Pour gérer vos consentements :
Categories: CloudSaaS

Doctrine cloud : les concessions de l’État face à Office 365

Office 365, parti pour durer sur le SI de l’État ? L’inquiétude que la DINUM nourrit à ce sujet transparaît dans une note adressée la semaine dernière à l’ANSSI et aux DSI des ministères. Objet : rappeler que la suite bureautique de Microsoft n’est pas conforme à la doctrine « cloud au centre ».

Cette dernière est formalisée dans une circulaire du 5 juillet 2021. Elle marque un nouveau temps dans la stratégie de l’État, après une « phase d’amorçage ». Jusqu’alors encouragés à s’emparer du cloud, les acteurs publics doivent désormais en faire le choix pour « tout nouveau projet numérique, quelle que soit sa taille ». Ainsi que pour tout produit numérique existant qui « donne lieu à une évolution majeure » (représentant au moins 50 % du coût initial de fabrication ou impliquant un changement de prestataire).

La circulaire laisse la porte ouverte à une dérogation pour tout projet (sous réserve, pour ceux à plus d’un million d’euros, d’une justification auprès de la DINUM). Elle définit une autre zone de tolérance, vis-à-vis du cloud « commercial ». C’est-à-dire des offres « sur étagère » mises à disposition via la centrale d’achat public UGAP.

La règle générale impose, en cas de recours à ces solutions (et non au cloud « interne »* de l’État), des exigences pour les projets impliquant la manipulation de données « d’une sensibilité particulière ». D’un côté, la qualification SecNumCloud ou un équivalent européen. De l’autre, l’immunité contre toute réglementation extracommunautaire. Office 365 entre dans cette catégorie, explique la DINUM, lorsque son usage implique le traitement de données relatives aux agents publics de l’État.

Une exception pour le drive et la messagerie

La tolérance en question concerne les projets qui étaient éventuellement « très avancés » au 5 juillet 2021. Elle consiste à leur laisser un délai pour se séparer des solutions non conformes. En l’occurrence, jusqu’à 12 mois après le lancement, en France, d’une offre alternative « acceptable ». En d’autres termes, dont les éventuels inconvénients « sont supportables ou compensables ».

La DINUM précise que cette exception « se limiterait aux seuls services de messagerie et de drive personnel ».

Le contrôle de la doctrine « cloud au centre » est intégré à la procédure de contrôle de conception des grands projets informatiques de l’État (définie dans un décret d’octobre 2019. Les projets en dessous du seuil de 9 M€ y échappent ; le contrôle relève tout du moins des ministères et non de la DINUM.

Doit-on comprendre qu’il n’existe pas, au moins dans certains cas, d’alternative acceptable à Office 365 ? Le Cigref fait partie des instances référentes à l’avoir admis pour ce qui est des usages dans les grandes entreprises (en mettant Google Workspace dans le même panier).

* Le cloud interne réunit actuellement deux offres sur base OpenStack. L’une portée par le ministère de l’Intérieur (cloud PI, niveau de sécurité « Diffusion restreinte »). L’autre par le ministère des Finances (cloud NUBO, qualifié SecNumCloud).

Photo d’illustration © TRAVELARIUM – Adobe Stock

Recent Posts

Cambridge Analytica, le retour : Zuckerberg poursuivi aux États-Unis

Un procureur américain considère Mark Zuckerberg personnellement responsable des conséquences de l’affaire Cambridge Analytica sur…

17 heures ago

ITSM : EasyVista change avec Patrice Barbedette CEO

Patrice Barbedette (ex-Oracle) pilote la nouvelle phase de croissance d'EasyVista en Europe et à l'international,…

18 heures ago

Gestion de données : Databricks muscle sa direction juridique

Databricks a recruté sa responsable juridique et vice-présidente chez DocuSign pour soutenir l'exigence de conformité…

20 heures ago

Microsoft Build 2022 : beaucoup d’IA…et du Metavers au menu

A l’occasion de Build, sa conférence annuelle dédiée aux développeurs, Microsoft a fait la part…

21 heures ago

Taxe GAFA : pas avant 2023…au mieux

Très attendue, la réforme de taxation internationale des géants du numérique - dite taxe GAFA…

23 heures ago

DevOps : GitLab 15 parie gros sur l’observabilité

Avec la v15 de sa plateforme, GitLab ambitionne d'améliorer sa proposition de valeur dans la…

2 jours ago