Le Cloud pour les administrations

Les offres de Cloud commercial, issues des catalogues de services des principaux acteurs des marchés français, européen et mondial, proposent une plus grande diversité d’infrastructures, de plateformes et de services innovants que les offres de Cloud interne.

Le Cloud offre une grande variété de tarification. Paiement à l’usage, instances à coût marginal, prix réduits en contrepartie d’une longue durée d’engagement : chaque fournisseur a ses propres caractéristiques qu’il convient d’analyser en détail pour optimiser sa facture, le Cloud commercial offrant la plus grande diversité.

À ce jour, seuls le Cloud interne et le Cloud commercial de confiance doivent être utilisés dans le cas d’un produit numérique manipulant des données dans un contexte de sensibilité particulière au sens de la règle R9 de la doctrine relative à l’emploi du Cloud computing. Cette règle explique notamment que l’emploi d’un Cloud interne ou commercial de confiance est requis quand deux critères sont réunis : le fait que la données appartienne à une catégorie protégée par la loi ou soit impliquée dans un l’accomplissement d’un service essentiel de l’État, auquel s’ajoute l’impact de la violation de ces données.

Lorsque cette double condition est réunie, l’offre de Cloud commercial retenue devra impérativement relever de la qualification SecNumCloud (ou une qualification européenne garantissant un niveau au moins équivalent, notamment de cybersécurité) et être immunisée contre tout accès non autorisé par des autorités publiques d’État tiers. Dans le cas contraire, le recours à une offre de cloud commerciale qualifiée SecNumCloud et immunisée contre tout accès non autorisé par des autorités publiques d’État tiers n’est pas requis.

Les services essentiels de l’État se caractérisent par un fort besoin de disponibilité, quelles que soient les circonstances. Pour la garantie de disponibilité dans des circonstances normales, le choix peut s’opérer en fonction des niveaux de service constatés des différentes offres des Cloud interne et Cloud commercial ainsi que du niveau de résilience de chacun des services.
Par ailleurs, l’État n’ayant que des garanties limitées sur les changements de stratégie des opérateurs du Cloud commercial, les services essentiels qui y seraient hébergés mériteraient de faire l’objet d’une analyse de risques et des possibilités de bascules vers des solutions de repli.

Collecter et traiter des données personnelles au sens du RGPD implique de prendre des mesures pour garantir une utilisation de ces données respectueuse de la vie privée des personnes concernées. En ce sens, l’hébergement des données personnelles sur les deux offres est possible mais relève de la responsabilité de l’administration propriétaire du service et de sa mise en conformité aux règles de protection de données.
Consulter le site de la CNIL pour plus d’informations sur les méthodes, outils et documents de référence disponibles pour engager votre démarche de conformité RGPD. Pour les données personnelles dont la confidentialité ou l’intégrité est particulièrement sensible, se référer au critère « compatibilité données sensibles » ci-dessus.

L’offre de Cloud commercial intègre plusieurs fournisseurs de services Cloud disposant de l’agrément HDS (Hébergeur de Données de Santé).

Le référentiel SecNumCloud, utilisé dans le cadre de la qualification de prestataires de Cloud délivrée par l’ANSSI, décrit le socle minimal de garanties sur les compétences de fournisseur de services Cloud et de son personnel. La conformité du service à ce référentiel permet d’apprécier la qualité de la prestation et la confiance qu’il est possible de lui accorder.
La recherche de conformité au référentiel SecNumCloud n’exclut ni l’application de la législation et de la réglementation nationale, ni l’application des règles générales de sécurité imposées à chaque organisme.

Certains fournisseurs de Cloud commercial sont soumis à une législation d’un pays hors Union Européenne imposant le transfert des données à caractère personnel aux autorités publiques (ex. Cloud Act).
Ce critère permet d’accéder à des fournisseurs non assujettis à ces réglementations.

Les deux offres Cloud proposent à minima une région d’hébergement comprenant deux zones de disponibilité. En outre, le Cloud commercial offre des services plus résilients et des infrastructures profitant d’une distribution sur un nombre de sites ou de régions plus élevé. De même, l’offre de Cloud interne offre aux ministères une connectivité plus résiliente par leur exposition sur le RIE.

Le Cloud interne permet d’héberger des données en France métropolitaine, le Cloud commercial de confiance offre des zones d’hébergement en France pouvant s’étendre en Union Européenne, et le Cloud commercial générique dispose d’une plus grande variété de zones d’hébergement permettant d’étendre votre système d’information en France, en Union européenne ou dans le monde. Il est de la responsabilité du bénéficiaire de vérifier que la localisation de ses données est conforme aux contraintes réglementaires applicables.

L’offre de Cloud interne est construite sur une double infrastructure comprenant deux zones distinctes : l’une exposée sur le RIE et l’autre sur internet. L’offre de Cloud commercial est exposée uniquement sur internet.

L’accès à l’espace d’administration des ressources du Cloud interne est possible à travers le réseau interministériel de l’État (RIE). Les ressources du Cloud commercial sont administrables depuis les plateformes des fournisseurs de services Cloud, depuis l’accès internet du RIE ou depuis internet.