Le Cloud pour les administrations

L’informatique en nuage (Cloud computing) est une formidable opportunité pour accélérer la transformation numérique des administrations. À travers sa doctrine « Cloud au centre », l’État encourage l’ensemble des acteurs publics à se saisir de son potentiel afin de développer une nouvelle génération de services numériques de qualité, tout en protégeant au mieux les données des entreprises et des citoyens français. Au-delà des technologies et des offres de services, c’est un changement de culture qui s’engage, afin que les équipes projets et les développeurs inscrivent les opportunités du cloud dans leurs pratiques professionnelles au quotidien.

Partager

Sommaire

Les règles de la doctrine

Le développement de la « culture cloud »

  • Règle 1
    Pour tout nouveau projet numérique, quelle que soit sa taille, une solution cloud doit être recherchée : si le « cloud pour les utilisateurs » ne permet pas de remplir le besoin, une solution dédiée doit être envisagée sur une plateforme du « cloud pour les équipes informatiques ».
    Dans les deux cas, le mode produit doit être privilégié, incluant l’autonomie des équipes, la prise en charge continue des opérations, la confrontation rapide avec les utilisateurs du produit et un jalonnement par l’impact permettant d’arrêter, d’infléchir ou d’accélérer la trajectoire du produit en fonction des résultats constatés.

  • Règle 2
    Les recrutements et les programmes de formation continue d’agents relevant à la fois des équipes informatiques et des directions sponsors des projets et des produits numériques, devront comporter un volet cloud. Il en va de même pour leurs managers.

    Les équipes qui expérimentent pour la première fois les approches cloud pourront bénéficier d’un accompagnement spécifique, mis en place par leur ministère, avec l’appui de la DINUM.

  • Règle 3
    Il appartient à chaque administration de mettre en place les processus d’incitation et de contrôle de cette politique, qui mesure le niveau d’adoption par les équipes, identifie les freins et tient à jour le plan d’action visant à leur levée.

  • Règle 4
    Tout projet relevant d’offres cloud commerciales devra comporter des conditions de fin de contrat et de réversibilité soutenables pour son administration, et provisionner les ressources financières, techniques et humaines correspondantes dès le lancement du projet, afin de rendre cette réversibilité activable effectivement.

    L’adéquation avec les règles de GAIA-X (GAIA-X: Policy Rules and Architecture of Standards), notamment d’interopérabilité et de portabilité, devra également être recherchée dans la mesure du possible.

  • Règle 5
    Tout projet numérique ayant recours au cloud doit respecter les meilleures pratiques en matière de résilience, et reposer a minima sur des services déployés dans plusieurs zones géographiques pour assurer, selon le niveau de criticité, la continuité ou la reprise d’activité dans les meilleures conditions. L’offre cloud mobilisée doit offrir des garanties satisfaisantes en matière de mise à jour de ses composants pouvant être affectés par des failles de sécurité ainsi que de transparence et de réactivité en cas de compromission. En outre, lorsqu’elle envisage de retenir une offre cloud commerciale, l’administration doit prendre les mesures nécessaires de détection et d’isolation liées à la prévention de la propagation d’une compromission de sécurité.

Le « cloud pour les équipes informatiques »

  • Règle 6
    Pour tout nouveau projet informatique, les équipes informatiques de l’État et leurs prestataires doivent par défaut s’appuyer sur une ou plusieurs des offres de cloud internes ou commerciales pour couvrir l’intégralité du cycle de production des applications (développement, recette, production, secours, éventuelles plateformes bac à sable et formation). Les ministères choisissent, en fonction de critères qui leur sont propres, et notamment le niveau de sécurité, le coût complet de possession, l’expertise RH dont ils disposent en leur sein, leurs besoins techniques et fonctionnels, les choix d’urbanisation préalables, s’ils recourent pour leurs produits numériques au cloud interne de l’État ou à une offre cloud commerciale. Cette règle s’applique par extension à tout produit numérique existant qui donne lieu à une évolution majeure (changement de prestataire, évolutions représentant au moins 50 % du coût de fabrication du produit initial).

  • Règle 7
    Les équipes qui souhaitent déroger à [R6] doivent le documenter auprès de la DINUM pour tout projet présentant un coût complet d’au moins un million d’euros, en produisant une étude comparative sur les aspects économiques, juridiques, métiers et de sécurité entre les scénarios.

  • Règle 8
    Le contrôle de la doctrine « cloud au centre » est désormais intégré à la procédure de contrôle de conception des grands projets informatiques de l’État issue de l’article 3 du décret n°2019-1088 du 25 octobre 2019, au-delà du seuil de neuf millions d’euros. Sous ce seuil, ce contrôle relève des ministères.

  • Règle 9
    Dans le cas d’un recours à une offre de cloud commerciale, les systèmes informatiques en production et en recette, incluant les éléments nécessaires à leur résilience, doivent respecter la règle suivante :
    • Tous les systèmes et applications informatiques traitant des données à caractère personnel, y compris celles des agents publics, doivent être conformes au RGPD. A ce titre, une attention particulière doit être portée à d’éventuels transferts de données à caractère personnel en dehors de l’UE et il est rappelé que l’hébergement sur le territoire de l’UE, de l’EEE, ou d’un pays tiers faisant l’objet d’une décision d’adéquation de la Commission européenne, adoptée en application de l’article 45 du RGPD, permet notamment d’assurer un niveau de protection adéquat aux données. Par ailleurs, même lorsque les données sont localisées dans l’UE, conformément aux articles 28 et 48 du RGPD, ces données doivent être immunisées contre toute demande d’autorité publique d’États tiers judiciaire ou administrative, en dehors d’un accord international en vigueur entre le pays tiers demandeur et l’UE ou un État membre. Pour les systèmes contenant des données de santé, l’hébergeur doit de plus être conforme à la législation sur l’hébergement de données de santé.
    • Si le système ou l’application informatique traite des données, à caractère personnel ou non, d’une sensibilité particulière et dont la violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et la vie des personnes ou à la protection de la propriété intellectuelle, l’offre de cloud commerciale retenue devra impérativement respecter la qualification SecNumCloud (ou une qualification européenne garantissant un niveau au moins équivalent, notamment de cybersécurité) et être immunisée contre tout accès non autorisé par des autorités publiques d’État tiers : Dans le cas contraire, le recours à une offre de cloud commerciale qualifiée SecNumCloud et immunisée contre tout accès non autorisé par des autorités publiques d’État tiers n’est pas requis.
    • Ces données d’une sensibilité particulière recouvrent :

      • - les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L.311-5 et L.311-6 du code des relations entre le public et l’administration (par exemple, les secrets liés aux délibérations du Gouvernement et des autorités relevant du pouvoir exécutif, à la défense nationale, à conduite de la politique extérieure de la France, à la sûreté de l’Etat, aux procédures engagées devant les juridictions ou encore le secret de la vie privée, le secret médical, le secret des affaires qui comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles) ;

      - les données nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.

    • La violation des données décrites ci-dessus, susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et à la vie des personnes, ou à la protection de la propriété intellectuelle, devra être évaluée sous chaque angle des critères de sécurité élémentaires, à savoir : la confidentialité, l’intégrité, la disponibilité voire la traçabilité. Il pourra être pris en compte dans cette analyse différentes natures d’impacts possibles (par exemple notamment : impacts opérationnels, politiques, économiques, juridiques, environnementaux, patrimoniaux).
    • À titre transitoire, pour les projets déjà engagés, une dérogation à l’alinéa précédent pourra être accordée sous la responsabilité du ministre dont relève le projet, et après validation du Premier ministre, sans qu’elle ne puisse aller au-delà de 12 mois après la date à laquelle une offre de cloud acceptable (c’est-à-dire dont les éventuels inconvénients sont supportables ou compensables) sera disponible en France.
  • Règle 10
    La portabilité multi-clouds doit être assurée. À cette fin, les équipes informatiques s’assureront que les adhérences techniques et fonctionnelles à la plateforme cloud retenue n’entravent pas notablement cette capacité de réversibilité et de changement de fournisseur de cloud. Dans le cas où cette adhérence est néanmoins légitimée par des gains opérationnels immédiats, le surcoût de la réversibilité doit être financé par ces gains.

Le « cloud pour les utilisateurs »

  • Règle 11
    La DINUM est chargée de piloter, avec le concours des DNUM, la conception et la mise en œuvre de l’offre en matière d’outils collaboratifs interministériels, accessible à la demande par tous les agents de l’État.

  • Règle 12
    Les ministères peuvent proposer à leurs agents des services logiciels à la demande additionnels à ceux disponibles dans la suite collaborative interministérielle. Ces offres doivent répondre aux attentes de leurs utilisateurs, tout en s’inscrivant dans les moyens humains et financiers dont les ministères disposent. Les ministères sont incités à se regrouper et à mutualiser leurs moyens à cet effet, avec l’appui de la DINUM, sans que cela ne conduise à empêcher les agents d’accéder à la suite collaborative interministérielle.

  • Règle 13
    Les administrations ne doivent pas chercher à créer et maintenir de nouveaux logiciels sur mesure qui trouvent déjà leur équivalent dans les sphères publique ou privée ou parmi les communs numériques contributifs (logiciels libres et plateformes de services collaboratifs libres et ouverts, par exemple). Elles doivent répondre aux besoins de leurs agents et des citoyens en privilégiant les solutions disponibles, soit en y recourant sous forme de souscription de logiciel à la demande (offres SaaS commerciales), soit en intégrant, adaptant et déployant ces solutions sur le cloud interne de l’État (offres SaaS internes). En l’absence de solutions sur étagère, elles peuvent engager un développement sur mesure limité au périmètre spécifique en question.

  • Règle 14
    Pour les services précités en [R11] et [R12], la conformité des infrastructures et des services de l’éditeur à la règle [R9] est impérative.

  • Règle 15
    Dans le respect des règles de la commande publique, la diversité des fournisseurs doit être recherchée à l’échelle de l’État sur chaque segment des services aux utilisateurs, pour éviter la création de marchés captifs. Les administrations doivent, chaque fois que possible, évaluer plusieurs offres couvrant leurs besoins, en particulier dans les domaines de la micro-informatique, de la bureautique, de la messagerie et des solutions collaboratives.