L’Europe est un marché d’avenir pour le cloud puisqu’il devrait s’élever à 560 milliards d’euros d’ici 2030. Et si le secteur privé est le premier consommateur des offres cloud, le secteur public tente de rattraper son retard. Aujourd’hui, selon les données de l’Observatoire du cloud d’IDC France, 48 % des décideurs IT du secteur public proscrivent encore son usage ou en font une option de dernier recours et 22 % n’ont tout simplement pas de stratégie en la matière.
Le cap est fixé : cloud first !
Pour favoriser une plus large adoption et mettre le cloud au service de la transformation digitale de l’administration, le gouvernement a défini en mai 2021 une stratégie cloud nationale poursuivant trois objectifs : plus de sécurité, grande qualité de service et indépendance technologique.
Pour rendre cette stratégie applicable et compréhensible des décideurs publics, trois piliers ont été définis : le visa SecNumCloud pour les données sensibles, la doctrine « Cloud au centre », et une politique de soutien des projets technologiques français au travers du plan de relance France 2030.
C’est donc cette doctrine « Cloud au centre » qui fixe le cap et clarifie les choix à opérer pour le secteur public en matière de cloud. Et l’orientation déterminée par le gouvernement dans ce domaine est pour le moins claire.
En effet, ce dernier fait du Cloud un prérequis pour tout nouveau projet numérique au sein de l’État ou refonte substantielle d’une architecture applicative existante. Cette politique volontariste est motivée par la volonté d’accélérer la transformation numérique, mais sans compromis.
Ainsi, l’État considère que l’approche cloud first doit bénéficier aux usagers « dans le strict respect de la cybersécurité et de la protection des données des citoyens et des entreprises. » En imposant le cloud comme mode d’hébergement et de production par défaut, l’exécutif entend aussi moderniser la culture de développement des applications (mode produit et DevOps) et les architectures.
Ces transformations nécessitent par conséquent des évolutions en termes de compétences. À cette fin, recrutements et programmes de formation continue destinés aux agents publics doivent s’enrichir d’un volet Cloud.
Chaque administration porteuse d’un projet est amenée à déterminer le type de cloud le plus adapté.
5 étapes pour choisir son cloud
La doctrine arrêtée par l’Etat prévoit que les services numériques sont tenus d’opter pour un hébergement sur l’un des deux cloud interministériels internes de l’État ou pour des offres commerciales, à condition qu’elles respectent des critères, en particulier de sécurité et de réversibilité.
Parmi ces alternatives, chaque administration porteuse d’un projet est donc amenée à déterminer le type de cloud le plus adapté. Pour les aider dans ce processus, l’État les accompagne au travers d’un processus en 5 étapes comprenant notamment une cartographie exhaustive de son SI et des contraintes associées, notamment réglementaires.
Sur la base de cette analyse, une application traitant des données sensibles et essentielles au service rendu sera conservée sur le cloud interne ou sur un cloud commercial de confiance, c’est-à-dire disposant du visa SecNumCloud. Ce type d’environnement doit ainsi garantir la protection contre le droit extra-européen et la conformité au RGPD.
Le tableau ci-dessous décrit précisément la matrice de choix des administrations en matière de cloud. Elle prévoit donc la possibilité de choisir entre cloud interne, cloud externe de confiance et cloud externe générique.
Nubo et Pi, les deux cloud interministériels
Le cloud interne de l’État se décline à l’heure actuelle en deux offres : Nubo, géré par la DGFiP et adapté à l’hébergement de données sensibles, et π (Pi) du ministère de l’Intérieur. Ce second cloud couvre les données sensibles jusqu’au niveau Diffusion restreinte.
Les offres dites de cloud commercial de confiance sont qualifiées SecNumCloud par l’ANSSI et offrent une immunité contre toute réglementation extraterritoriale. Ouverts à l’ensemble des administrations, ces environnements cloud proposent des garanties équivalentes au cloud interne. Ils sont exploitables pour l’hébergement de données sensibles (hors diffusion restreinte) et de services essentiels.
Le cloud commercial générique enfin, n’est pas proscrit par la doctrine de l’État. En revanche, ces offres qualifiées de « grand public » proposées par des hyperscalers américains sont cantonnées à l’hébergement de données non sensibles et aux services non essentiels des administrations.
La DINum comme cheffe d’orchestre
Pour naviguer dans la doctrine cloud française et entre les multiples offres du marché, les acteurs publics peuvent s’appuyer sur la DSI de l’État, la DINum. Le cloud fait partie des priorités de sa nouvelle feuille de route et la DINum est garante du respect de la doctrine, à laquelle elle ajoute des paramètres complémentaires.
Elle se fixe en effet comme priorité de favoriser l’adoption d’outils numériques mutualisés de qualité et de confiance. Et cela vaut pour la bureautique et les APIs, comme pour le cloud.
« Cet investissement mutualisé devra s’appuyer sur la doctrine du numérique public élaborée par la DINUM pour l’État et ses opérateurs et consolidée en lien avec les ministères, qui doit prendre en compte l’accessibilité, l’écoresponsabilité, les problématiques d’identité numérique et le cloud », détaille la DINum.
Balle au centre du terrain de la transformation numérique. Les acteurs publics peuvent à présent engager leur migration vers le développement cloud natif. L’arbitre DINum veille au bon déroulement de la partie.
