Dématérialisation - L’État définit trois niveaux de cloud pour concilier sécurité des données et accélération des usages
Après l’échec du "cloud souverain", l’État a assoupli sa stratégie en matière d’informatique en nuages. Trois niveaux de sécurité ont été définis en fonction de la sensibilité des applications concernées. Le niveau trois prévoit le développement d’une offre de cloud externe "au plus tôt", ciblant plus particulièrement les établissements publics et les collectivités territoriales.
© Fotolia
Le cloud computing fait partie des évolutions technologies majeures, allant de pair avec la dématérialisation des services, la généralisation de la fibre optique et le développement des usages en mobilité. Pour les directions des systèmes d’information, le cloud est une véritable révolution avec la possibilité d’ajuster en temps réel les ressources matérielles aux besoins (notion d’"infrastructure as a service" ou IaaS), de déployer des logiciels sans aucune installation sur le poste de travail (offres SaaS) ou encore de créer des plateformes de services totalement modulables (PaaS).
Des géants du cloud souverain qui n’ont jamais vu le jour
Et au-delà des DSI, le cloud est entré dans notre quotidien avec la multiplication des services – messagerie, réseaux sociaux, banque en ligne… – qui passent par le cloud pour être accessibles sur n’importe quel terminal connecté. Les administrations sont cependant longtemps restées frileuses sur son usage, les leaders du cloud étant une fois de plus américains (Amazon, Google, Microsoft, Dropbox…). Un enjeu de souveraineté qui avait conduit le gouvernement à interdire aux administrations l’usage de solutions de cloud qui ne seraient pas hébergées en France (lire notre article du 1er août 2016) . Numergy et Cloudwatt, champions du cloud souverain lancés en 2012 à grand renforts d’aides publiques, n’ont cependant jamais réussi la percée promise et ont surtout mécontentés les acteurs existants (OVH, Ikoula…) qui les accusaient de concurrence déloyale.
Un échec qui a conduit le gouvernement à définir une nouvelle stratégie, esquissée le 3 juillet dernier lors des rencontres du cloud par le secrétaire d’État au numérique, Mounir Mahjoubi, et formalisée dans une note datée du 8 novembre et publiée le 28 novembre. Un cadre élaboré par l’Anssi, la DGE, la Dinsic destiné à "répondre à nos objectifs stratégiques en matière de transformation numérique de l’action publique et qui prenne également en compte les enjeux de maîtrise des données, de réversibilité, de sécurité numérique et de souveraineté" selon le courrier du directeur de cabinet du Premier ministre qui accompagne la circulaire. Le souhait du gouvernement est notamment d’envoyer un "signal" aux collectivités locales et établissements publics qui ont encore "un usage limité du cloud computing". Son développement, promet la circulaire, serait de nature à générer des gains importants via "l'optimisation des infrastructures d'hébergement et des investissements associés ainsi que par la réduction des délais de développement et de déploiement des nouvelles applications".
Trois niveaux de cloud ouverts aux collectivités territoriales
Trois niveaux de cloud sont définis par la circulaire pour concilier développement des usages et impératifs de sécurité. Le premier cercle sera un "cloud interne", totalement maîtrisé par l’État, déployé sur une base OpenStack et disponible depuis un portail interministériel. "Ce cercle, précise la circulaire, permettra d'accueillir des données, des traitements et des applications sensibles, et de répondre à des besoins régaliens d'infrastructures numériques répondant aux exigences d'internalisation des données et de sécurité des systèmes d'information."
Le second cercle sera confié à des prestataires externes et accueillera "des données, des traitements et des applications d'une sensibilité moindre, mais nécessitant un certain niveau de pérennité" parmi lesquels certains composants de France Connect Plateforme, le système d’authentification des usagers aux services publics. Il reposera sur des infrastructures dédiées et sera supervisé par l’Anssi.
Enfin, le troisième sera constitué d'un catalogue d'offres cloud computing externes génériques accessibles sur internet (notamment en Saas), porté par des centrales d'achat comme I'Ugap pour en faciliter la commande. Ce troisième cercle, dédié aux applications peu sensibles, promet de "rendre éligible un grand nombre d'offres" pour permettre aux administrations de "bénéficier des meilleures innovations dans le domaine". Ces offres promettent de faire l’objet d’une labellisation pour veiller à ce qu’elles respectent "des critères minimaux en termes de fonctionnalité, de réversibilité et de sécurité".
Des offres cloud externes labellisées
La circulaire précise par ailleurs que "l'ensemble des offres des trois cercles a vocation à être ouvert aux collectivités locales et aux établissements publics volontaires en fonction de la politique d'usage définie ci-dessus". Les deux premiers cercles doivent respecter des normes très strictes définis par l’Ansii parmi lesquelles une localisation impérative des données en Europe. Seuls quatre prestataires français bénéficient aujourd’hui de cette qualification Secnumcloud. Si l’État ne semble pas fermer totalement la porte à Amazon et autres Dropbox via le troisième cercle - notamment susceptibles d’être utilisées par des prestataires de services SAAS - il restera à connaitre plus précisément la nature des applications éligibles aux trois niveaux de cloud.
La circulaire annonce la création "d’une gouvernance" interministérielle et "d’un accompagnement" pour piloter cette nouvelle stratégie cloud. Elle promet notamment la création "au plus tôt" d’un catalogue de services laaS, PaaS et SaaS porté par des centrales d'achat comme I'Ugap. Il y a en effet urgence car le cloud computing est une des clefs pour atteindre l’objectif de 100 % des démarches en ligne d'ici à 2022.
