Ce qu’il faut retenir de la doctrine et de la circulaire « Cloud au centre »

Dates clefs

Lancement 2018 via une première Doctrine datant de novembre intitulée Doctrine d’utilisation de l’informatique en nuage par l’État 

31 mai 2023 : promulgation d’une circulaire qui confirme la stratégie « cloud au centre et la précise en matière notamment de définition des données sensibles

Juillet 2021 : 1er assouplissement pour faire de l’informatique en nuage un levier majeur de la transformation numérique de l’État 

Pourquoi une doctrine « Cloud au centre » ? 

Cette doctrine émane de la volonté de l’État d’inciter les services de l’État à aller dans le cloud en priorité et d’y aller de façon sécurisée. 

« A l’instar de nombreux pays, il est aujourd’hui nécessaire de doter l’État d’une doctrine en matière d’utilisation de l’informatique en nuage, qui réponde à nos objectifs stratégiques en matière de transformation numérique de l’action publique et qui prenne également en compte les enjeux de maîtrise des données, de réversibilité, de sécurité numérique et de souveraineté. »  

Extrait Doctrine d’utilisation de l’informatique en nuage par l’État

La doctrine « Cloud au centre » repose sur trois piliers 

La transformation des entreprises et des administrations

Lasouveraineté numérique

La compétitivité économique

A travers cette doctrine, la volonté du gouvernement est que le cloud devienne le mode d’hébergement et de production par défaut des services numériques de l’État tout en garantissant une protection maximale des données et en renforçant la résilience des produits numériques des administrations en cas d’incident afin de garantir la continuité du service public. L’objectif ultime est de garantir la confiance des Français dans le service public numérique.

Qui est concerné  par la doctrine « Cloud au centre » ? 

La doctrine « Cloud au centre » concerne tous les acteurs de l’État ainsi que les organismes placés sous sa tutelle pour tous nouveaux projets informatiques nécessitant un hébergement ou évolution de projets existants. 

Pour un état des lieux des enjeux du secteur public et le cloud souverain, découvrez la tribune d’Alain Issarni, Président Exécutif NumSpot.

Quels sont les projets concernés par la doctrine « Cloud au centre » ? 

Il est stipulé que pour tout nouveau projet informatique ou projet numérique existant nécessitant une évolution majeure tel qu’un changement de prestataire ou coûtant au moins 50% du coût initial du produit de, l’État et ses prestataires doivent par défaut utiliser le cloud, interne ou commercial. 

Le choix du cloud doit se faire en fonction de critères prédéfinis, tels que le niveau de sécurité, le coût total, l’expertise en ressources humaines, les besoins techniques et fonctionnels 

Les équipes souhaitant déroger à la règle [R6] doivent documenter leur choix auprès de la DINUM pour tout projet coûtant au moins un million d’euros, en fournissant une analyse comparative des scénarios. 

Quels sont les points à retenir concernant la circulaire de mai 2023 ? 

La circulaire apporte tout d’abord une clarification du vocabulaire à des notions abstraites telles que : 

« Infrastructure as a Service » (laaS), qui correspond aux composants techniques de l’informatique en nuage

« Software as a Service » (SaaS) ou logiciels proposés en location par un éditeur

« Platform as a Service » (PaaS), qui sert à fabriquer les applications cloud

Elle précise 2 notions : 

Le cloud « interne », conçu, géré et exploité par l’État

 Le cloud « commercial », délégué à un prestataire, soumis à des règles de sécurité plus ou moins contraignantes

La circulaire couvre deux concepts :

Le cloud des équipes informatiques (IaaS + PaaS)

Le cloud des utilisateurs (SaaS). Ce dernier est celui qui impacte le plus les administrations car tous les éditeurs de logiciels proposent désormais une offre SaaS. La circulaire apporte ensuite quelques ajustements à la doctrine cloud  

Les obligations à respecter 

Rechercher « en priorité » une solution cloud pour tout projet informatique quelle qu’en soit la taille  

Couvrir « plusieurs » zones géographiques et respecter les meilleures pratiques en matière de résilience et de reprise d’activité

Veiller à l’existence de clauses de réversibilité « soutenables » en cas de rupture du contrat

Assurer la « portabilité » des offres afin de faciliter le changement de prestataire

Être vigilant en matière de localisation des données et de risque d’éventuels transferts de données à caractère personnel en dehors de l’Union européenne. Les données tombant sous le coup du RGPD doivent aussi « être immunisées contre toute demande d’autorité publique d’États tiers »

Les données dites sensibles doivent obligatoirement être hébergées sur des offres de cloud qualifiées par l’ANSSI SecNumCloud 

Quelles sont les données dites sensibles ? 

Les données protégées par la loi au titre des articles L.311-5 et L.311-6 du CRPA (délibérations de l’État, défense, sécurité nationale, santé, données personnelles…) 

Les données nécessaires à l’accomplissement des missions essentielles de l’État

 Les données personnelles de type état civil, affaires scolaires, élections…, médico-sociales (CCAS, APA…) ou des données sur la sécurité des personnes (vidéoprotection, police municipale…) sont concernées par l’obligation SecNumCloud

Qu’est-ce qu’un cloud qualifié SecNumCloud ?

SecNumCloud est une qualification de sécurité proposée pour les prestataires de services cloud proposant des services en PaaS, IaaS, CaaS ou SaaS

Elle garantit également une immunité aux les lois extraterritoriales 

 Elle garantit le respect des bonnes pratiques en matière de sécurité et offre une solution fiable, à la souveraineté renforcée et sécurisée pour les données stratégiques et sensibles dans le cloud

Elle est délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) 

A propos de NumSpot

NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens. 

Ça pourrait
vous intéresser

En quoi le recours au cloud souverain et de confiance est-il un accélérateur en matière de cybersécurité ?

Résumé La certification ISO/IEC 27001 est la norme internationale fixant les exigences relatives aux SMSI (Systèmes de Management de la Sécurité de l’Information) des entreprises...

4 min de lecture
Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Téléchargez le guide NumSpot de la protection des données de santé et du cloud Les données de santé sont précieuses et convoitées car éminemment sensibles...

2 min de lecture
Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Le SIH (Système d’Informations Hospitalier) est un élément fondamental et stratégique de l’établissement hospitalier, et ce à plusieurs titres : la gestion des processus administratifs...

7 min de lecture

Offres packagées

Découvrez les offres que nous avons bâties avec nos partenaires technologiques.

NumSpot partenaire de Sopra Steria
Offre de Sauvegarde des Données de Santé
Offres packagées NumSpot (Allonia)
Assistant IA
NumSpot partenaire d'Alter way
S.I.E.M.

Cas clients

Trouver

Un partenaire

Découvrez la liste des partenaires embarquant les technologies NumSpot (éditeurs,
intégrateurs, distributeurs, revendeurs, sociétés de conseil)

synodis-partenaire-numspot
Synodis
Denodo logo numspot
Denodo
Logo Adobis Group
Adobis Group
Logo CobolCloud
CobolCloud
Logo Allonia
ALLONIA
SCC
Softeam
Eviden
Docaposte
Cleyrop
Sopra Steria
IBM
LightOn
Alter Way
Illuin Technology
Energisme
OGO
OGO Security
Logo-Red_Hat
Red Hat
DEVOTEAM
Keltio
OCTO Technology
DuoKey
CEO-Vision SAS
Produits

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Solutions

Secteur public
Santé
Services financiers et assurance
OSE et OIV

Cas clients

Découvrez la mise en oeuvre de nos technologies au travers de nos cas clients.

Perfecto Group
Secteur public
CNP Assurances
Services financiers et assurance
Docaposte
Santé
Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Produits & disponibilités