepts :
- Le cloud des utilisateurs (SaaS). Ce dernier est celui qui impacte le plus les administrations car tous les éditeurs de logiciels proposent désormais une offre SaaS. La circulaire apporte ensuite quelques ajustements à la doctrine cloud
- Le cloud des équipes informatiques (IaaS + PaaS)
Les obligations à respecter
- Rechercher « en priorité » une solution cloud pour tout projet informatique quelle qu’en soit la taille
- Veiller à l’existence de clauses de réversibilité « soutenables » en cas de rupture du contrat
- Couvrir « plusieurs » zones géographiques et respecter les meilleures pratiques en matière de résilience et de reprise d’activité
- Assurer la « portabilité » des offres afin de faciliter le changement de prestataire
- Être vigilant en matière de localisation des données et de risque d’éventuels transferts de données à caractère personnel en dehors de l’Union européenne. Les données tombant sous le coup du RGPD doivent aussi « être immunisées contre toute demande d’autorité publique d’États tiers »
Les données dites sensibles doivent obligatoirement être hébergées sur des offres de cloud qualifiées par l’ANSSI SecNumCloud
Quelles sont les données dites sensibles ?
- Les données protégées par la loi au titre des articles L.311-5 et L.311-6 du CRPA (délibérations de l’État, défense, sécurité nationale, santé, données personnelles…)
- Les données personnelles de type état civil, affaires scolaires, élections…, médico-sociales (CCAS, APA…) ou des données sur la sécurité des personnes (vidéoprotection, police municipale…) sont concernées par l’obligation SecNumCloud
- Les données nécessaires à l’accomplissement des missions essentielles de l’État
Qu’est-ce qu’un cloud qualifié SecNumCloud ?
- SecNumCloud est une qualification de sécurité proposée pour les prestataires de services cloud proposant des services en PaaS, IaaS, CaaS ou SaaS
- Elle garantit également une immunité aux les lois extraterritoriales
- Elle garantit le respect des bonnes pratiques en matière de sécurité et offre une solution fiable, à la souveraineté renforcée et sécurisée pour les données stratégiques et sensibles dans le cloud
- Elle est délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
Découvrez le texte de référence : Actualisation de la doctrine d’utilisation de l’informatique en nuage par l’État (« Cloud au centre »)
Pour aller plus loin, NumSpot vous propose un livre blanc rédigé par IDC, en partenariat avec RedHat, pour explorer en profondeur les enjeux majeurs de la souveraineté numérique :
- Comment concilier innovation technologique, conformité réglementaire et sécurité ?
- Quelles sont les clés pour adopter une infrastructure cloud souveraine sans compromis sur la performance ?
- Comment aligner vos projets IA avec des principes de gouvernance des données responsables ?
- Quels partenaires choisir pour renforcer votre résilience opérationnelle et éviter le verrouillage fournisseur ?
