Circulaire du 8 novembre 2018 relative à la doctrine d'utilisation de l'informatique en nuage par l'Etat

Date de signature :08/11/2018 Statut du texte :En vigueur
Date de publication :28/11/2018 Emetteur :Premier ministre
Consolidée le : Source :http://circulaire.legifrance.gouv.fr
Date d'entrée en vigueur :29/11/2018

Paris, le 8 novembre 2018

LE DIRECTEUR DU CABINET
n°6049/SG

Mesdames et Messieurs les directeurs de cabinet
Mesdames et Messieurs les secrétaires généraux

Objet : Doctrine d'utilisation de l'informatique en nuage par l'État

PJ : 1


L'informatique en nuage (« Cloud Computing ») correspond à une évolution structurelle de l'écosystème numérique. En permettant l'accès instantané à des infrastructures ou à des services numériques consommés à l'usage et en standardisant et industrialisant des pans entiers des systèmes informatiques par la réutilisation à grande échelle de fonctions communes, de plus en plus complexes, elle permet des gains importants d'efficacité

A l'instar de nombreux pays, il est aujourd'hui nécessaire de doter l'État d'une doctrine en matière d'utilisation de l'informatique en nuage, qui réponde à nos objectifs stratégiques en matière de transformation numérique de l'action publique et qui prenne également en compte les enjeux de maîtrise des données, de réversibilité, de sécurité numérique et de souveraineté.

Le document joint en annexe détaille les enjeux et présente cette nouvelle doctrine de l'État. Sa rédaction, pilotée par le secrétaire d'Etat auprès du ministre de l'économie et des finances et du ministre de l'action et des comptes publics, chargé du numérique, a été réalisée par l'agence nationale de la sécurité des systèmes d'information (ANSSI), la direction générale des entreprises (DGE) et l'ensemble des directeurs du système d'information ministériel dans le cadre des travaux du programme « Action Publique 2022 » animés par la direction interministérielle du numérique et du système d'information et de communication (DINSIC). Notre objectif est de développer massivement l'utilisation de l'informatique en nuage au sein de l'administration et à terme d'en faire la norme, en s'appuyant sur le développement d'une offre hybride capable de s'adapter aux différents cas d'usages et aux différents niveaux de sensibilité des données et des applications.
                             
Je vous demande de mettre en œuvre, au sein de vos services, les orientations définies dans ce document et le cas échéant de procéder aux modifications réglementaires nécessaires.

Benoît RIBADEAU-DUMAS

USAGE DE L'INFORMATIQUE EN NUAGE AU SEIN DE L'ADMINISTRATION

Contexte

Le terme générique de cloud computing recouvre 3 niveaux de services différents : 

La tendance actuelle du marché mondial du développement logiciel est une orientation massive vers les services de type « Software as a Service » (Saas). De nombreux éditeurs logiciels ont basculé d'une logique de vente de logiciel à une logique de fourniture de services en ligne.

L'utilisation du Cloud computing, en raison du recours à des prestataires externes, implique des problématiques de maîtrise des données, de réversibilité, de sécurité informatique et de souveraineté.

Dans ce contexte, l'adoption du cloud computing par l'Etat doit permettre d'accélérer la création et la mise à disposition de services numériques, de favoriser la mise en oeuvre de méthodes agiles et la prise en compte continue des besoins des utilisateurs, de faciliter la montée en charge des usages, de soutenir l'innovation numérique, et enfin d'améliorer l'efficacité générale du système d'information des administrations publiques.

La doctrine nationale d'utilisation du cloud computing doit rechercher un équilibre entre plusieurs Compte tenu des différences entre les trois niveaux de services (laas, Paas et Saas) et de la diversité des usages, il semble difficile de trouver un unique compromis pour l'ensemble de l'action publique. Les tentatives précédentes focalisées autour de la création d'un cloud souverain comme unique solution à la problématique ont donné des résultats limités.

Doctrine

La doctrine du cloud computing de l'Etat vise à développer massivement l'usage du cloud au sein des administrations et à en faire à terme la norme. Pour cela, elle rendra accessible aux administrations une offre hybride composée en trois cercles de solutions à utiliser en fonction de la sensibilité et du niveau de pérennité des données, des traitements ou des applications.

1er cercle le « Cloud interne » : il capitalise sur les travaux menés depuis quelques années sur la construction en interne à l'Etat de trois instances de Cloud interministériels qui devront progressivement devenir une offre cohérente « laaS » et « PaaS » sur une base OpenStack, accessible à l'ensemble des ministères via des interfaces simplifiant l'usage à l'échelle interministérielle. L'ensemble des ministères pourra déployer des services en mode « Saas » sur cette infrastructure. Ce cercle permettra d'accueillir des données, des traitements et des applications sensibles, et de répondre à des besoins régaliens d'infrastructures numériques répondant aux exigences d'internalisation des données et de sécurité des systèmes d'information.

2ème cercle le « Cloud dédié » : il s'appuie sur une offre de cloud computing standard d'un industriel du secteur et sera développé de manière à réduire fortement des travaux de migration avec le 1er cercle « Cloud interne ». Il sera personnalisé pour
les besoins de l'Etat et reposera sur des infrastructures dédiées. La personnalisation comprend l'intégration du service de supervision de sécurité de l'ANSSl ainsi que certains composants de France Connect Plateforme. Ce cercle permettra d'accueillir des données, des traitements et des applications d'une sensibilité moindre, mais nécessitant un certain niveau de pérennité.

3ème cercle le « Cloud externe » : il est constitué d'un catalogue d'offres cloud computing externes génériques accessibles sur internet (notamment en Saas), porté par des centrales d'achat comme I'UGAP pour en faciliter la commande. Ce cercle permettra de rendre éligible un plus grand nombre d'offres permettant d'accueillir des données, des traitements et des applications peu sensibles, et via ces offres de bénéficier de l'état de l'art et des meilleures innovations dans le domaine. Ces offres devront néanmoins répondre à des critères minimaux en termes de fonctionnalité, de réversibilité et de sécurité et pourront faire l'objet de labélisations en fonction de leurs caractéristiques, notamment en matière de sécurité.

En matière de sécurité, les cercles « Cloud interne » et « Cloud dédié » devront notamment respecter les exigences réglementaires génériques et être conformes au référentiel SecNumCloud Essentiel 1. Par ailleurs, une révision de la politique de sécurité des systèmes d'information de l'Etat (PSSIE) au regard des nouveaux usages liés au Cloud et de cette doctrine devra être menée.

L'élaboration des règles et contraintes de sécurité se fera de façon à équilibrer d'une part le besoin de protection des actifs numériques de l'Etat, d'autre part le besoin de développer l'usage grâce à des services faciles à utiliser, performants, et économiquement efficients.

La mise en oeuvre de cette stratégie hybride pour le cloud computing de l'Etat nécessite la mise en place : L'ensemble des offres des trois cercles a vocation à être ouvert aux collectivités locales et aux établissements publics volontaires en fonction de la politique d'usage définie ci-dessus. Une politique tarifaire sera mise en place à cet effet.

Le référentiel SecNumCloud en version Essentiel est le référentiel d'exigences utilisé pour la qualification de prestataires de services d'informatique en nuage (Cf. https://www.ssi.gouv.fr/actualite/secnumcloud-la-nouvelle-reference-pour-les-prestataires-dinformatique-ennuage-de-confiance/).