Sommaire
Le texte ci-dessous est en discussion sur ce site
Je passe sur le fait que le texte est mal documenté, mal référencé, mal formaté et
que les auteurs n'ont visiblement pas lu les excellents journaux de linuxfr ou à défaut
les documents de référence comme l'ISO-17789:2014.
Il n'y a à ce jour, à ma connaissance, zéro commentaire sur le texte …
USAGE DE L’INFORMATIQUE EN NUAGE AU SEIN DE L’ADMINISTRATION
Contexte
Trois niveaux de services différents existent en réalité sous le terme générique cloud computing :
• l’hébergement distant, Infrastructure as a Service (IaaS) ;
• la location de logiciels utilisable à distance, Software as a Service (SaaS) ;
• la capacité à fabriquer de façon native des applications en s’appuyant sur des fonctionnalités
standards existantes, Plateforme as a Service (PaaS).
La tendance actuelle du marché mondial du développement logiciel est une orientation massive vers les services de type Software as a Service (SaaS). De nombreux éditeurs logiciels ont basculé d’une logique de vente de logiciel à une logique de fourniture de service en ligne.
L’utilisation du cloud computing, en raison du recours à des prestataires externes, implique des problématiques de maîtrise des données, de réversibilité, de sécurité informatique et de souveraineté.
Dans ce contexte, l’adoption du cloud computing par l’Etat doit permettre d’accélérer la création et la mise à disposition de services numériques, de favoriser la mise en œuvre de méthodes agiles et la prise en compte continue des besoins des utilisateurs, de faciliter la montée en charge des usages, de soutenir l’innovation numérique, et enfin d’améliorer l’efficacité générale du système d’information des administrations publiques.
La doctrine nationale d’utilisation du cloud computing doit rechercher un équilibre entre plusieurs enjeux :
• la transformation numérique, des entreprises, de l’action publique tirée par les nouveaux usages et
les attentes des citoyens ;
• les gains espérés à la fois par l’optimisation des infrastructures d’hébergement et des investissements associés ainsi que par la réduction des délais de développement et de déploiement des nouvelles applications ;
• la souveraineté, entendue comme une autonomie de décision des règles à appliquer et une
autonomie d’actions pour protéger les données et systèmes les plus sensibles ;
• le signal envoyé aux acteurs publics où l’adoption de service de cloud computing reste encore limitée
(dont les collectivités locales et certains établissements publics), ainsi qu’aux entreprises ;
• le soutien aux industries innovantes.
Compte tenu des différences entre les trois niveaux de services (Iaas, Paas et Saas) et de la diversité des usages, il semble difficile de trouver un unique compromis pour l’ensemble de l’action publique. Les tentatives précédentes focalisées autour de la création d’un cloud souverain comme unique solution à la problématique ont donné des résultats limités.
Par ailleurs il convient de noter que le « CLOUD Act » adopté par le Congrès américain en mars 2018 renforce l’importance de disposer d’une autonomie d’actions pour protéger les donnée et systèmes les plus sensibles en matière d’informatique en nuage.
Doctrine
La doctrine du cloud computing de l’Etat vise à développer massivement l’usage du cloud au sein des administrations
et à en faire à terme le principe par défaut. Pour cela, elle rendra accessible aux administrations une offre hybride
composée de trois catégories de solutions à utiliser en fonction de la sensibilité et du niveau de pérennité des
données, des traitements ou des applications.
Ces 3 catégories sont :
• catégorie « Cloud interne » : elle capitalise sur les travaux menés depuis 2 ans sur la construction en interne à l’état de trois instances de cloud interministériels qui devront progressivement devenir une offre cohérente IaaS et PaaS sur une base OpenStack, accessible à l’ensemble des ministères via un
portail interministériel. L’ensemble des ministères pourra déployer des services en mode Saas sur
cette infrastructure. Cette catégorie permettra d’accueillir des données, des traitements et des
applications sensibles, et répondre à des besoins régaliens d’infrastructures numériques répondant
aux exigences d’internalisation des données et de sécurité des systèmes d’information.
• catégorie « Cloud dédié » : elle s’appuie sur une offre de cloud computing standard d’un industriel du secteur ayant un niveau de compatibilité suffisant pour réduire fortement des travaux de migration
avec la catégorie « Cloud interne », personnalisée pour les besoins de l’Etat et opérée sur des
infrastructures dédiées. La personnalisation comprend l’intégration du service de supervision de
sécurité de l'ANSSI ainsi que certains composants de France Connect Plateforme. Cette catégorie
permettra d’accueillir des données, des traitements et des applications d’une sensibilité moindre,
mais nécessitant un certain niveau de pérennité.
• catégorie « Cloud externe » : elle est constituée d’un catalogue d’offres cloud computing externes
génériques accessibles sur internet (notamment en Saas), porté par des centrales d’achat comme
l’UGAP pour en faciliter la commande. Cette catégorie permettra de rendre éligible un plus grand
nombre d’offres permettant d’accueillir des données, des traitements et des applications peu
sensibles, et via ces offres de bénéficier de l’état de l’art et des meilleures innovations dans le
domaine. Ces offres devront néanmoins répondre à des critères minimaux en termes de
fonctionnalité, de réversibilité et de sécurité et pourront faire l’objet de labélisations en fonction de leurs caractéristiques, notamment en matière de sécurité.
En matière de sécurité, les catégories « Cloud interne » et « Cloud dédié » devront respecter les exigences réglementaires génériques et être conformes au référentiel SecNumCloud Essentiel1
. Par ailleurs, une révision de la PSSIE au regard des nouveaux usages liés au cloud et de cette doctrine devra être menée.
L’élaboration des règles et contraintes de sécurité se fera de façon à équilibrer d’une part le besoin de protection des actifs numériques de l’Etat, d’autre part le besoin de développer l’usage grâce à des services faciles à utiliser, performants, et économiquement performants.
La mise en œuvre de cette stratégie hybride pour le cloud computing de l’Etat nécessite la mise en place :
• d’une gouvernance interministérielle à organiser le travail interministériel, élaborer progressivement
la doctrine d’utilisation des trois catégories en fonction des applications et des usages et pour définir
les conditions d’intégration des applications externes ;
• d’un accompagnement dédié à l’usage du cloud computing pour en tirer tous les bénéfices tant
financier que sur la mise en œuvre rapide de nouveaux services numériques innovants pour les
citoyens et les agents publics, transformant l’action publique ;
• d’un catalogue de services IaaS et PaaS porté par des centrales d’achat comme l’UGAP pour le « cloud
externe » au plus tôt (une offre SaaS existe déjà à l’UGAP)
• d’un ou plusieurs supports juridiques pour le « cloud dédié » afin d’être opérationnel courant
deuxième semestre 2019,
L’ensemble des offres des trois catégories a vocation à être ouvert aux collectivités locales et aux établissements publics volontaires en fonction de la politique d’usage définie ci-dessus. Une politique tarifaire sera mise en place.
Le référentiel SecNumCloud en version Essentiel est le référentiel d’exigences utilisé pour la qualification de prestataires de services d’informatique en nuage
(Cf. https://www.ssi.gouv.fr/actualite/secnumcloud-la-nouvelle-reference-pour-les-prestataires-dinformatique-en-nuage-de-confiance/ ).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.