Le Cloud Computing > Synthèse sur les préconisations

Comment protéger au mieux le patrimoine informationnel des administrations des établissements publics et des entreprises ? Depuis janvier 2012, L'Amue participe aux réunions organisées par la SGSDN afin de proposer des axes de préconisation visant à préparer une éventuelle légifération en matière de protection du patrimoine informationnel.

La SGSDN (secrétariat général de la défense et de la sécurité nationale) a reçu le 9 novembre 2011, une note émanant du cabinet du premier ministre, demandant d'étudier les risques que fait peser le recours au "Cloud computing" sur la protection du patrimoine informationnel et des données sensibles des administrations des établissements publics et des entreprises, et de faire des propositions opérationnelles pour concilier les besoins économiques et techniques avec les impératifs de protection de ces informations.
 
Une série de réunions de travail organisées en 4 groupes ont été effectuées par la SGDSN depuis Janvier 2012 avec le concours d'organisations externes (Renater, CNRS, INRA, INRIA, .. et l'Amue) et ont permis de lancer des réflexions de façon participative et concertative et de proposer des axes de préconisation visant à préparer une éventuelle légifération en matière de protection du patrimoine informationnel.

Description des Groupes de travail :

•    G1 : Réglementation et politique gouvernementale,
•    G2 : Analyse de la menace, analyse des risques,
•    G3 : Analyse juridique des contrats recensés,
•    G4 : Analyse de la situation française et internationale,
 
La synthèse des recommandations ci-dessous reprend de façon synthétique le contenu des documents de travail confidentiels à "diffusions restreinte" qui ont alimenté les diverses réunions de travail. Ces recommandations ne sont pas pour l'instant définitives et peuvent être amenées à évoluer d'ici fin Septembre 2012.
 
La CGEIET dans son rapport, a parfaitement mise en évidence la nécessité pour l'état de prendre en compte la rupture majeure que constitue le développement de l'informatique en nuages (cloud computing). 

• Le recours au Cloud Computing quel qu'en soit le type, ne pose à priori pas de difficultés pour les données publiques du patrimoine national, par définition, non sensibles. Les solutions externalisées y compris gratuites, permettent en effet de mettre ces données à la disposition du public d'une manière à la fois très économique et performante en débit.
• Cette conclusion ne s'applique bien sûr pas aux archives nationales de ces données, dont l'intégrité et la pérennité prévues par la loi nécessitent des solutions adaptées.. L'informatique en nuage n'a d'ailleurs a priori pas d'intérêt économique pour les archives.
• Les autres données du patrimoine de la nation ne doivent utiliser l'informatique en nuage que dans des conditions permettant de garantir au juste niveau leur disponibilité, leur intégrité et leur confidentialité, ainsi que la disponibilité et la qualité attendues pour les services qui utilisent ces données. Comme avant toute décision en matière de services informatiques, l'usage de solutions d'informatique en nuage doit faire préalablement l'objet d'une analyse de risques au regard des enjeux, afin que les autorités concernées puissent fixer les objectifs de sécurité à atteindre.
• De manière générale, les solutions offertes au public et les contrats standards proposés par les opérateurs de Cloud n'offrent pas une sécurité suffisante pour les données non publiques. Des contrats spécifiques doivent être passés, respectant strictement les clauses découlant des objectifs de sécurité fixés. Le plus souvent, pour les données sensibles de l'administration et des entreprises, et plus encore pour les informations protégées par la loi(*), l'externalisation dans l'informatique en nuage ne devra se faire qu'avec des solutions de Cloud privé répondant à ces exigences.
• Pour ce qui concerne l'État, le CGEIET préconise de créer au sein de l'administration une infrastructure de Cloud privé. Cette solution, qui limite voire supprime la plupart des risques liés à l'informatique en nuage, est la meilleure du point de vue de la sécurité;  s'il se confirme que l'administration a les compétences nécessaires pour assurer la maîtrise d'ouvrage et l'administration de cette infrastructure complexe, avec toutes les qualités attendues. La concentration des applications et des données des différents ministères sur des infrastructures de Cloud en nombre limité permettrait, outre une forte optimisation économique, d'atteindre un niveau de sécurité globalement supérieur à celui des systèmes ministériels actuels qu'elles remplaceraient.
• Également du point de vue de la sécurité, une solution de Cloud privé externalisée pourrait également convenir pour le patrimoine informationnel de la nation, étatique ou privé, à condition d'inclure dans le contrat d'externalisation les clauses de sécurité nécessaires. Ces clauses seront d'ailleurs assez peu différentes des exigences qui seraient à satisfaire par une solution de Cloud interne. Un contrat global pourrait être négocié par le service des achats de l'État (SEA), en liaison étroite avec la direction interministérielle des systèmes d'information et de communication (DISIC) et l'agence nationale de la sécurité des systèmes d'information (ANSSI).
• S'agissant des entreprises françaises ayant un patrimoine informationnel sensible, notamment technologique, une solution de Cloud privé, entièrement localisée sur le territoire national et confiée à des opérateurs de confiance, s'impose également. Les projets nationaux lancés dans le cadre des investissements d'avenir devraient parfaitement répondre à ce besoin.
• Enfin, il n'apparaît pas nécessaire d'établir une législation spécifique à l'informatique en nuage.

(*) Secret de la défense nationale, informations médicales, données à caractère personnel, données fiscales, informations relevant du potentiel scientifique et technique de la nation, secret de l'instruction, et plus généralement, toutes les informations citées à l'article 6 de la loi n° 78-753 du 17 juillet 1978.