Alors que l’État multiplie les investissements dans l’infonuagique, les collectivités sont plus réticentes à stocker leurs données dans le cloud. La faute à l’insuffisance des services de "cloud souverain" ?
La réforme territoriale et les compressions budgétaires vont-elles faire basculer les collectivités dans le cloud ? Difficile de répondre avec certitude à cette question. Mais les injonctions à la dématérialisation documentaire des services publics devraient accélérer le mouvement. Et certains prestataires en infonuagique voient l’avenir en souriant : « Les perspectives du marché sont, selon nous, très bonnes, constate Philippe Laplane, directeur d’Orange Cloud for Business ; les collectivités dématérialisent de plus en plus sur la base de sollicitations et d’évolutions réglementaires nationales et communautaires. Les années 2016 et 2017 s’annoncent comme deux années de forte demande en matière d’archivage électronique ».
Un optimisme confirmé par un contrat remporté au mois de juillet dernier. L’Etat a en effet confié à Orange la mise en œuvre et l’exploitation de son cloud public pour une durée de deux ans renouvelable. L’opérateur fournira aux ministères et à certains établissements publics des services d’informatique à la demande. Ce contrat portera notamment sur la puissance de calcul et le stockage de données dans la perspective de l’open data que le gouvernement souhaite développer dans les mois à venir. Dès le début de l’année 2016, le projet de loi sur le numérique porté par Axelle Lemaire devrait comporter un volet intitulé « service public de la donnée ». L’État central aura donc besoin d’infrastructures pour héberger et traiter d’importants volumes de données.
Cloud communautaire régional
À l’échelle de l’État, le passage au cloud semble donc s’accélérer. Du côté des collectivités, en revanche, le mouvement apparaît moins avancé et les acteurs avancent en ordre dispersé. Plusieurs régions et départements font figure de précurseurs : la Bretagne, la Bourgogne, l’Aube, les Landes et les Yvelines ont déjà mis en place des plateformes communes de stockage et de sauvegarde en ligne de données. D’autres départements en sont encore à l’état de la réflexion. C’est le cas du Val d’Oise qui travaille à un « cloud communautaire régional », les contours de ce futur centre de données n’étant pas encore connus.
Mais on constate de la part des collectivités et des usagers un attachement fort à
leurs données. On ne compte plus les sondages favorables à l’e-administration et à la dématérialisation de certaines procédures administratives. Mais, dans le même temps, les Français font part de leurs préoccupations quant à la confidentialité des données qu’ils confient à l’administration ou aux collectivités. Pour certains, l’hébergement dans les nuages ressemble à l’exportation incontrôlée d’informations personnelles...
Face à ces craintes, certains prestataires mettent en avant leur certification Iso 27001, une norme internationale de systèmes de gestion de la sécurité de l’information. Cette certification s’adresse à toutes les organisations : administrations, entreprises... « Mais, malheureusement, la culture française ne fait pas grand cas de ces certifications qui ne sont pas souvent considérées comme de réels gages de qualité malgré les investissements réels de ces sociétés », estimait un observateur à l’occasion d’une journée d’étude consacrée au cloud dans les collectivités locales.
Un marché régi dans un cadre réglementé
Mais certains prestataires sont confiants. « L’utilisation des données cloud par les collectivités n’est qu’à ses débuts, estime Philippe Laplane (Orange Cloud for Business). Ce marché est régi dans un cadre réglementé plus strict que celui des entreprises privées et est aujourd’hui confronté à de multiples enjeux tels que la dématérialisation et toutes les perspectives d’amélioration du service rendu. De façon pragmatique, les collectivités doivent également trouver des stratégies pour répondre aux évolutions de leur cadre réglementaire ».
De fait, les collectivités attachent une importance particulière à un certain nombre de critères : localisation des centres de données, modes d’accès aux données, confidentialité... Après les révélations d’Edward Snowden, les collectivités - et des entreprises privées - veulent s’assurer que leurs données seront bien stockées sur le territoire national et à l’abri des tentatives de vol d’information.
Faire appel à des "clouds souverains"
Les questions de sécurité des données n’ont d’ailleurs pas échappé aux élus. Le sénateur Hervé Maurey (UDI-UC, Eure) constate que les collectivités « ne disposent pas des moyens d’expertise nécessaires pour analyser les multiples solutions disponibles sur le marché ». Dans une question qu’il a adressée au ministère de l’Intérieur, ce dernier reconnaît que « seules des structures d’une certaine ampleur, reposant sur la mutualisation des moyens, peuvent mettre en place des fonctionnalités de réplication-duplication indispensables pour la conservation de ressources numériques ». Le cabinet de Bernard Cazeneuve fait référence aux tiers-archiveurs tels que la Bibliothèque nationale de France (pour le périmètre national) ou l’Agence landaise pour l’informatique (ALPI) pour le périmètre départemental. Ces derniers ont en effet reçu l’agrément du Siaf (Service interministériel des archives de France) qui repose sur l’observance d’un certain nombre de conditions techniques et administratives : protection anti-intrusion, sécurité des systèmes d’information, présentation d’un bilan comptable et financier...
Le ministère de l’Intérieur estime également que le regroupement des infrastructures est une piste à exploiter : « La mutualisation de ressources à des fins de stockage de données peut aussi être réalisée à moindre coût via le cloud computing, procédé qui consiste en un recours massif à la virtualisation de données stockées sur internet à un emplacement non déterminé de la toile ». Mais après les scandales liés aux révélations d’Edward Snowden, la place Beauvau appelle les collectivités à faire preuve de prudence dans le choix d’un prestataire : « Il est conseillé aux collectivités de faire appel à des “clouds souverains” dont les serveurs sont installés sur le territoire national ». Et par cloud souverain, le ministère de l’Intérieur pense nommément à Numergy et Cloudwatt.
Certifications 27001, 9001 et CSA Star
Numergy est né en 2012 dans le cadre du projet gouvernemental Andromède de « cloud souverain ». Piloté par deux acteurs de l’informatique made in France (SFR et Bull), Numergy met à disposition des administrations et des entreprises des infrastructures de stockage localisées sur le territoire national et sujettes à la loi française. « L’entreprise est le seul opérateur triplement certifié en France : 27001, 9001 et CSA Star », se réjouit-on chez Numergy qui annonce un portefeuille de 600 clients. Et ses clients vont bien au-delà des collectivités puisque 40 % des entreprises du Cac 40 ont fait appel à ses services.
Quant à l’autre opérateur souverain, Cloudwatt, né également en septembre 2012, il est depuis le 20 mars 2015 sous le contrôle total d’Orange qui a racheté les parts de Thales et de la Caisse des Dépôts. Cloudwatt s’intéresse de près au marché des collectivités comme en témoigne sa participation à une conférence tenue au mois de juillet dernier. L’opérateur constatait que « les collectivités sont confrontées à un enjeu majeur de stockage, de partage de données et d’archivage, face à des contraintes budgétaires fortes et des technologies qui évoluent rapidement ». Son data center dispose de trois niveaux de sécurité d’accès aux infrastructures dont l’un se présente sous la forme d’un contrôle biométrique.
L’enjeu sécuritaire autour des données hébergées dans les nuages n’est pas qu’une lubie. Depuis le début de l’année 2015, l’Anssi (Agence nationale de la sécurité des systèmes d’information) a recensé plus d’une centaine d’attaques informatiques visant les sites des mairies, des conseils généraux, des offices de tourisme.