Cloud au Centre

La souveraineté numérique est devenue un enjeu majeur pour les États.

Depuis la circulaire de 2018 "Doctrine d'utilisation de l'informatique en nuage par l’État", l’État français a commencé à définir une doctrine relative à l'utilisation de services Cloud par les entités publiques.
En juillet 2021, l’État - représenté par la DINUM (Direction Interministérielle du Numérique) et l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) - a souhaité poursuivre cet objectif en publiant la "Circulaire n° 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État"; dont la finalité est d'encadrer les conditions d'utilisation de services cloud pour l'hébergement des données personnelles des citoyens français, traitées par les administrations publiques.

Cette doctrine est appelée "Cloud au centre".

Quelles sont les principales obligations apportées par cette nouvelle circulaire ?

La circulaire définit plusieurs obligations, que les administrations sont tenues, de mettre en place ou de faire appliquer par leurs prestataires.

Retenons celles qui intéressent particulièrement Claranet en sa qualité de prestataire :

Règle de la circulaire [R]

Obligations

La réponse de Claranet

[ R4 ] - Contrat

Les contrats de prestations doivent :

  • comporter des conditions de fin de contrat et de réversibilité "soutenables financièrement" par le commanditaire
  • être "dans la mesure du possible" en adéquation avec les règles d'interopérabilité et de portabilité de GAIA-X ( projet européen)

Nos contrats encadrent les fins de contrats et notamment les modalités de mise en oeuvre de la réversibilité des prestations

[ R5 ] - Résilience

Le projet du commanditaire doit reposer sur un service déployé dans plusieurs zones géographiques.

Claranet est en capacité de proposer une architecture multi zones géographiques

[ R9 ] - SecNumCloud

Le service doit :

  • respecter la qualification SecNumCloud ( ou équivalent au niveau européen) et
  • être délivré par un prestataire immunisé contre toute réglementation extracommunautaire

dès lors qu'il manipule :

  • des données personnelles des citoyens français
  • des données économiques relatives aux entreprises françaises
  • des données d'applications métiers relatives aux agents publics d’État

Remarque : La circulaire autorise le commanditaire à déroger à ces 2 règles, sous réserve que cela soit justifié par le fait que l'offre ne répondant pas à ces critères est la plus adaptée à ses besoins

  • Claranet est en mesure de proposer une offre d'infogérance basée sur une plateforme IaaS qualifiée SecNumCloud d'OVHCloud.
  • Claranet est en mesure de présenter les éléments suffisants à l'administration concernée pour justifier de l'application de cette dérogation

Règle de la circulaire [R]

Obligations

La réponse de Claranet

[ R4 ] - Contrat

Les contrats de prestations doivent :

  • comporter des conditions de fin de contrat et de réversibilité "soutenables financièrement" par le commanditaire
  • être "dans la mesure du possible" en adéquation avec les règles d'interopérabilité et de portabilité de GAIA-X ( projet européen)

Nos contrats encadrent les fins de contrats et notamment les modalités de mise en oeuvre de la réversibilité des prestations

[ R5 ] - Résilience

Le projet du commanditaire doit reposer sur un service déployé dans plusieurs zones géographiques.

Claranet est en capacité de proposer une architecture multi zones géographiques

[ R9 ] - SecNumCloud

Le service doit :

  • respecter la qualification SecNumCloud ( ou équivalent au niveau européen) et
  • être délivré par un prestataire immunisé contre toute réglementation extracommunautaire

dès lors qu'il manipule :

  • des données personnelles des citoyens français
  • des données économiques relatives aux entreprises françaises
  • des données d'applications métiers relatives aux agents publics d’État

Remarque : La circulaire autorise le commanditaire à déroger à ces 2 règles, sous réserve que cela soit justifié par le fait que l'offre ne répondant pas à ces critères est la plus adaptée à ses besoins

  • Claranet est en mesure de proposer une offre d'infogérance basée sur une plateforme IaaS qualifiée SecNumCloud d'OVHCloud.
  • Claranet est en mesure de présenter les éléments suffisants à l'administration concernée pour justifier de l'application de cette dérogation

Cette circulaire s'applique-t-elle déjà ? 

Oui, la circulaire est applicable, mais son contenu sera précisé au fil de l'eau, notamment parce que cette doctrine "Cloud au centre" doit tenir compte : 

  • des exigences qui existent au niveau national, tels que les certifications/qualifications de l'ANSSI (exemple: SecNumCloud)
  • d'autres initiatives, au niveau européen. On peut citer le projet GAIA-X et EUCS de l'ENISA
  • du droit européen et international (libre circulation des services, droit de la concurrence, etc.)

Elle présente donc des grands buts, assortis de plusieurs exceptions.  

Comment Claranet se positionne par rapport à cette circulaire ?

Claranet est impacté par cette circulaire, en sa qualité de prestataire qui adresse aussi le secteur public.
Au delà des réponses fournies ci-dessus, il est important de rappeler que Claranet éprouve son SMSI et les démarches sécurité / conformité qui y sont associées, notamment par l'obtention de différentes certifications : ISO27001, PCI DSS pour les données bancaires, ou encore HDS pour les données de santé.

Définitions

  • ENISA : European Union Agency For Cybersecurity
  • EUCS: European Union Cybersecurity Certification Scheme on Cloud Services
  • IaaS: Infrastructure as a Service
  • PaaS: Plateforme as a Service