Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Société numérique

Souveraineté numérique, cloud : les collectivités face à un choix cornélien

Publié le 01/06/2018 • Par Pierre-Alexandre Conte • dans : A la une, Actu ingénierie publique, France

souvrainete-numerique-donne-une
Stephen Finn - Adobe Stock
Si le concept de souveraineté numérique ne date pas d’hier, les contextes, légal et économique, actuels ne cessent de le ramener sur le devant de la scène. L’arrivée du Règlement européen pour la protection des données en Europe, la promulgation du Cloud Act en parallèle aux États-Unis, mais aussi la nécessité de dématérialiser les services publics posent de nouvelles questions pour les collectivités.

La souveraineté numérique est devenue une priorité à l’agenda politique. Il suffit de se pencher sur les récentes prises de parole gouvernementale pour le mesurer. Nombreux sont ceux qui y ont fait référence ces dernières semaines. A commencer par Cédric Villani, député de l’Essonne, qui a évoqué le sujet après avoir rendu son rapport sur l’intelligence artificielle.

Il y a quelques semaines, le gouvernement, par la voix de Mounir Mahjoubi, son secrétaire d’Etat en charge du numérique, a également annoncé qu’il lancera dans le courant de l’été sa propre messagerie instantanée sécurisée, avec des échanges chiffrés de bout en bout. Le but ? Permettre à ses administrations de partager des informations confidentielles via d’autres applications que celles utilisées jusqu’ici, à savoir WhatsApp, (qui appartient à Facebook) et Telegram (sous une menace de prise de contrôle Russe).

A la recherche d’économies

Pour les collectivités, la question se pose avec insistance depuis plusieurs années. Notamment parce qu’elles disposent de nombreuses informations sensibles relatives aux citoyens et aux services qu’elles fournissent. Le stockage de ces dernières réclame une vigilance aiguë car la menace d’une perte d’indépendance vis-à-vis des puissances étrangères plane. Or, nombre d’entre elles, plus que jamais à la recherche d’économies, optent pour un service de cloud computing (aussi appelé informatique en nuage), qui paraît la moins onéreuse.

Amazon Web Services (AWS), la division spécialisée dans le cloud du groupe américain, travaille avec des collectivités venues des quatre coins de la planète. « L’avantage pour une collectivité, c’est qu’elle n’a pas besoin d’investir dans son propre data center, explique Christian Zahorski-Philippe, directeur des ventes de la branche secteur public en Europe. Elle peut utiliser le cloud et bénéficier des mêmes outils qu’un gouvernement, par exemple. Avec la possibilité, quasi instantanément, d’augmenter ou de baisser sa demande en termes de stockage en fonction des besoins. » Voilà pour l’argumentaire commercial efficace et bien rodé.

La sécurité est également essentielle, et représente là aussi un coût important pour les collectivités qui possèdent leurs propres lieux de stockage. Ce qui est loin d’être toujours évident. « Une petite collectivité va devoir assurer elle-même la sécurité du data center. Alors qu’en utilisant nos services, elle bénéficie de notre niveau de sécurité, qui est très élevé et se conforme aux règlements en vigueur dans les différents pays, assure le directeur des ventes. Quand Amazon fait un investissement, cela bénéficie aussi à tous les clients. A une petite mairie comme à une grande. »

Le chiffrement, solution à tous les maux ?

Reste qu’Amazon, comme d’autres leaders du marché (Microsoft, Google IBM), est une société américaine. Et que se pose de ce fait de manière accrue cette fameuse question de la souveraineté numérique. Car les États-Unis ont adopté en mars dernier, sous l’impulsion de Donald Trump, le Cloud Act, une nouvelle loi qui permet un accès facilité aux données détenues à l’étranger par des sociétés américaines. Et que l’arrivée du Règlement européen pour la protection des données (RGPD) interdit les transferts ou divulgations de données non autorisés par le droit de l’Union (Article 48).

Si Amazon dispose depuis le début de l’année de data centers en France, les interrogations demeurent. « Nous croyons que les clients devraient chiffrer leurs données, peu importe où elles se trouvent », avance Max Peterson, vice-président des ventes de la branche secteur public d’Amazon. Avant de préciser sa pensée : « Le problème, c’est que le chiffrement peut être difficile à gérer. C’est là qu’Amazon intervient car il est possible de chiffrer les données très facilement via ses outils. Mais il est aussi possible d’utiliser ses propres clés, en dehors du cloud. »

Chiffrer avec ses propres clés les données, voilà une solution qui apparaît fiable puisque les collectivités seraient alors les seules en mesure de déchiffrer les informations. Mais elle reste insuffisante d’après l’avocat Olivier Iteanu : « Ce n’est pas une mesure absolue. A partir du moment où on met les données entre les mains d’un tiers, on prend un risque. Plus largement, si on chiffre les données, ça veut dire qu’on peut les déchiffrer. Si on prend le cas de la NSA, on sait qu’ils ont les moyens de déchiffrer n’importe quel message. Il ne faut pas sous-estimer les services de renseignement étrangers. »

Intérêts divergents

Le discours d’Olivier Iteanu est clair. Si on veut être certain que ses données ne partent pas vers l’étranger, et donc conserver une indépendance vis-à-vis des autorités étrangères, il n’y a qu’une seule solution : « A partir du moment où on recourt à des entreprises dont le pouvoir de décision finale se trouve à des milliers de kilomètres, on prend un risque fort que ce pouvoir aille à l’encontre de vos intérêts. On a besoin d’un pouvoir de décision local, qui prend des engagements et les tient en fonction de lois locales qui protègent les personnes concernées par l’externalisation des données. Il ne faut donc opter, ni pour un cloud chinois, ni pour un cloud américain. »

« Nous sommes très clairs dans nos contrats, se défend Max Peterson. Amazon ne touche pas les données des clients. Nous opérons dans de nombreux pays et nous nous soumettons aux différentes lois locales. Quand nous avons une demande d’accès aux données sur une base légale, nous passons par les tribunaux. Et si la requête n’est pas appropriée, nous la combattons. »

L’avis d’Olivier Iteanu rejoint toutefois celui formulé par Henri Verdier dans nos colonnes en mai. Interrogé sur l’enjeu de souveraineté qui entoure le stockage des données, le Directeur interministériel du numérique et du système d’information de l’Etat avait répondu : « Pour qu’un système d’information fonctionne, il n’a pas besoin de vérifier si le cloud est en France ou ailleurs. Mais si on veut garantir un droit européen, il faut être sur un territoire européen. Et si l’on veut assurer une vigilance complète sur notre installation, c’est également préférable. Il y a un enjeu de souveraineté très grand, qui est notre capacité à légiférer, à nous protéger selon nos critères, à protéger les libertés publiques à la hauteur de nos exigences. »

Quelles données stocker ?

Certaines collectivités utilisent pourtant déjà des services américains. La ville de Paris et OpenDataSoft font appel à AWS pour diffuser des données ouvertes. La communauté urbaine de Dunkerque nous avait confié il y a un an qu’elle avait opté pour une solution Microsoft concernant sa messagerie. Deux exemples cependant très différents, car les données confiées n’ont pas la même sensibilité. Pour les collectivités, la question la plus importante se situe d’ailleurs certainement à ce niveau-là. Quelles données doivent-elles stocker sur le cloud ?

Certaines optent pour la solution la plus sûre. « Nous n’avons aucune donnée sur le cloud, annonce Nicolas Vivant, DSI de la ville de Fontaine (22500 hab., Isère). Nous hébergeons nos données, disposons de notre propre service de transfert de fichiers lourds, d’une sorte de « Dropbox » interne, de notre propre Doodle, notre hébergement vidéo, etc. Le site officiel est hébergé chez nous, et les quelques blogs d’équipements culturels sont en cours de rapatriement. Seule exception : nous hébergeons quelques sites sous WordPress pour des associations de Fontaine. » Les raisons invoquées ? « Souveraineté, sécurité, rapidité d’accès, de mise à jour, de sauvegarde. »

En tout état de cause, une collectivité déjà engagée avec un prestataire peut exiger de celui-ci la mise en conformité avec le RGPD. Avec la possibilité de « résilier le contrat » si la société ne peut pas accéder à cette demande, d’après Olivier Iteanu.

Quelles alternatives ?

Résilier, oui, mais pour aller où ? Le premier réflexe consiste à se tourner vers les solutions poussées par l’Agence Nationale pour la Sécurité des Systèmes d’information (ANSSI). Celle-ci nous précise qu’elle « recommande d’une manière générale de favoriser les solutions certifiées et qualifiées par l’agence, qui ont obtenu le Visa de sécurité ANSSI. L’ANSSI propose ainsi une qualification à destination des prestataires de services d’informatique en nuage, dit cloud, sur la base du référentiel SecNumCloud. »

Problème, « aucun prestataire n’est qualifié » à ce jour, si l’on se fie au site de l’agence. Quand bien même, Max Peterson nous a expliqué travailler avec l’ANSSI depuis deux ans : « Ils prennent les candidatures, mais n’ont pas certifié de société », explique ce dernier.

Le choix est donc peu évident pour les collectivités, même si plusieurs sociétés françaises opérent dans le domaine (OVH, Gandi, Ikoula, Orange, Vendôme Solutions, etc.). Aucune n’a, à ce jour, été adoubée par l’ANSSI.

Amazon, de son côté, fait elle valoir la certification obtenue en Allemagne. Et explique ne pas voir où le bât pourrait blesser dans l’Hexagone. L’ANSSI précise d’ailleurs de son côté : « Sur le strict plan de la sécurité numérique, la nationalité d’un fournisseur de cloud n’est qu’un critère d’analyse parmi d’autres. Si le fait que le fournisseur soit français ou européen peut simplifier l’étude du droit applicable aux données, il n’est pas en soi une garantie de robustesse technique de la solution. » C’est du bon sens, mais n’aide pas à s’y retrouver.

Une question économique

Mais le choix d’un prestataire recèle d’autres implications pour le pays. « Le fait que l’économie numérique française soit obligée de demander la permission d’innover à Apple ou Android, qui décident des applications qui sont dans les app stores, et à Google Maps, qui fait le fond de carte de 80 % des services, et à Paypal et à Facebook Connect… est un danger pour notre économie, explique Henri Verdier. Les données sont un terreau, un terrain, dans lequel on « plante » des services. Et la question est alors : qui est propriétaire du terrain ? Il vaut mieux, je crois, asseoir les services publics et l’économie française sur un terrain qui est gouverné par la France plutôt que sur un terrain gouverné par des CGU de droit californien. »

Cet article est en relation avec les dossiers

Réagir à cet article

Nos offres d'emploi

Plus de 1000 offres d'emploi !

TOUTES LES OFFRES D'EMPLOI

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Fournisseurs public expo Public Expo

Commentaires

Souveraineté numérique, cloud : les collectivités face à un choix cornélien

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
 
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X