[Tribune] Quelle stratégie Cloud pour le secteur public ?

Développer massivement l'usage du cloud au sein des administrations : telle est l'ambition affichée par le Secrétaire d'État chargé du Numérique, Mounir Mahjoubi. Toutefois, l'adoption du Cloud par les organisations en charge de services publics nécessite quelques précautions. Dix éléments à étudier pour prendre les bonnes décisions en matière de Cloud dans le secteur public

1 - Le niveau de sensibilité des données et leur localisation

Toutes les organisations publiques collectent, stockent et traitent des données sensibles : données à caractère personnel sur les citoyens et les personnels travaillant au sein des organisations (telles que définies par le RGPD et la CNIL), données de santé (qui doivent être hébergées chez des prestataires agréés), données de nature régalienne voire " secret défense ". Selon les annonces du gouvernement, tout début juillet 2018, les données les plus sensibles devront être hébergées dans un Cloud interne ; les données de sensibilité moindre pourront être confiées à des hébergeurs français dans un Cloud externe dédié ; et enfin les informations peu sensibles pourront être hébergées par des acteurs (français ou étrangers) dans un Cloud externe.

Pour autant, l'hébergement de données publiques chez des acteurs américains soulève des questions et des inquiétudes quant à leur souveraineté, notamment vis-à-vis du Cloud Act, qui autorise l'administration américaine à réquisitionner les données auprès de ces fournisseurs. Une note de cadrage émanant du secrétariat d'État chargé du Numérique, suite à une consultation des principaux acteurs dans le courant de l'été 2018, devrait prochainement préciser la doctrine adoptée par l'État, et ainsi aider tous les organismes publics à opérer les bons choix en fonction des données qu'ils traitent.

2 - L'audit des infrastructures d'hébergement existantes

Pour faire les bons choix, un audit des infrastructures d'hébergement existantes - internes ou externes - s'impose, afin de pouvoir établir un plan de transformation informatique, conforme aux exigences de niveaux de continuité de service et de sécurité requis par les données hébergées : évaluation des travaux à réaliser pour mettre à niveau les infrastructures existantes, ou éventuellement construire un nouveau data center, détermination des critères pour challenger le ou les prestataires d'hébergement, etc.

3 - Cloud hybride : le coût de la sécurisation des données

Les premières orientations du gouvernement laissent penser que les organismes publics seront très souvent amenés à opter pour un Cloud hybride, combinant data center en propre et Cloud externalisé, afin de répondre aux enjeux de sécurité des différentes typologies de données (ultra sensibles, sensibles et peu sensibles) qu'ils sont amenés à traiter. Néanmoins, une solution de cloud hybride peut se révéler sous-optimale au regard du coût marginal qu'elle représente. En effet, la pertinence économique d'un hébergement externalisé n'est pas systématique, notamment pour une administration qui dispose déjà d'un data center en propre. Il s'avère donc nécessaire, avant tout arbitrage, de comparer le coût de chaque scénario, investissement dans l'augmentation de la capacité du data center en propre déjà opérationnel ou recours au Cloud externe.

4 - Quel Cloud selon la taille des organismes publics ?

L'un des avantages du Cloud, c'est qu'il est accessible à tous les organismes publics, quelle que soit leur taille, contrairement à une solution data center en propre, qui impose d'avoir déjà un certain niveau de données à traiter et des ressources humaines pour l'exploiter. Des solutions en SaaS (applications hébergées dans un Cloud) sont déjà disponibles au catalogue de l'UGAP. Dans une configuration en PaaS (Platform as a Service), les couches gérées par l'utilisateur final sont réduites aux données et applications : il ne nécessite pas nécessairement de disposer d'une DSI pour sa gestion, et peut donc ainsi bénéficier à un large nombre d'organismes publics. Quant à l'IaaS (Infrastructure as a Service), il implique d'avoir du personnel dédié pour gérer les couches systèmes d'exploitation et middleware : il est donc plus adapté aux organismes publics d'une certaine taille qui souhaitent par exemple déployer des applications sur mesure.

5 - La durée et les conditions de résiliation du marché

Le contrat avec un prestataire de Cloud prend souvent la forme d'un accord-cadre. Or, selon l'article 78 du décret n° 2016-360 du 25 mars 2016 relatif aux marchés publics, la durée des accords-cadres ne peut dépasser quatre ans pour les pouvoirs adjudicateurs et huit ans pour les entités adjudicatrices, sauf dans des cas exceptionnels dûment justifiés. Cette durée de quatre ans se révèle bien souvent trop courte en regard des délais requis en amont pour hybrider ou relocaliser les systèmes d'information, qui prennent, en moyenne, entre 18 et 24 mois. En outre, les contrats d'hébergement souscrits par des entités publiques bénéficient d'un droit de rupture anticipée, tel que prévu par le cahier des clauses administratives générales (CCAG) relatif aux Techniques de l'Information et de la Communication (TIC).

Ces deux points constituent des freins pour les opérateurs de Cloud lors des réponses à appels d'offre. Il appartient donc à l'organisme public de négocier et de justifier l'allongement de la durée du contrat et l'assouplissement des conditions de résiliation anticipée.

6 - La connectivité et la sécurité

Peu évoquée en matière de Cloud, la question de la connectivité est pourtant fondamentale, pour pouvoir accéder aux données et systèmes hébergés à tout moment, et de manière sécurisée. Avant de se lancer dans un projet Cloud, les services publics doivent évaluer plusieurs paramètres relatifs à l'infrastructure télécom : la variété et le coût associé aux ressources de connectivités externes disponibles, la qualité de service fournie sur les liens télécoms (débit, latence, dispositif d'équilibrage des flux...) mais aussi le niveau de sécurité mis en oeuvre (chiffrement, firewall, systèmes anti DDoS...). Les investissements à réaliser pour augmenter et fiabiliser la connectivité réseau représentent des coûts supplémentaires non négligeables dans ce type de projet.

7 - Le potentiel de mutualisation

Communautés de communes, fusion de plusieurs municipalités ou encore mise en commun de moyens sur un domaine de compétences partagées sont autant d'occasions de remettre à plat les systèmes d'information et de mutualiser les ressources. La mutualisation permet aux organismes publics associés d'atteindre une taille critique et, par conséquent, d'amortir les coûts fixes sur une communauté d'utilisateurs plus large, de négocier plus aisément avec les prestataires d'hébergement en Cloud, de soulager les équipes IT et d'augmenter les niveaux de service grâce à des procédures d'exploitation plus industrielles.

Toutefois, cela nécessite la mise en oeuvre, en amont, d'une gouvernance entre les différentes parties prenantes (collectivités, universités ou hôpitaux par exemple) et, en fonction de la nature des besoins de chacune, la conception d'un catalogue de services leur permettant d'accéder aux ressources selon des conditions équitables et transparentes.

8 - Le facteur humain

La transformation vers les technologies Cloud a des conséquences sur l'organisation du travail et, par conséquent, sur les personnels en charge de l'exploitation des infrastructures informatiques. Les compétences requises ne sont en effet pas les mêmes, et certains postes occupés par des agents publics peuvent même devenir obsolètes. Il est nécessaire d'anticiper, d'accompagner le changement, la montée en compétence et de former les personnels à la gestion de ces nouveaux services.

9 - Les structures de coûts

La transition vers le Cloud modifie la structure comptable, passant d'une logique d'investissements (CAPEX) à une logique de coûts de fonctionnement (OPEX). Or, les acteurs publics, soucieux de la bonne utilisation de leurs deniers, sont souvent peu enclins à sanctuariser une augmentation des budgets de fonctionnement. Ceci peut constituer un frein majeur à l'adoption de Cloud externalisés quand bien même ils se révéleraient, in fine, plus économes. Il appartient alors aux pouvoirs publics d'adopter une logique de coût total (CAPEX + OPEX) pour évaluer correctement le poids financier d'un projet d'hébergement sur le long terme, en y associant les bénéfices tirés d'une modernisation des systèmes d'information publics, à la fois en termes de services rendus, d'efficacité ou de sécurité des données traitées.

10 - Le choix des prestataires

Le choix des prestataires en matière de Cloud constitue un défi de taille. Le marché est particulièrement atomisé et les offres difficilement comparables entre elles. Dès lors, il ne faut pas hésiter à s'entourer d'un conseil neutre en la matière, qui saura accompagner l'organisation dans le choix de la meilleure offre en fonction de ses besoins et de ses priorités. S'appuyer sur les structures d'achats publics groupés, telles que l'UGAP, permet d'identifier des prestataires présélectionnés pour chaque typologie de besoins, depuis le conseil en stratégie d'hébergement jusqu'à l'implémentation et l'exploitation des technologies Cloud et d'accélérer la commande publique de manière significative, de six mois en moyenne.

Maxime Lenoir est expert en solutions d'hébergement chez APL, cabinet de conseil et d'ingénierie spécialisé dans la définition et la mise en oeuvre de stratégies data center.