Dates clefs
Lancement 2018 via une première Doctrine datant de novembre intitulée Doctrine d’utilisation de l’informatique en nuage par l’État
31 mai 2023 : promulgation d’une circulaire qui confirme la stratégie « cloud au centre et la précise en matière notamment de définition des données sensibles
Juillet 2021 : 1er assouplissement pour faire de l’informatique en nuage un levier majeur de la transformation numérique de l’État
Pourquoi une doctrine « Cloud au centre » ?
Cette doctrine émane de la volonté de l’État d’inciter les services de l’État à aller dans le cloud en priorité et d’y aller de façon sécurisée.
« A l’instar de nombreux pays, il est aujourd’hui nécessaire de doter l’État d’une doctrine en matière d’utilisation de l’informatique en nuage, qui réponde à nos objectifs stratégiques en matière de transformation numérique de l’action publique et qui prenne également en compte les enjeux de maîtrise des données, de réversibilité, de sécurité numérique et de souveraineté. »
Extrait Doctrine d’utilisation de l’informatique en nuage par l’État
La doctrine « Cloud au centre » repose sur trois piliers
La transformation des entreprises et des administrations
La souveraineté numérique
La compétitivité économique
A travers cette doctrine, la volonté du gouvernement est que le cloud devienne le mode d’hébergement et de production par défaut des services numériques de l’État tout en garantissant une protection maximale des données et en renforçant la résilience des produits numériques des administrations en cas d’incident afin de garantir la continuité du service public. L’objectif ultime est de garantir la confiance des Français dans le service public numérique.
Qui est concerné par la doctrine « Cloud au centre » ?
La doctrine « Cloud au centre » concerne tous les acteurs de l’État ainsi que les organismes placés sous sa tutelle pour tous nouveaux projets informatiques nécessitant un hébergement ou évolution de projets existants.
Quels sont les projets concernés par la doctrine « Cloud au centre » ?
Il est stipulé que pour tout nouveau projet informatique ou projet numérique existant nécessitant une évolution majeure tel qu’un changement de prestataire ou coûtant au moins 50% du coût initial du produit de, l’État et ses prestataires doivent par défaut utiliser le cloud, interne ou commercial.
Le choix du cloud doit se faire en fonction de critères prédéfinis, tels que le niveau de sécurité, le coût total, l’expertise en ressources humaines, les besoins techniques et fonctionnels…
Les équipes souhaitant déroger à la règle [R6] doivent documenter leur choix auprès de la DINUM pour tout projet coûtant au moins un million d’euros, en fournissant une analyse comparative des scénarios.
Quels sont les points à retenir concernant la circulaire de mai 2023 ?
La circulaire apporte tout d’abord une clarification du vocabulaire à des notions abstraites telles que :
« Infrastructure as a Service » (laaS), qui correspond aux composants techniques de l’informatique en nuage
« Software as a Service » (SaaS) ou logiciels proposés en location par un éditeur
« Platform as a Service » (PaaS), qui sert à fabriquer les applications cloud
Elle précise 2 notions :
Le cloud « interne », conçu, géré et exploité par l’État
Le cloud « commercial », délégué à un prestataire, soumis à des règles de sécurité plus ou moins contraignantes
La circulaire couvre deux concepts :
Le cloud des équipes informatiques (IaaS + PaaS)
Le cloud des utilisateurs (SaaS). Ce dernier est celui qui impacte le plus les administrations car tous les éditeurs de logiciels proposent désormais une offre SaaS. La circulaire apporte ensuite quelques ajustements à la doctrine cloud
Les obligations à respecter
Rechercher « en priorité » une solution cloud pour tout projet informatique quelle qu’en soit la taille
Couvrir « plusieurs » zones géographiques et respecter les meilleures pratiques en matière de résilience et de reprise d’activité
Veiller à l’existence de clauses de réversibilité « soutenables » en cas de rupture du contrat
Assurer la « portabilité » des offres afin de faciliter le changement de prestataire
Être vigilant en matière de localisation des données et de risque d’éventuels transferts de données à caractère personnel en dehors de l’Union européenne. Les données tombant sous le coup du RGPD doivent aussi « être immunisées contre toute demande d’autorité publique d’États tiers »
Les données dites sensibles doivent obligatoirement être hébergées sur des offres de cloud qualifiées par l’ANSSI SecNumCloud
Quelles sont les données dites sensibles ?
Les données protégées par la loi au titre des articles L.311-5 et L.311-6 du CRPA (délibérations de l’État, défense, sécurité nationale, santé, données personnelles…)
Les données nécessaires à l’accomplissement des missions essentielles de l’État
Les données personnelles de type état civil, affaires scolaires, élections…, médico-sociales (CCAS, APA…) ou des données sur la sécurité des personnes (vidéoprotection, police municipale…) sont concernées par l’obligation SecNumCloud
Qu’est-ce qu’un cloud qualifié SecNumCloud ?
SecNumCloud est une qualification de sécurité proposée pour les prestataires de services cloud proposant des services en PaaS, IaaS, CaaS ou SaaS
Elle garantit également une immunité aux les lois extraterritoriales
Elle garantit le respect des bonnes pratiques en matière de sécurité et offre une solution fiable, à la souveraineté renforcée et sécurisée pour les données stratégiques et sensibles dans le cloud
Elle est délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
Découvrez le texte de référence : Actualisation de la doctrine d’utilisation de l’informatique en nuage par l’État (« Cloud au centre »)
A propos de NumSpot
NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens.