Le ministre délégué au Numérique Jean-Noël Barrot a annoncé jeudi à l'Assemblée nationale la signature d'une circulaire visant à mettre à l'abri les données sensibles de l'Etat chez des opérateurs certifiés et non soumis aux lois étrangères, encore très peu nombreux.
La circulaire, signée mercredi par la Première ministre Elisabeth Borne, va permettre aux administrations « de se préparer à la migration de leurs données sensibles vers du cloud de confiance », a indiqué Jean-Noël Barrot, le 1er juin, lors de l'examen dans l'hémicycle de mesures de la loi de Programmation militaire (LPM).
Cette circulaire, dévoilée par le site Contexte, précise que les données sensibles comprennent notamment les données qui relèvent de secrets protégés par la loi, comme les secrets liés aux délibérations du gouvernement, à la défense nationale, à la conduite de la politique extérieure de la France, à la sûreté de l'Etat, aux procédures engagées devant les juridictions ou encore le secret de la vie privée, le secret médical, le secret des affaires.
Sont également inclues les données nécessaires à l'accomplissement des missions essentielles de l'État, comme la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes.
Les administrations étaient déjà incitées à faire héberger leurs données sensibles chez des opérateurs certifiés depuis la formalisation à l'été 2021 de la doctrine « Cloud au centre ».
Mais les « données sensibles » n'étaient pas définies, ce que la circulaire vient préciser, a expliqué le cabinet du ministre à l'AFP.
A lire : Le long chemin du bon cloud
La « migration » prendra toutefois du temps, car seules sept offres de services cloud proposées par cinq entreprises différentes, dont le fleuron français OVH Cloud, ont décroché le label SecNumCloud attribué par l'Anssi, l'agence de sécurité informatique de l'Etat.
La circulaire « permettra d'avoir un cadre beaucoup plus clair sur les informations à protéger », a réagi auprès de l'AFP Sébastien Lescop, PDG de Cloud Temple, l'un des heureux élus.
Elle devrait ainsi donner « un coup de pouce pour les acteurs qui ont consenti à des investissements » dans la sécurisation et la qualification qui prend environ 2 ans, a-t-il poursuivi.
Selon l'Anssi, six offres sont en cours de qualification, dont la plateforme collaborative Wimi Enterprise, Index Education (développeur du logiciel Pronote), la messagerie Whaller ou encore l'offre Cloud Avenue d'Orange.
Consortium Bleu et S3NS
La norme de sécurité SecNumCloud, outre des critères techniques de sécurité, exige que l'opérateur du service de cloud soit européen afin d'échapper aux lois extra-territoriales, notamment américaines, qui touchent les leaders mondiaux du cloud Google, Amazon ou Microsoft.
Deux offres ont toutefois été annoncées en partenariat avec ces géants: le consortium Bleu, constitué de la solution technologique de Microsoft exploitée par Orange et CapGemini, et celle de S3NS qui correspond à la technologie de Google exploitée par Thalès.
Enfin, la filiale numérique du groupe La Poste Docaposte s'est associée à Dassault Systèmes, dont la filiale cloud Outscale est certifiée SecNumCloud, à l'opérateur Bouygues Telecom et à la Banque des territoires pour développer une offre française d'informatique dématérialisée baptisée « Numspot ».
A l'automne, le gouvernement avait annoncé une enveloppe de 2,5 millions d'euros « pour les petites entreprises et les start-up » qui veulent obtenir le label mais hésitent face à l'effort financier.
j