Le Cloud en France : " Cloud au Centre"
La souveraineté numérique est devenue un enjeu majeur pour les États.
Depuis la circulaire de 2018 "Doctrine d'utilisation de l'informatique en nuage par l’État", l’État français a commencé à définir une doctrine relative à l'utilisation de services Cloud par les entités publiques.
En juillet 2021, l’État - représenté par la DINUM (Direction Interministérielle du Numérique) et l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) - a souhaité poursuivre cet objectif en publiant la "Circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État"; dont la finalité est d'encadrer les conditions d'utilisation de services cloud pour l'hébergement des données personnelles des citoyens français, traitées par les administrations publiques.
Cette doctrine est appelée "Cloud au centre".
Quelles sont les principales obligations apportées par cette nouvelle circulaire ?
La circulaire définit plusieurs obligations, que les administrations sont tenues, de mettre en place ou de faire appliquer par leurs prestataires.
Retenons celles qui intéressent particulièrement Claranet en sa qualité de prestataire :
Règle de la circulaire [R] | Obligations | La réponse de Claranet |
[ R4 ] - Contrat | Les contrats de prestations doivent :
| Nos contrats encadrent les fins de contrats et notamment les modalités de mise en œuvre de la réversibilité des prestations |
[ R5 ] - Résilience | Le projet du commanditaire doit reposer sur un service déployé dans plusieurs zones géographiques. | Claranet est en capacité de proposer une architecture multi zones géographiques |
[ R9 ] - SecNumCloud | Le service doit :
dès lors qu'il manipule :
| Remarque : La circulaire autorise le commanditaire à déroger à ces 2 règles, sous réserve que cela soit justifié par le fait que l'offre ne répondant pas à ces critères est la plus adaptée à ses besoins
|
Cette circulaire s'applique-t-elle déjà ?
Oui, la circulaire est applicable, mais son contenu sera précisé au fil de l'eau, notamment parce que cette doctrine "Cloud au centre" doit tenir compte :
- des exigences qui existent au niveau national, tels que les certifications/qualifications de l'ANSSI (exemple: SecNumCloud)
- d'autres initiatives, au niveau européen. On peut citer le projet GAIA-X et EUCS de l'ENISA
- du droit européen et international (libre circulation des services, droit de la concurrence, etc.)
Elle présente donc des grands buts, assortis de plusieurs exceptions.
Comment Claranet se positionne par rapport à cette circulaire ?
Claranet est impacté par cette circulaire, en sa qualité de prestataire qui adresse aussi le secteur public.
Au delà des réponses fournies ci-dessus, il est important de rappeler que Claranet éprouve son SMSI et les démarches sécurité / conformité qui y sont associées, notamment par l'obtention de différentes certifications : ISO27001, PCI DSS pour les données bancaires, ou encore HDS pour les données de santé.
Définitions
- ENISA : European Union Agency For Cybersecurity
- EUCS: European Union Cybersecurity Certification Scheme on Cloud Services
- IaaS: Infrastructure as a Service
- PaaS: Plateforme as a Service
Découvrez aussi
Optimisation d'hébergement web : Guide des bonnes pratiques avec Claranet
L'essor des services managés annonce-t-il la fin de l’infogérance ?
Glooko : Dispositifs de suivi pour personnes diabétiques
Les 5 erreurs à éviter lors de la migration vers les containers
Conteneurs dans le Cloud : Clé de la Transformation Digitale