A la suite du Salon des Maires, intéressons-nous de plus près aux initiatives de transformation numérique prises par les acteurs du secteur public sur notre territoire. Au cœur de cette révolution, le Cloud apparaît en première ligne pour développer et offrir de nouveaux services à valeur ajoutée aux citoyens. Mais cette transition numérique reste difficile à réaliser pour de nombreux élus et administrations. Le choix de leur futur fournisseur Cloud doit donc être mûrement réfléchi, et il devra également reposer sur des critères de confiance et de transparence. Par Servane Augier.

 

Connaissance et transparence pour faire naître la confiance

Trouver son Cloud de confiance peut sembler difficile. Pourtant l’acteur public peut facilement exiger de ses fournisseurs des réponses claires, lesquelles lui permettront d’évaluer le niveau de confiance qu’il peut accorder. Il est tout à fait possible aujourd’hui de savoir précisément où sont stockées les données confiées ; il suffit de se renseigner auprès du fournisseur s’il ne le fait pas de son propre chef. Mais au-delà de savoir où les données sont stockées, l’acteur public doit s’assurer que cette connaissance et cette maîtrise ne sont pas bafouées par des éléments porteurs de risques exogènes, tels que les réglementations extra européennes qui peuvent nuire à la sécurité des données.

Prenons l’exemple du CLOUD Act. Cette législation autorise la justice des Etats-Unis à accéder aux données hébergées par des fournisseurs de Cloud américains, et ce, même si lesdites données sont localisées hors du territoire américain ; comme en France par exemple. Ainsi, une collectivité française, qui aurait fait le choix d’un prestataire américain, tout en s’étant préalablement assuré de l’hébergement de ses données en France, pourrait voir cette confiance brisée sans même le savoir à l’occasion d’une réquisition judiciaire.

Certes, on peut opposer à cet argument que toutes les données d’une agglomération, par exemple, ne sont pas forcément critiques et que choisir un Cloud américain ou chinois ne prête pas toujours à conséquence. Mais considérons un instant que plusieurs communes agissent ainsi, ou bien que ces données soient croisées avec d’autres sources de données dans le même cas, alors c’est la masse même de ces données qui constitueraient un patrimoine économique et social exploitable et particulièrement sensible.

 

Oublions les idées reçues sur le Cloud français

Un Cloud stratégique français établit des contrats de droits français, héberge les données sur des serveurs situés sur le territoire national, et réalise son exploitation technique en France. Cela apporte déjà de nombreuses garanties à un acteur public. D’autant que, contrairement à certaines idées reçues, un Cloud français n’est en aucun cas moins performant. Nous disposons dans notre pays des pépites de la Tech et d’excellents talents reconnus dans ce domaine.

Et parce que la performance économique doit également être au rendez-vous, il est utile de rappeler que les prix pratiqués par les fournisseurs français sont tout aussi compétitifs et attractifs que ceux des fournisseurs étrangers. En résumé, il est temps d’arrêter de penser qu’en arbitrant en faveur d’un acteur français, l’utilisateur achète une voiture à petite cylindrée toussotante pour le prix d’une grosse berline nerveuse!

D’autant que ce choix présente un autre avantage : en optant pour un fournisseur français dont l’unique activité est de fournir exclusivement du Cloud et dont c’est l’expertise, les collectivités et les administrations participent directement à l’indépendance numérique de la France. Il est en effet fondamental que nous puissions maintenir notre capacité à faire et à bien faire en France, au risque de devoir un jour dépendre d’autres puissances étrangères. C’est d’ailleurs en profitant très largement de la dépense publique dans leurs pays respectifs que les grands fournisseurs américains et chinois ont pu se développer aussi vite.

 

Les paroles s’envolent, les certifications restent

Autre question quant au choix de son Cloud de confiance : comment s’assurer de sa gestion de la sécurité de l’information ? Tout simplement en demandant des preuves ! Les acteurs publics ont à leur disposition un véritable arsenal de référentiels, de certifications et de labels, qui garantissent la sécurité ou la solidité des dispositifs Cloud : ISO 27001:2013, ISO 27017 ou encore ISO 27018. Un fournisseur transparent met à disposition du public ces certificats émis par un tiers de confiance. Chacun peut y lire le périmètre couvert par ces certifications. Bien entendu, il faut privilégier non seulement les services Cloud proposés mais également se renseigner pour savoir si l’organisation elle-même est certifiée. En effet, plus la certification couvre un large périmètre du fournisseur, meilleur sera son niveau d’engagement.

Plus récemment, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a développé le référentiel SecNumCloud, qui se trouve actuellement être le plus exigeant en matière de sécurité et de gestion des données sensibles dans le Cloud. Ce référentiel est également défini par l’État comme une recommandation nécessaire pour les données sensibles de l’administration. Enfin, les établissements de santé publics ou parapublics exigent la certification HDS (Hébergement des Données de Santé), incontournable pour le traitement des données de santé par nature hautement critiques et confidentiels.

Finalement, pour faire leur transformation numérique, les acteurs publics devront réfléchir en termes d’ambition et d’usage en considérant la nature des données hébergées. À aucun moment, ils ne doivent se sentir freinés ou limités dans leur utilisation du Cloud. Même si certains fournisseurs étrangers sembleront être meilleurs à grand renfort de publicité et de relations publiques, la balance devrait pencher vers les fournisseurs français : question de patriotisme économique, de sécurité nationale, de confiance partagée avec les citoyens mais aussi d’indépendance numérique à long terme !

<<< A lire également : Industrie 4.0 : L’Europe En Retard >>>

 

Par Servane Augier – Directrice du développement chez 3DS OUTSCALE