Doctrine cloud : les concessions de l’État face à Office 365

Office 365 DINUM

La DINUM rappelle la non-conformité d’Office 365 avec la politique « cloud au centre ». Mais se montre prête à faire des exceptions.

Office 365, parti pour durer sur le SI de l’État ? L’inquiétude que la DINUM nourrit à ce sujet transparaît dans une note adressée la semaine dernière à l’ANSSI et aux DSI des ministères. Objet : rappeler que la suite bureautique de Microsoft n’est pas conforme à la doctrine « cloud au centre ».

Cette dernière est formalisée dans une circulaire du 5 juillet 2021. Elle marque un nouveau temps dans la stratégie de l’État, après une « phase d’amorçage ». Jusqu’alors encouragés à s’emparer du cloud, les acteurs publics doivent désormais en faire le choix pour « tout nouveau projet numérique, quelle que soit sa taille ». Ainsi que pour tout produit numérique existant qui « donne lieu à une évolution majeure » (représentant au moins 50 % du coût initial de fabrication ou impliquant un changement de prestataire).

La circulaire laisse la porte ouverte à une dérogation pour tout projet (sous réserve, pour ceux à plus d’un million d’euros, d’une justification auprès de la DINUM). Elle définit une autre zone de tolérance, vis-à-vis du cloud « commercial ». C’est-à-dire des offres « sur étagère » mises à disposition via la centrale d’achat public UGAP.

La règle générale impose, en cas de recours à ces solutions (et non au cloud « interne »* de l’État), des exigences pour les projets impliquant la manipulation de données « d’une sensibilité particulière ». D’un côté, la qualification SecNumCloud ou un équivalent européen. De l’autre, l’immunité contre toute réglementation extracommunautaire. Office 365 entre dans cette catégorie, explique la DINUM, lorsque son usage implique le traitement de données relatives aux agents publics de l’État.

Une exception pour le drive et la messagerie

La tolérance en question concerne les projets qui étaient éventuellement « très avancés » au 5 juillet 2021. Elle consiste à leur laisser un délai pour se séparer des solutions non conformes. En l’occurrence, jusqu’à 12 mois après le lancement, en France, d’une offre alternative « acceptable ». En d’autres termes, dont les éventuels inconvénients « sont supportables ou compensables ».

La DINUM précise que cette exception « se limiterait aux seuls services de messagerie et de drive personnel ».

Le contrôle de la doctrine « cloud au centre » est intégré à la procédure de contrôle de conception des grands projets informatiques de l’État (définie dans un décret d’octobre 2019. Les projets en dessous du seuil de 9 M€ y échappent ; le contrôle relève tout du moins des ministères et non de la DINUM.

Doit-on comprendre qu’il n’existe pas, au moins dans certains cas, d’alternative acceptable à Office 365 ? Le Cigref fait partie des instances référentes à l’avoir admis pour ce qui est des usages dans les grandes entreprises (en mettant Google Workspace dans le même panier).

* Le cloud interne réunit actuellement deux offres sur base OpenStack. L’une portée par le ministère de l’Intérieur (cloud PI, niveau de sécurité « Diffusion restreinte »). L’autre par le ministère des Finances (cloud NUBO, qualifié SecNumCloud).

Photo d’illustration © TRAVELARIUM – Adobe Stock