Les atouts d'un Cloud souverain pour le secteur public

    Cloud | Transformation Numérique | Secteur Public | Cloud souverain | SecNumCloud - posté le 26-12-2019 par Mehdi BADAWI-EL-NAJJAR

    iStock_bigdataanalytics2115346.jpg.600x600_q96

    Développer des services publics numériques à la fois performants et respectueux de la vie privée des citoyens implique le recours à un Cloud souverain.
    C’est la garantie que les données resteront protégées par le droit national, sans risque d’exploitation indue par un tiers.

    La promulgation de la loi Cloud Act aux États-Unis a ravivé le débat relatif à la construction d’un véritable Cloud souverain dédié au secteur public à l’échelle française ou européenne.
    Le texte autorise en effet les forces de l’ordre américaines à exiger l’accès aux informations stockées par les opérateurs d’infrastructures eux aussi américains, même si ces données sont hébergées à l’étranger par une filiale de nationalité différente.

    Tel qu’il est rédigé, le texte ne fait probablement planer qu’un risque limité sur les données des administrés européens : les demandes d’accès ne peuvent se faire que dans un cadre bien particulier et des possibilités de recours existent pour les juridictions étrangères.

    Son entrée en vigueur rappelle toutefois que la nationalité et l’appartenance d’un fournisseur de services Cloud n’est pas sans impact sur la confidentialité des données.

    Protéger les données des citoyens

    La question de la souveraineté des infrastructures utilisées par le service public se posait déjà avant le Cloud Act et se poserait même sans l’adoption de ce texte controversé. Du fait de leur nature même, les données des citoyens devraient - presque par définition - se voir protégées par le cadre juridique et réglementaire en vigueur sur le territoire concerné.

    Aujourd’hui, il existe par exemple un conflit entre le Cloud Act américain et le RGPD (Règlement Général sur la Protection des Données) européen. Les traités d’accord bilatéraux finiront certainement par résoudre cette contradiction, mais en attendant, il reste délicat du point de vue d’un responsable de traitement français de stocker des données sensibles sur les serveurs d’une société américaine. De plus, le chiffrement ne change rien à l’affaire puisque les autorités disposent de moyens techniques avancés pour casser les algorithmes dédiés.

    Les tensions entre les États-Unis et la Chine, sur fond de suspicions d’espionnage, ont récemment remis sous les feux des projecteurs les craintes liées à l’espionnage et à la cybersécurité. Ce sont ces mêmes enjeux qui poussent aujourd’hui la France et l’Europe à appeler de leurs vœux l’avènement d’infrastructures souveraines, hébergées sur le Vieux continent et gérées par des sociétés qui respectent pleinement le droit communautaire.

    Collaborer avec des acteurs certifiés

    En France, le Cloud souverain ne s’envisage plus tout à fait comme en 2012 lors du lancement des projets Cloudwatt et Numergy, aujourd’hui arrêtés. Il n’est plus question de subventionner la création d’infrastructures spécifiques, mais plutôt de collaborer avec les acteurs spécialisés pour concevoir des offres adaptées aux besoins rigoureux du secteur public. Le plan de transformation numérique engagé au niveau de l’État en 2018 envisage par exemple trois typologies de déploiement.

    Pour les applications gouvernementales et les données stratégiques, il prévoit le recours à un Cloud privé, piloté en interne. Les services et applications de l’administration publique ont quant à eux vocation à être hébergé sur un Cloud « dédié », élaboré par un éditeur tiers et répondant à l’ensemble des enjeux de sécurité et de confidentialité.

    Enfin, les données les moins sensiblessont susceptibles d’être hébergées sur un Cloud public répondant à de moins hauts niveaux d’exigence. Aucun prestataire n’est écarté des perspectives de marché, mais le niveau de sensibilité des données ou des applications devrait influencer la prise de décision.

    Accélérer la transformation numérique

    La question se pose en des termes similaires pour les organisations publiques et parapubliques, qui peuvent s’appuyer sur les recommandations de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) pour choisir leurs prestataires. Elle travaille en effet à la mise au point d’un référentiel baptisé SecNumCloud qui labellise les technologies et les fournisseurs répondant à son cahier des charges très exigeant en matière d’identification et de maîtrise des risques.

    Le Cloud dédié au secteur public mis en place par 3DS OUTSCALEa récemment reçu l’agrément de l’ANSSI. Il est par ailleurs certifié selon les plus hauts niveaux de norme en vigueursur la sécurité des données et la protection de la vie privée.

    Ces garanties sont un enjeu de compétitivité dans le privé, mais elles revêtent une importance encore plus grande dans le secteur public. La confiance constitue en effet le préalable indispensable à l’adoption à grande échelle des services d’administration électronique.

    Choisir un Cloud souverain

    Le choix d’un Cloud souverain participe à ce qui pourrait être considéré comme une autre mission du service public : le soutien à l’innovation et à l’économie numérique. En s’alliant avec des acteurs privés de confiance, les organisations publiques leur donnent des moyens d’investir et de perfectionner les compétences qui serviront demain à la mise en œuvre de services à haute valeur ajoutée pour l’ensemble des usagers. Elles s’assurent ainsi le concours de solutions industrielles, fiables et capables d’accompagner l’ensemble de leur transformation numérique.

    À propos de l'auteur : Mehdi BADAWI-EL-NAJJAR

    Commentaires