Sommaire
Le texte ci-dessous est en discussion sur ce site
Je passe sur le fait que le texte est mal documenté, mal référencé, mal formaté et
que les auteurs n'ont visiblement pas lu les excellents journaux de linuxfr ou à défaut
les documents de référence comme l'ISO-17789:2014.
Il n'y a Ă ce jour, Ă ma connaissance, zĂ©ro commentaire sur le texte âŠ
USAGE DE LâINFORMATIQUE EN NUAGE AU SEIN DE LâADMINISTRATION
Contexte
Trois niveaux de services différents existent en réalité sous le terme générique cloud computing :
âą lâhĂ©bergement distant, Infrastructure as a Service (IaaS) ;
âą la location de logiciels utilisable Ă distance, Software as a Service (SaaS)Â ;
âą la capacitĂ© Ă fabriquer de façon native des applications en sâappuyant sur des fonctionnalitĂ©s
standards existantes, Plateforme as a Service (PaaS).
La tendance actuelle du marchĂ© mondial du dĂ©veloppement logiciel est une orientation massive vers les services de type Software as a Service (SaaS). De nombreux Ă©diteurs logiciels ont basculĂ© dâune logique de vente de logiciel Ă une logique de fourniture de service en ligne.
Lâutilisation du cloud computing, en raison du recours Ă des prestataires externes, implique des problĂ©matiques de maĂźtrise des donnĂ©es, de rĂ©versibilitĂ©, de sĂ©curitĂ© informatique et de souverainetĂ©.
Dans ce contexte, lâadoption du cloud computing par lâEtat doit permettre dâaccĂ©lĂ©rer la crĂ©ation et la mise Ă disposition de services numĂ©riques, de favoriser la mise en Ćuvre de mĂ©thodes agiles et la prise en compte continue des besoins des utilisateurs, de faciliter la montĂ©e en charge des usages, de soutenir lâinnovation numĂ©rique, et enfin dâamĂ©liorer lâefficacitĂ© gĂ©nĂ©rale du systĂšme dâinformation des administrations publiques.
La doctrine nationale dâutilisation du cloud computing doit rechercher un Ă©quilibre entre plusieurs enjeux :
âą la transformation numĂ©rique, des entreprises, de lâaction publique tirĂ©e par les nouveaux usages et
les attentes des citoyens ;
âą les gains espĂ©rĂ©s Ă la fois par lâoptimisation des infrastructures dâhĂ©bergement et des investissements associĂ©s ainsi que par la rĂ©duction des dĂ©lais de dĂ©veloppement et de dĂ©ploiement des nouvelles applications ;
⹠la souveraineté, entendue comme une autonomie de décision des rÚgles à appliquer et une
autonomie dâactions pour protĂ©ger les donnĂ©es et systĂšmes les plus sensibles ;
âą le signal envoyĂ© aux acteurs publics oĂč lâadoption de service de cloud computing reste encore limitĂ©e
(dont les collectivitĂ©s locales et certains Ă©tablissements publics), ainsi quâaux entreprises ;
âą le soutien aux industries innovantes.
Compte tenu des diffĂ©rences entre les trois niveaux de services (Iaas, Paas et Saas) et de la diversitĂ© des usages, il semble difficile de trouver un unique compromis pour lâensemble de lâaction publique. Les tentatives prĂ©cĂ©dentes focalisĂ©es autour de la crĂ©ation dâun cloud souverain comme unique solution Ă la problĂ©matique ont donnĂ© des rĂ©sultats limitĂ©s.
Par ailleurs il convient de noter que le « CLOUD Act » adoptĂ© par le CongrĂšs amĂ©ricain en mars 2018 renforce lâimportance de disposer dâune autonomie dâactions pour protĂ©ger les donnĂ©e et systĂšmes les plus sensibles en matiĂšre dâinformatique en nuage.
Doctrine
La doctrine du cloud computing de lâEtat vise Ă dĂ©velopper massivement lâusage du cloud au sein des administrations
et à en faire à terme le principe par défaut. Pour cela, elle rendra accessible aux administrations une offre hybride
composée de trois catégories de solutions à utiliser en fonction de la sensibilité et du niveau de pérennité des
données, des traitements ou des applications.
Ces 3 catégories sont :
âą catĂ©gorie « Cloud interne » : elle capitalise sur les travaux menĂ©s depuis 2 ans sur la construction en interne Ă lâĂ©tat de trois instances de cloud interministĂ©riels qui devront progressivement devenir une offre cohĂ©rente IaaS et PaaS sur une base OpenStack, accessible Ă lâensemble des ministĂšres via un
portail interministĂ©riel. Lâensemble des ministĂšres pourra dĂ©ployer des services en mode Saas sur
cette infrastructure. Cette catĂ©gorie permettra dâaccueillir des donnĂ©es, des traitements et des
applications sensibles, et rĂ©pondre Ă des besoins rĂ©galiens dâinfrastructures numĂ©riques rĂ©pondant
aux exigences dâinternalisation des donnĂ©es et de sĂ©curitĂ© des systĂšmes dâinformation.
âą catĂ©gorie « Cloud dĂ©dié » : elle sâappuie sur une offre de cloud computing standard dâun industriel du secteur ayant un niveau de compatibilitĂ© suffisant pour rĂ©duire fortement des travaux de migration
avec la catĂ©gorie « Cloud interne », personnalisĂ©e pour les besoins de lâEtat et opĂ©rĂ©e sur des
infrastructures dĂ©diĂ©es. La personnalisation comprend lâintĂ©gration du service de supervision de
sécurité de l'ANSSI ainsi que certains composants de France Connect Plateforme. Cette catégorie
permettra dâaccueillir des donnĂ©es, des traitements et des applications dâune sensibilitĂ© moindre,
mais nécessitant un certain niveau de pérennité.
âą catĂ©gorie « Cloud externe » : elle est constituĂ©e dâun catalogue dâoffres cloud computing externes
gĂ©nĂ©riques accessibles sur internet (notamment en Saas), portĂ© par des centrales dâachat comme
lâUGAP pour en faciliter la commande. Cette catĂ©gorie permettra de rendre Ă©ligible un plus grand
nombre dâoffres permettant dâaccueillir des donnĂ©es, des traitements et des applications peu
sensibles, et via ces offres de bĂ©nĂ©ficier de lâĂ©tat de lâart et des meilleures innovations dans le
domaine. Ces offres devront néanmoins répondre à des critÚres minimaux en termes de
fonctionnalitĂ©, de rĂ©versibilitĂ© et de sĂ©curitĂ© et pourront faire lâobjet de labĂ©lisations en fonction de leurs caractĂ©ristiques, notamment en matiĂšre de sĂ©curitĂ©.
En matiĂšre de sĂ©curitĂ©, les catĂ©gories « Cloud interne » et « Cloud dĂ©dié » devront respecter les exigences rĂ©glementaires gĂ©nĂ©riques et ĂȘtre conformes au rĂ©fĂ©rentiel SecNumCloud Essentiel1
. Par ailleurs, une rĂ©vision de la PSSIE au regard des nouveaux usages liĂ©s au cloud et de cette doctrine devra ĂȘtre menĂ©e.
LâĂ©laboration des rĂšgles et contraintes de sĂ©curitĂ© se fera de façon Ă Ă©quilibrer dâune part le besoin de protection des actifs numĂ©riques de lâEtat, dâautre part le besoin de dĂ©velopper lâusage grĂące Ă des services faciles Ă utiliser, performants, et Ă©conomiquement performants.
La mise en Ćuvre de cette stratĂ©gie hybride pour le cloud computing de lâEtat nĂ©cessite la mise en place :
âą dâune gouvernance interministĂ©rielle Ă organiser le travail interministĂ©riel, Ă©laborer progressivement
la doctrine dâutilisation des trois catĂ©gories en fonction des applications et des usages et pour dĂ©finir
les conditions dâintĂ©gration des applications externes ;
âą dâun accompagnement dĂ©diĂ© Ă lâusage du cloud computing pour en tirer tous les bĂ©nĂ©fices tant
financier que sur la mise en Ćuvre rapide de nouveaux services numĂ©riques innovants pour les
citoyens et les agents publics, transformant lâaction publique ;
âą dâun catalogue de services IaaS et PaaS portĂ© par des centrales dâachat comme lâUGAP pour le « cloud
externe » au plus tĂŽt (une offre SaaS existe dĂ©jĂ Ă lâUGAP)
âą dâun ou plusieurs supports juridiques pour le « cloud dĂ©dié » afin dâĂȘtre opĂ©rationnel courant
deuxiĂšme semestre 2019,
Lâensemble des offres des trois catĂ©gories a vocation Ă ĂȘtre ouvert aux collectivitĂ©s locales et aux Ă©tablissements publics volontaires en fonction de la politique dâusage dĂ©finie ci-dessus. Une politique tarifaire sera mise en place.
Le rĂ©fĂ©rentiel SecNumCloud en version Essentiel est le rĂ©fĂ©rentiel dâexigences utilisĂ© pour la qualification de prestataires de services dâinformatique en nuage
(Cf. https://www.ssi.gouv.fr/actualite/secnumcloud-la-nouvelle-reference-pour-les-prestataires-dinformatique-en-nuage-de-confiance/ ).
Suivre le flux des commentaires
Note : les commentaires appartiennent Ă celles et ceux qui les ont postĂ©s. Nous nâen sommes pas responsables.