Carrières

Ce qu’il faut retenir de la doctrine et de la circulaire « Cloud au centre »

Dates clefs

Lancement 2018 via une première Doctrine datant de novembre intitulée Doctrine d’utilisation de l’informatique en nuage par l’État 

31 mai 2023 : promulgation d’une circulaire qui confirme la stratégie « cloud au centre et la précise en matière notamment de définition des données sensibles

Juillet 2021 : 1er assouplissement pour faire de l’informatique en nuage un levier majeur de la transformation numérique de l’État 

Pourquoi une doctrine « Cloud au centre » ? 

Cette doctrine émane de la volonté de l’État d’inciter les services de l’État à aller dans le cloud en priorité et d’y aller de façon sécurisée. 

« A l’instar de nombreux pays, il est aujourd’hui nécessaire de doter l’État d’une doctrine en matière d’utilisation de l’informatique en nuage, qui réponde à nos objectifs stratégiques en matière de transformation numérique de l’action publique et qui prenne également en compte les enjeux de maîtrise des données, de réversibilité, de sécurité numérique et de souveraineté. »  

Extrait Doctrine d’utilisation de l’informatique en nuage par l’État

La doctrine « Cloud au centre » repose sur trois piliers 

La transformation des entreprises et des administrations

Lasouveraineté numérique

La compétitivité économique

A travers cette doctrine, la volonté du gouvernement est que le cloud devienne le mode d’hébergement et de production par défaut des services numériques de l’État tout en garantissant une protection maximale des données et en renforçant la résilience des produits numériques des administrations en cas d’incident afin de garantir la continuité du service public. L’objectif ultime est de garantir la confiance des Français dans le service public numérique.

Qui est concerné  par la doctrine « Cloud au centre » ? 

La doctrine « Cloud au centre » concerne tous les acteurs de l’État ainsi que les organismes placés sous sa tutelle pour tous nouveaux projets informatiques nécessitant un hébergement ou évolution de projets existants. 

Quels sont les projets concernés par la doctrine « Cloud au centre » ? 

Il est stipulé que pour tout nouveau projet informatique ou projet numérique existant nécessitant une évolution majeure tel qu’un changement de prestataire ou coûtant au moins 50% du coût initial du produit de, l’État et ses prestataires doivent par défaut utiliser le cloud, interne ou commercial. 

Le choix du cloud doit se faire en fonction de critères prédéfinis, tels que le niveau de sécurité, le coût total, l’expertise en ressources humaines, les besoins techniques et fonctionnels 

Les équipes souhaitant déroger à la règle [R6] doivent documenter leur choix auprès de la DINUM pour tout projet coûtant au moins un million d’euros, en fournissant une analyse comparative des scénarios. 

Quels sont les points à retenir concernant la circulaire de mai 2023 ? 

La circulaire apporte tout d’abord une clarification du vocabulaire à des notions abstraites telles que : 

« Infrastructure as a Service » (laaS), qui correspond aux composants techniques de l’informatique en nuage

« Software as a Service » (SaaS) ou logiciels proposés en location par un éditeur

« Platform as a Service » (PaaS), qui sert à fabriquer les applications cloud

Elle précise 2 notions : 

Le cloud « interne », conçu, géré et exploité par l’État

 Le cloud « commercial », délégué à un prestataire, soumis à des règles de sécurité plus ou moins contraignantes

La circulaire couvre deux concepts :

Le cloud des équipes informatiques (IaaS + PaaS)

Le cloud des utilisateurs (SaaS). Ce dernier est celui qui impacte le plus les administrations car tous les éditeurs de logiciels proposent désormais une offre SaaS. La circulaire apporte ensuite quelques ajustements à la doctrine cloud  

Les obligations à respecter 

Rechercher « en priorité » une solution cloud pour tout projet informatique quelle qu’en soit la taille  

Couvrir « plusieurs » zones géographiques et respecter les meilleures pratiques en matière de résilience et de reprise d’activité

Veiller à l’existence de clauses de réversibilité « soutenables » en cas de rupture du contrat

Assurer la « portabilité » des offres afin de faciliter le changement de prestataire

Être vigilant en matière de localisation des données et de risque d’éventuels transferts de données à caractère personnel en dehors de l’Union européenne. Les données tombant sous le coup du RGPD doivent aussi « être immunisées contre toute demande d’autorité publique d’États tiers »

Les données dites sensibles doivent obligatoirement être hébergées sur des offres de cloud qualifiées par l’ANSSI SecNumCloud 

Quelles sont les données dites sensibles ? 

Les données protégées par la loi au titre des articles L.311-5 et L.311-6 du CRPA (délibérations de l’État, défense, sécurité nationale, santé, données personnelles…) 

Les données nécessaires à l’accomplissement des missions essentielles de l’État

 Les données personnelles de type état civil, affaires scolaires, élections…, médico-sociales (CCAS, APA…) ou des données sur la sécurité des personnes (vidéoprotection, police municipale…) sont concernées par l’obligation SecNumCloud

Qu’est-ce qu’un cloud qualifié SecNumCloud ?

SecNumCloud est une qualification de sécurité proposée pour les prestataires de services cloud proposant des services en PaaS, IaaS, CaaS ou SaaS

Elle garantit également une immunité aux les lois extraterritoriales 

 Elle garantit le respect des bonnes pratiques en matière de sécurité et offre une solution fiable, à la souveraineté renforcée et sécurisée pour les données stratégiques et sensibles dans le cloud

Elle est délivrée par l’ANSSI 

A propos de NumSpot

NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens. 

Ça pourrait
vous intéresser

Résumé Un cloud de confiance est un service cloud garantissant confidentialité, intégrité et disponibilité des données gérées par le prestataire, conformément aux réglementations françaises et...

3 min de lecture

Le RGPD,qu’est-ce c’est ? Le règlement général sur la protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données sur...

5 min de lecture

Résumé Le cloud souverain protège la souveraineté des données en les hébergeant dans des environnements cloud contrôlés par des entités souveraines Avec l’ajout de la...

4 min de lecture

Trouver

Un partenaire

Découvrez la liste des partenaires embarquant les technologies NumSpot (éditeurs,
intégrateurs, distributeurs, revendeurs, sociétés de conseil)

SCC
Produits

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Solutions

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers
Container registry
Service proposant un référentiel ou des collections de dépôts pour stocker les images des conteneurs.
CI/CD (Gitlab)
Service de CI (Continuous Integration) et CD (Continuous Delivery) permet aux développeurs de construire et dé...
Blueprints
Scripts et patterns disponibles pour déployer, assembler et utiliser de manière productive les services de Num...
WAF
Service de WAF (Web Application Firewall) disponible sur la marketplace de NumSpot. Ce service protège les app...
Région SecNumCloud
Fait référence à un centre de données ou un ensemble de centres de données situés géographiquement ensemble et...
Portail
Interface web qui vous permet de créer et gérer des ressources cloud de votre compte. Il orchestre les requête...
Automatisation (IaC)
Interfaces standardisées permettant l’automatisation des actions sur le cloud avec une approche « Infrasctruct...
Kubernetes
Kubernetes est une plate-forme open-source extensible et portable pour la gestion de charges de travail (workl...
OpenShift
Plateforme de service qui repose sur la technologie Red Hat OpenShift, basée sur le système d’orchestration de...
IP publiques
Fonctionnalité qui fait référence à une adresse IP unique attribuée à une ressource informatique (comme un ser...
Catalogue d’images (VM)
Catalogue d’images préconfigurées d’une machine virtuelle utilisée pour créer une instance.
PostgreSQL
Service proposant des bases de données Une base de données PostgreSQL utilisant le langage standardisé SQL (St...
Identité management (IAM)
Service gérant au travers d’une plateforme unifiée l'authentification, la gestion des comptes d'utilisateurs, ...
VPN
VPN (Virtual Private Network), service qui offre une connexion Internet sécurisée et privée en utilisant les i...
Streaming et Messaging
Services de streaming de données et de broker de messages (messagerie) hébergés dans le cloud. Service entière...
Redis
Fonctionnalité qui stocke temporairement des données dans un emplacement proche de l'utilisateur pour accélére...
MongoDB
Bases de données conçues pour être flexibles, scalables et capables de gérer de grands volumes de données stru...
Metrics
Service proposant une collection d’indicateurs sur les performances et l'utilisation de services cloud.
Logging
Service qui collecte, stocke, analyse et surveille des journaux de données générés par les applications, les s...
Infrastructure As Code
Interfaces standardisées permettant l’automatisation des actions sur le cloud avec une approche « Infrasctruct...
BYOK
Service de stockage de données et de chiffrement de ces données pour une sécurité accrue. Service particulière...
Block Storage
Type de stockage de données où les données sont sauvegardées en blocs distincts, chacun ayant un identifiant u...
Object Storage (S3)
Service de stockage d’objets pour stocker n’importe quel type de données et les récupérer quand et où vous le ...
Snapshots
« Photographie » instantanée d'un volume de disque, d'une machine virtuelle, d'un système de fichiers, le serv...
Key Management Service
Service qui gère la création, le stockage, la distribution et la rotation des clés de chiffrement utilisées po...
Load Balancer
Service qui distribue le trafic réseau ou les demandes d'applications sur plusieurs serveurs dans un groupe.
VPC
VPC (Virtual Private Cloud) est un service qui fournit une infrastructure réseau virtuelle privée dans un envi...
DirectLink
Direct Link dans le cloud fait référence à une connexion dédiée et privée entre votre réseau local, comme un d...
Kubernetes managé (K8S)
Service Kubernetes managé permettant le déploiement d'applications containerisées. Possibilité dès à présent d...
OpenShift managé
Plateforme de service (PaaS) managée qui repose sur la technologie Red Hat OpenShift, basée sur le système d’o...
VM Autoscaling
Un service qui ajuste automatiquement le nombre de VM actives en fonction des besoins actuels en ressources de...
GPU NVIDIA
Exclusif: nos GPU sont les seules disponibles au choix à la demande ou en réservation d’instance en cloud publ...
Virtual Machine (VM)
Exclusif: nos VM sont les seules disponibles au choix à la demande ou en réservation d’instance en cloud publi...