Travailler avec un cloud de façon sécurisée : l’Etat se lance

La dématérialisation des services est-elle une source de formidables opportunités ou un miroir aux alouettes qui peut s’avérer catastrophique ?

L’Etat semble être convaincu par la première option : l’administration publique a ainsi annoncé vouloir mettre en place une promesse de campagne d’Emmanuel Macron en développant le recours au nuage informatique. Durant les 3 prochaines années, les ministères et l’ensemble des administrations vont progressivement passer au “cloud”.

L’objectif annoncé : réaliser des économies substantielles

6 milliards d’euros sont dépensés chaque année au niveau de l’Etat dans les achats informatiques. Or en période de crise économique, il s’agit avant tout de compenser le manque à gagner en optimisant considérablement les coûts.

Mounir Mahjoubi, le secrétaire d’Etat en charge du Numérique, a promis le 3 juillet dernier (source) un système opérationnel pour l’ensemble des ministères courant 2019 (probablement en juillet).

Au-delà des économies financières directes, l’Etat assure également que cette migration vers le cloud sera profitable à tous nos concitoyens car les administrations publiques seront plus efficaces, plus agiles et plus rapides.

Plusieurs niveaux de cloud en fonction des données traitées

Chaque administration aura la liberté de choisir entre 3 niveaux de cloud en fonction de l’utilisation mais aussi de la sensibilité des données gérées :

  • les informations et les applications sensibles seront stockées dans un “cloud interne” hébergé par l’administration et conforme à toutes les exigences régaliennes de sécurité. Un portail interministériel permettra toutefois à tous les ministères d’accéder à ces données ;
  • les données et applications moins sensibles seront stockées sur un cloud dédié (c’est-à-dire que les machines seront réservées à cet usage) mais gérées par un prestataire extérieur soumis au droit français ou européen. L’ANSSI devra se charger d’en superviser la sécurité et un appel d’offres va être lancé d’ici la fin de l’année ;
  • enfin, toutes les données et applications peu sensibles seront stockées sur des clouds publics comme ceux qui sont habituellement proposés par les opérateurs du secteur.

Derrière les effets d’annonce, une réalité plus complexe et plus inquiétante

La volonté de réaliser des économies est tout à fait louable mais attention aux lendemains qui déchantent…

Le choix des prestataires ayant la charge de stocker les données des Français(es) est par exemple primordial. En effet, cela revient à leur offrir un accès à des informations stratégiques. On imagine aisément les risques d’espionnage et toutes les dérives qui peuvent résulter de cette décision.

Il ne faudrait pas non plus minimiser le risque de piratage, car il n’existe pas de solution 100% sécurisée. A titre d’exemples, la Maison Blanche (source), le Pentagone (source), le Ministère de la Défense (source) ou encore l’Elysée (source) ont déjà été piratés !

Laurent Brault, le dirigeant de MDK Solutions, souligne :

Sur le papier, les montages “cloud” prévoyant différents niveaux de sécurité semblent une bonne idée. Mais dans la vraie vie, nous avons très régulièrement des exemples de sociétés qui se font voler leurs données : les informations sur leurs clients et contacts tombent alors dans de mauvaises mains. Or dans le cas du Gouvernement, la masse de données stockées est tout simplement énorme et certaines sont particulièrement sensibles !

Le recours au cloud peut donc être une alternative intéressante mais elle doit être mûrement réfléchie et envisagée sur le long terme. Il faut avoir conscience de tous les enjeux au niveau de la sécurité, ce qui passe aussi en amont par des actions de sensibilisation du personnel ayant directement ou indirectement accès à ses données. Un dispositif fiable peut en effet être mis plus ou moins facilement en péril par le facteur humain.

L’avis de Laurent Brault, le dirigeant de MDK Solutions

Le Cloud représente une réelle opportunité mais il ne doit pas devenir un objectif marketing ni un énième effet de mode relevant davantage du faire-valoir que du choix stratégique pérenne.

Le risque est très grand de faire une usine à gaz avec des montages de clouds spécifiques. Dans les entreprises, il est par exemple courant de ré-organiser les services pour casser les habitudes. On se donne un objectif “orienté client” pour tout changer… et trois ans plus tard, re-belote : tout doit être remis à plat avec le passage à une organisation “Customer oriented” !

Il y a pléthore de cas, juste sous nos yeux, de systèmes soi-disant géniaux mais aboutissant à une catastrophe. Le fameux système de paye de l’armée, présenté comme une réelle avancée, est ainsi en permanence refait, amélioré, remanié…

Il serait vraiment problématique que ces situations se reproduisent avec les données sensibles de tous les Français(es). Le changement pour le changement n’est jamais une bonne chose !

En tant que citoyens, nous devons tous agir, chacun à notre échelle, pour exprimer notre inquiétude et surtout exiger une réelle transparence sur ce projet.

Partager cette page