Cloud public : l’Etat français passe son premier appel d’offres

CloudProjetsSecteur Public

L’Etat met un pied dans le Cloud public. Objectif : couvrir des besoins ponctuels par exemple liés aux tests ou aux développements. Le prestataire retenu devra être interopérable avec OpenStack et conserver les données en France.

C’est fait. Le 10 avril, l’Etat français a officiellement mis un pied dans le Cloud public, en publiant une consultation sur un ‘Accord-cadre interministériel pour la fourniture de ressources informatiques à la demande (en mode “informatique en nuage”) et de prestations informatiques’. Passé par le Service des achats de l’Etat (SAE), ce marché sera attribué en juillet pour une disponibilité prévue du service Cloud en septembre 2015, selon le calendrier de l’administration. Le marché doit être conclu pour deux ans (reconductible tacitement une fois pour deux nouvelles années). Les prestataires ont jusqu’au 20 mai pour déposer leur dossier de candidature.

Derrière le SAE, un service d’achats mutualisés de l’Etat rattaché à Bercy, ce sont en réalité tous les principaux ministères (Affaires étrangères, Education nationale, Justice, Bercy, Affaires sociales, Intérieur, Travail et emploi, Défense, Culture, Agriculture, Affaires sociales et santé), ainsi qu’une dizaine d’établissements publics (l’EFS, l’Ina, Radio France, l’Université Pierre et Marie Curie…), qui pourront bénéficier des services mis à disposition par le prestataire retenu. Ce qui fera l’objet de futurs marchés découlant de cet accord cadre.

Tests, développements et Big Data

Ce premier appel d’offres apparaît comme le fruit de la stratégie Cloud interministérielle entamée il y a plus de deux ans et pilotée par la Disic (Direction interministérielle des systèmes d’information de communication), soit la DSI de l’Etat. Une stratégie détaillée en mars dernier dans nos colonnes par Paul Braida, chef du service opérations de la Disic. En résumé, celle-ci se déploie selon deux axes. Le premier consiste à partager de la puissance entre administrations au sein d’un Cloud privé. Les surcapacités d’un ministère permettant ainsi d’absorber les besoins d’un autre. Plusieurs expérimentations sont menées dans ce cadre, à la Dila (Direction de l’information légale et administrative), à l’Éducation Nationale ou par le duo Agriculture / Développement durable dont le projet G-cloud vise à provisionner des ressources entre deux centres serveurs distincts (l’un situé à Toulouse, l’autre à Paris).

L’autre axe de la stratégie Cloud du gouvernement vise les besoins plus ponctuels, liés par exemple à des tests ou à des développements. C’est ici qu’intervient l’appel d’offres passé par le SAE il y a quelques jours, visant à identifier un fournisseur de Cloud public. Les documents associés à ce marché précisent d’ailleurs qu’il s’agit de satisfaire des « besoins en ressources informatiques non couverts aujourd’hui ». Et d’énumérer : les développements agiles, la maîtrise de la montée en charge pour éviter un surdimensionnement des infrastructures internes, l’hébergement d’applications spécifiques « de type data science » ou encore l’externalisation transitoire « le temps du réaménagement d’une partie d’un centre informatique ».

Le point commun de ces deux chantiers lancés en parallèle ? Un socle technologique unique, OpenStack. Si le SAE n’exige pas formellement l’emploi d’OpenStack par le futur prestataire de Cloud public, il demande, dans l’appel d’offres, « l’interopérabilité avec une plate-forme OpenStack ou équivalent ». Un prérequis qui semble logique afin d’envisager des scénarios de type Cloud hybride (débordements, passage en production sur le Cloud privé d’application développées et testées sur le Cloud public…).

5 VM et 2 serveurs bare metal

SAE prixPlus prosaïquement, l’accord-cadre du SAE couvre deux types de prestations. D’un côté des services classiques associés à des bons de commande (raccordements à la plate-forme, assistance technique, réversibilité, intégration applicative, un dernier domaine que se réserve la Disic). Mais l’essentiel du marché porte évidemment sur des services à la demande : VM, puissance de calcul, stockage, sauvegarde ou services réseaux. Notons que l’Etat se montre assez directif. Imposant une redevance à l’heure pour les 5 VM, les 2 serveurs bare metal attendus et certains services réseaux (VPN, Load Balancer, IP publique). Ou encore une facture au Go/mois pour les services de stockage (bloc, objets, instantanés et sauvegardes). Les débits de bande passante attendus pour les machines raccordées à Internet sont eux aussi imposés et devront, là encore, être facturés à l’usage.

L’appel d’offres précise par ailleurs les niveaux de services attendus. L’Etat requiert deux types de SLA (99,5 % et 99,9 % de disponibilité minimale), associés à des pénalités (par exemple 30 jours de redevance des ressources impactées en cas d’indisponibilité supérieure à 1,5 fois le SLA). Par ailleurs, le raccordement au RIE (Réseau Interministériel de l’Etat) fait aussi figure de prérequis, celui-ci devant être assuré par le prestataire déjà titulaire de ce marché, Celeste. Pour remporter l’accord-cadre, le spécialiste du Cloud retenu devra nécessairement accueillir « en ses locaux, pour les besoins du marché, un accès réseau dédié à la prestation » et assurer « un cloisonnement entre les différents accès réseau, notamment entre Internet et le RIE ». « Une ressource (machine virtuelle ou stockage) ne doit pas être raccordée simultanément au RIE et à Internet », insistent les documents décrivant le marché.

Une exigence de sécurité finalement assez attendue. Tout comme l’hébergement des données exclusivement dans l’Hexagone. L’Etat impose encore que le prestataire s’engage à respecter les exigences du référentiel de sécurité ‘Secure Cloud’, dont la version 2 .0 a été publiée en mars par l’Anssi, ainsi que de se soumettre à la procédure de labellisation de cette même Agence nationale de sécurité des systèmes d’information, dès que celle-ci entrera en vigueur.

A lire aussi :

Cloud de l’Etat : une solution hybride public / privé (tribune)
La France veut une certification pour la sécurité du Cloud
Premier appel d’offres Cloud pour la Commission européenne

Crédit Photo : Semistach-shutterstock

Lire la biographie de l´auteur  Masquer la biographie de l´auteur