Le Cloud pour les administrations
L’informatique en nuage (Cloud computing) est une formidable opportunité pour accélérer la transformation numérique des administrations. À travers sa doctrine « Cloud au centre », l’État encourage l’ensemble des acteurs publics à se saisir de son potentiel afin de développer une nouvelle génération de services numériques de qualité, tout en protégeant au mieux les données des entreprises et des citoyens français. Au-delà des technologies et des offres de services, c’est un changement de culture qui s’engage, afin que les équipes projets et les développeurs inscrivent les opportunités du cloud dans leurs pratiques professionnelles au quotidien.
Sommaire
FAQ
Doctrine cloud de l’Etat
Périmètre
Quel est le champ d’application de la doctrine « Cloud au centre» ?
La doctrine s’applique à l’ensemble des entités de l’administration centrale ainsi qu’aux organismes sous sa tutelle. Les principales entités sont listées dans le document annexé annuellement au projet de loi de finances (“jaune budgétaire - opérateurs de l’Etat”).
Les collectivités territoriales font-elles partie du périmètre de la doctrine ?
Les collectivités ne rentrant pas dans le champ d’application de la circulaire “Cloud au centre”, elles ne sont pas tenues de recourir au cloud - ni, le cas échéant, aux solutions qualifiées SecNumCloud pour leurs SI les plus sensibles. Cela étant dit, les collectivités sont invitées à se saisir des avantages procurés par le cloud computing. Plus particulièrement, les solutions qualifiées SecNumCloud sont une réponse adaptée aux défis de cybersécurité parce qu’elles apportent des garanties en matière d’organisation de la sécurité et d’isolation vis-à-vis de règlementations non-européennes.
A titre d’exemple, le recours à un hébergement SecNumCloud pour la gestion de l’état civil est adapté au niveau de sensibilité élevé des données.
Je travaille dans une entité soumise à la doctrine, est-ce que mon projet est concerné ?
Oui, s’il s’agit d’un nouveau projet ou si le périmètre du projet engagé concerne une refonte de plus de 50 % de l’existant.
Premiers pas
La doctrine d’utilisation de l’informatique en nuage par l’État (« Cloud au centre») impose de chercher une “solution cloud”, mais que désigne ce terme de “solution cloud” ? Et qu’est-il attendu de l’administration ?
C’est la première règle de la doctrine “Cloud au Centre” [R1] : “Pour tout nouveau projet numérique, quelle que soit sa taille, une solution cloud doit être recherchée.” Une solution cloud peut-être soit :
- une solution SaaS ;
- une solution déployée en cloud computing (l’un des deux clouds interministériels internes de l’État ou les offres de cloud commercial proposées par les industriels).
Quel que soit le format de solution cloud choisi, le mode produit doit être privilégié. Il inclut :
- l’autonomie des équipes
- la prise en charge continue des opérations
- la confrontation rapide avec les utilisateurs du produit
- un jalonnement par l’impact permettant d’arrêter, d’infléchir ou d’accélérer la trajectoire du produit en fonction des résultats constatés.
Par où commencer ?
Nous vous recommandons 5 étapes à suivre pour bien démarrer avec la doctrine et ainsi faciliter sa mise en œuvre au sein de vos services. Elles sont disponibles sur la page 5 étapes pour bien commencer avec la doctrine Cloud : 5 étapes pour bien commencer avec la doctrine CloudDonnées particulièrement sensibles
Quels sont les critères discriminants qui définissent les données d’une sensibilité particulière ?
Deux conditions doivent être réunies pour que les données soient qualifiées comme particulièrement sensibles au sens de la doctrine :
- d’une part, elles doivent être sensibles soit par nature (parce qu’identifiées comme un secret légal) soit du fait de leur emploi (parce qu’impliquées dans une mission essentielle de l’État) ;
- et d’autre part, leur violation aurait pour conséquence une atteinte à l’ordre public, la sécurité publique, la santé, la vie des personnes ou la propriété intellectuelle.
Notes importantes :
- le fait pour une donnée d’entrer dans la catégorie des données personnelles sensibles au sens des articles 9 et 10 du RGPD (Règlement Général sur la Protection des Données) ne suffit pas pour exiger un hébergement SecNumCloud : le second critère doit être également rempli ;
- c’est aussi vrai pour des données de santé qui relèvent du HDS ;
- ces obligations issues d’autres régimes particuliers (RGPD, HDS,…) s’appliquent donc en tout état de cause ;
- pour déterminer la conséquence de la violation des données il convient d’utiliser les méthodologies déjà employées lors des analyses des risques, et notamment sous l’angle DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité).
Qui est responsable de l’évaluation de la sensibilité particulière des données dans un cas précis ?
L’entité porteuse du projet concerné est en charge de cette analyse.
Faut-il utiliser du SecNumCloud même lorsque ce n’est pas exigé par la circulaire ?
Non. S’il n’y a pas de besoin SecNumCloud identifié, il ne faut pas y recourir.
Contrôle
Qui contrôle l’application de la doctrine Cloud ? Et comment ?
La doctrine prévoit dans sa règle [R3] que chaque administration mette en place les processus d’incitation et de contrôle de la politique d’adoption du cloud prescrite par la circulaire. Le coût complet du projet détermine la procédure de contrôle, prévue par les règles [R7] et [R8] :
Coût du projet | Procédure de contrôle |
---|---|
En dessous de 1 million d’euros | L’autorité en charge du projet est aussi en charge du contrôle. |
Entre 1 et 9 millions d’euros | L’entité porteuse du projet doit produire une étude comparative sur les aspects économiques, juridiques, métiers et de sécurité entre les scénarios. Le contrôle est réalisé par les ministères qui en informent la DINUM. |
Au-delà de 9 millions d’euros | Le contrôle est intégré à la procédure de contrôle de conception des grands projets informatiques de l’État issue de l’article 3 du décret n°2019-1088 du 25 octobre 2019. |
L’adoption du cloud computing est associée à un effort important de transformation, et il importe plus d’avoir un plan global (intégrant les volets humains, infrastructures, économiques…) que d’appliquer la doctrine projet par projet. Les raisons qui vous conduisent à penser qu’il est légitime de déroger à la doctrine cloud de l’Etat peuvent vous donner des pistes sur la nature des freins subsistant dans votre organisation.
En quoi consiste le contrôle prévu à la règle [R8] ?
Ce contrôle porte sur le plan d’adoption du cloud, qui doit couvrir, à minima, les dimensions suivantes, détaillées sur la page https://www.numerique.gouv.fr/services/cloud/demarrer/#contenu :
- Définition des enjeux ;
- Cadre global d’usage ;
- Prérequis majeurs ;
- Dispositif d’acquisition des compétences et d’accompagnement opérationnel des équipes.
Si vous pensez que le cloud n’est pas pour votre projet, contactez-nous et parlons-en !
Dérogations
Dans quels cas est-il possible de déroger à la règle [R9] intégrant le caractère sensible des données dans les choix d’hébergement ?
Si les données sont sensibles au sens de la règle [R9], il n’est pas approprié de chercher à déroger à la règle en utilisant un autre hébergement que les solutions “Cloud de confiance” décrites dans la doctrine.
Si vous pensez avoir des motifs légitimes pour le faire, il conviendra d’apporter la preuve que les garanties apportées par le SecNumCloud sont réunies, notamment sur les volets cybersécurité et isolation juridique. Cela étant fait, la dérogation ne pourra être accordée que sous la responsabilité du ministre dont relève le projet, et après validation du Premier ministre.
Accompagnement
Existe-t-il des dispositifs d’accompagnement financier, pour les projets mettant en œuvre la doctrine « Cloud au centre » de l’État ?
Oui. Dans le cadre du Fonds pour la transformation de l’action publique (FTAP), la DINUM pilote le guichet de financement « Adoption du Cloud de confiance », qui cofinance les projets de migration vers le Cloud de confiance ou d’extension des offres de Cloud interne interministériel des administrations de l’Etat et des opérateurs de l’Etat.
Pour ce dispositif, les demandes d’information sont à adresser à infonuage.dinum@modernisation.gouv.fr
Existe-t-il des dispositifs d’accompagnement technique ?
Oui. La DINUM peut également proposer pour certains projets un accompagnement technique, avec l’intervention d’une “brigade d’intervention numérique” (BIN) experte des sujets Cloud.
Pour ce dispositif, les demandes d’information sont à adresser à infonuage.dinum@modernisation.gouv.fr
La DINUM anime également une communauté OSMOSE « L’adoption du Cloud », à destination des agents de la sphère publique, visant à favoriser l’adoption du cloud dans l’administration, via notamment le partage d’actualités, d’expertises et en répondant à vos questions : vous pouvez demander à la rejoindre par mail ou directement depuis la plateforme OSMOSE.
Il existe également une formation à la doctrine Cloud de l’Etat, disponible sur la plateforme Mentor au lien suivant : https://mentor.gouv.fr/course/view.php?id=1238§ion=1.
Il vous reste des questions ?
Vous pouvez les adresser à la DINUM par mail à l’adresse suivante : infonuage.dinum@modernisation.gouv.fr.