Pour gérer vos consentements :
Categories: CloudSaaS

Doctrine cloud : les concessions de l’État face à Office 365

Office 365, parti pour durer sur le SI de l’État ? L’inquiétude que la DINUM nourrit à ce sujet transparaît dans une note adressée la semaine dernière à l’ANSSI et aux DSI des ministères. Objet : rappeler que la suite bureautique de Microsoft n’est pas conforme à la doctrine « cloud au centre ».

Cette dernière est formalisée dans une circulaire du 5 juillet 2021. Elle marque un nouveau temps dans la stratégie de l’État, après une « phase d’amorçage ». Jusqu’alors encouragés à s’emparer du cloud, les acteurs publics doivent désormais en faire le choix pour « tout nouveau projet numérique, quelle que soit sa taille ». Ainsi que pour tout produit numérique existant qui « donne lieu à une évolution majeure » (représentant au moins 50 % du coût initial de fabrication ou impliquant un changement de prestataire).

La circulaire laisse la porte ouverte à une dérogation pour tout projet (sous réserve, pour ceux à plus d’un million d’euros, d’une justification auprès de la DINUM). Elle définit une autre zone de tolérance, vis-à-vis du cloud « commercial ». C’est-à-dire des offres « sur étagère » mises à disposition via la centrale d’achat public UGAP.

La règle générale impose, en cas de recours à ces solutions (et non au cloud « interne »* de l’État), des exigences pour les projets impliquant la manipulation de données « d’une sensibilité particulière ». D’un côté, la qualification SecNumCloud ou un équivalent européen. De l’autre, l’immunité contre toute réglementation extracommunautaire. Office 365 entre dans cette catégorie, explique la DINUM, lorsque son usage implique le traitement de données relatives aux agents publics de l’État.

Une exception pour le drive et la messagerie

La tolérance en question concerne les projets qui étaient éventuellement « très avancés » au 5 juillet 2021. Elle consiste à leur laisser un délai pour se séparer des solutions non conformes. En l’occurrence, jusqu’à 12 mois après le lancement, en France, d’une offre alternative « acceptable ». En d’autres termes, dont les éventuels inconvénients « sont supportables ou compensables ».

La DINUM précise que cette exception « se limiterait aux seuls services de messagerie et de drive personnel ».

Le contrôle de la doctrine « cloud au centre » est intégré à la procédure de contrôle de conception des grands projets informatiques de l’État (définie dans un décret d’octobre 2019. Les projets en dessous du seuil de 9 M€ y échappent ; le contrôle relève tout du moins des ministères et non de la DINUM.

Doit-on comprendre qu’il n’existe pas, au moins dans certains cas, d’alternative acceptable à Office 365 ? Le Cigref fait partie des instances référentes à l’avoir admis pour ce qui est des usages dans les grandes entreprises (en mettant Google Workspace dans le même panier).

* Le cloud interne réunit actuellement deux offres sur base OpenStack. L’une portée par le ministère de l’Intérieur (cloud PI, niveau de sécurité « Diffusion restreinte »). L’autre par le ministère des Finances (cloud NUBO, qualifié SecNumCloud).

Photo d’illustration © TRAVELARIUM – Adobe Stock

Recent Posts

Visual Studio Code : une version web made in Microsoft

Après github.dev en août, Microsoft ouvre vscode.dev. Comment se présente cette version web de l'éditeur…

34 minutes ago

Qualité des applications : comment l’automatisation change la donne

La multiplication des développements impacte les tests et l'assurance qualité des applications. La DSI bascule…

3 jours ago

Sécurité applicative : qui sont les principaux fournisseurs ?

Qui sont les têtes d'affiche de la sécurité applicative (AST) et comment se présente le…

3 jours ago

Manager IT 2021 : Quentin Le Brouster, CTO et co-fondateur de Back Market

A l'issue du vote des lecteurs de Silicon et de la communauté des professionnels de…

3 jours ago

Mots de passe : ce que la Cnil recommande en 2021

La Cnil se prépare à actualiser ses recommandations sur les mots de passe édictées en…

3 jours ago

Google découple les profils pros d’Android Enterprise

Les profils Android for Work vont s'étendre au-delà des appareils d'entreprise. Première étape début 2022.

3 jours ago