Archives

Les retards au décollage de l’informatique en nuage dans les collectivités

Peu de collectivités utilisent aujourd’hui les solutions d’informatique en nuage. Les messages contradictoires de l’État ont sans doute leur part de responsabilité. Mais il y a aussi un défaut d’offres fiables et de compétences cloud.

Selon l’observatoire Data Publica, à peine 7% des collectivités utiliseraient une offre d’informatique en nuage (cloud computing) pour stocker leurs données et applications. Un chiffre qui atteint 14% si l’on inclut les datacenters publics locaux, la technologie utilisée pour ces derniers n’étant cependant pas précisée. Les régions, départements et métropoles se révèlent être les plus réfractaires au cloud, la percée la plus sensible étant chez les communes de plus de 10.000 habitants (14%). On notera enfin que 10% des répondants avouent ne pas savoir où sont stockées les données de leur collectivité... Ces chiffres, collectés durant l’été 2022, témoignent d’une faible appétence des territoires pour l’informatique en nuage.

Doctrine de l'État fluctuante

L'attachement des collectivités à l’architecture "client-serveur" héritée des années 90 a sa part de responsabilité mais les signaux contradictoires de l’État ont aussi joué. Car la doctrine cloud de l'État a été assez fluctuante. En 2016, une note d’information signée des Archives de France, abrogée depuis, estimait que "les documents et données numériques produits par les collectivités territoriales relèvent du régime juridique des archives publiques dès leur création". En d’autres termes, il était hors de question qu'elles franchissent les frontières françaises et ne pouvaient être stockées que dans un cloud franco-français. Or à la même époque, les solutions tricolores d’informatique en nuage manquaient, l’État français ayant échoué à faire émerger les champions espérés par un plan cloud lancé en 2012. Tirant la leçon de ce fiasco, l'Agence nationale pour la sécurité des systèmes d’information (Anssi) posait les bases d'une certification pouvant s'appliquer à toutes les offres du marché.

Facilitation du télétravail

Deux ans plus tard, la doctrine de l’État s’assouplit. Dans une circulaire de 2018 des services du Premier ministre déclare : "Notre objectif est de développer massivement l'utilisation de l'informatique en nuage au sein de l'administration et à terme d'en faire la norme." Elle définit "trois cercles de confiance" (notre article du 3 décembre 2018) – interne, dédié, externe - ouvrant la possibilité aux administrations d'utiliser l'informatique en nuage pour des données non sensibles. Parallèlement, l’inscription d’offres cloud au catalogue de l’Ugap doit offrir à l’ensemble des structures publiques le recours à une solution cloud.

Une nouvelle circulaire du 5 juillet 2021 achève ce virage du cloud. "Le passage à l'informatique en nuage doit être une occasion pour l'État de renforcer la résilience de ses architectures numériques au service de la continuité du service public", écrit alors le nouveau Premier ministre, Jean Castex. Il faut dire que la crise sanitaire et la multiplication des attaques par rançongiciels contre des structures publiques sont passées par là. Le cloud est en effet une aide majeure à la massification du télétravail et offre des garanties supplémentaires dans la protection des données en faisant peser les obligations de sauvegarde sur le prestataire cloud.

Cinq offres labellisées

Mais visiblement le décollage ne s’est pas produit, notamment faute d’un véritable développement de l’offre cloud tricolore, rendue indispensable avec le Cloud Act américain (lire encadré). À date, le sésame SecNumCloud, la certification délivrée par l’Anssi ne concerne que cinq sociétés : OVH, Oodrivre, Cloud temple, Outscale et Wordline. En septembre 2022, le gouvernement a attribué cette faiblesse à la complexité de la procédure de certification, s’engageant à la simplifier. Mais ce serait plutôt le déficit de savoir-faire qui expliquerait la faiblesse de l’offre. Les Gafam, que l'on souhaite contrer depuis dix ans, font du reste un retour en force. En mai 2021, Capgemini et Orange ont créé "Bleu", basée sur la technologie de Microsoft, et en juin 2022, Thalès et GoogleCloud ont suivi avec une offre baptisée "S3NS". Plus récemment encore, Atos se serait rapproché d’Amazon, le leader mondial du cloud.

Développer les compétences cloud

Interpelé sur ce dossier par le sénateur Francois Bonneau le 4 octobre au Senat, le directeur de l’Anssi, Guillaume Poupard, a eu une réponse lapidaire : "On n'est pas capable de faire du cloud de haut niveau en France aujourd'hui avec des technologies exclusivement françaises et développées en France. Il faut travailler avec des fournisseurs de technologie, notamment américains, ce qui nuit à notre souveraineté. Néanmoins, nous sommes en mesure de conserver un certain contrôle." Aussi a-t-il défendu les "associations hybrides" actuelles pour concilier fiabilité technologique et réduction des risques juridiques. Les sociétés créées sont sous contrôle de capitaux français et les serveurs sont situées a minima en Europe. La dépendance au cloud américain serait aussi entretenue par les Gafam, comme le déplore un récent rapport du Sénat sur la souveraineté économique. En proposant formations et subventions aux entreprises sous forme de "crédits cloud", ils contribuent à "enfermer" leurs clients dans leurs solutions. Les sénateurs estiment donc que priorité doit être donnée au renforcement de l'offre nationale de formation aux métiers du cloud et à la création de passerelles entre les filières ingénieur et informatique.

  • Cloud Act : un nouvel accord en vue

Le Cloud Act (2018) permet à la justice et au renseignement américains d’accéder aux données des entreprises américaines pour des raisons de sécurité nationale, quelle que soit leur localisation géographique. Cette disposition a été un des éléments déclencheur de la stratégie cloud française. La Commission européenne s’est efforcée de son côté d'en minimiser la portée en négociant des dérogations avec le gouvernement américain. Les deux premières tentatives baptisées "Safe Harbor" puis "Privacy Shield" ont cependant été invalidées par la Cour de justice européenne, au motif que les conditions pour assurer une protection effective des données des européens n'étaient pas réunies. Un nouvel accord, annoncé en mars 2022, est sur le point d’aboutir. Il inclut de nouvelles garanties, notamment une limitation de l'accès des services de renseignement américains aux données de l’UE et l'institution d'une cour de contrôle de la protection des données. Côté américain, un décret présidentiel signé le 5 octobre transpose en droit américain les principes négociés avec l’Europe. La version européenne de ce nouvel accord est attendue pour les prochaines semaines.