L’ambition était de “faire entrer l’informatique de l’État dans une nouvelle ère”. En juillet 2021, le Premier ministre Jean Castex diffusait la première version de la nouvelle doctrine d’utilisation du cloud, ce mode d’hébergement et de production informatique plus souple et plus performant. C’est grâce au cloud, notamment, que de petites start-up d’État peuvent naître et grandir rapidement sans être freinées dans leur montée en puissance. Mais son usage méritait d’être encadré, ou du moins reprécisé, encore une fois.
La Première ministre a signé et diffusé, le 1er juin, une nouvelle circulaire, la troisième depuis 2018, afin de mobiliser “tous les leviers numériques pour un État plus simple et plus efficace”, tout en veillant “scrupuleusement” à la protection des données de l’État et des citoyens français. Cette circulaire précise notamment le champ des données dites sensibles, qui méritent d’être manipulées dans des clouds sécurisés, et “de confiance”. Il peut s’agir, en premier lieu, des offres de cloud interne proposées par les services de l’État, et en particulier par le ministère de l’Intérieur et Bercy, mais aussi des offres du privé, les fameuses mais rares solutions labellisées “SecNumCloud” par l’Agence nationale de la sécurité des systèmes d’information, l’Anssi.
“Après plusieurs mois d’application de cette doctrine, il apparaît nécessaire d’en préciser les conditions d’application afin de mieux délimiter le périmètre des données d’une sensibilité particulière pour lesquelles le recours à une solution d’hébergement qualifiée SecNumCloud (ou disposant d’une qualification équivalente) et immunisée au droit extracommunautaire est requise ainsi que de préciser les modalités de demandes de dérogation à cette règle”, justifie Élisabeth Borne.
Et pour cause, la première version de la doctrine “Cloud au centre” se contentait d’exiger le recours à une offre SecNumCloud dès lors que le système informatique en question “manipule des données d’une sensibilité particulière, qu’elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État”.
Une définition suffisamment large et vague pour susciter des divergences d’interprétation au sein des ministères. À tel point, d’ailleurs, que le précédent directeur interministériel du numérique, Nadi Bou hanna, avait dû lui-même préciser quelques mois plus tard dans une note dévoilée par Acteurs publics, que l’offre Office 365 du géant Microsoft était bien interdite par la nouvelle doctrine. Ce qui n’empêche pas certains ministères de continuer à l’utiliser, comme le ministère du Travail, moyennant quelques règles de sécurité supplémentaires. Sollicitée par Acteurs publics sur cette dérogation, la direction du numérique des ministères sociaux nous a indiqué, début mai, son intention de “migrer sur une offre de cloud dite souveraine et qualifiée SecNumCloud dans l’année de mise à disposition en France”.
Quelles données sensibles ?
“Il y a un vrai débat sur le sujet, un peu de mauvaise foi aussi parfois, car qui dit donnée sensible dit contraintes de sécurité et frein à la transformation, observe un connaisseur des questions liées au cloud de l’État. Les données personnelles devraient devenir des données sensibles par exemple et le débat n’est pas clos : les RSSI [responsables de la sécurité des systèmes d‘information, ndlr] en rêvent, mais les DSI [directeurs des systèmes d’information] l’appréhendent.”
Même constat du côté d’un ancien cadre de la direction interministérielle du numérique (Dinum), selon lequel ce besoin de précision sur le périmètre des données sensibles témoigne d’une certaine réticence des DSI qui pouvaient estimer que “les données de leurs projets n’étaient pas d’une sensibilité particulière” et ainsi échapper aux obligations SecNumCloud. “Mais de toute façon, ajoute la même source, la notion de données sensibles est un serpent de mer. Personne ne sait vraiment définir ce dont il s’agit, hormis ce qui relève des secrets protégés par la loi.” La doctrine prévoyait d’ailleurs – et prévoit toujours – des dérogations pour les projets déjà engagés, afin ne pas paralyser un projet d’envergure comme le Health Data Hub, initié sur le cloud de Microsoft.
La nouvelle circulaire précise que ces données “d’une sensibilité particulière” sont celles qui relèvent des secrets protégés par la loi, comme le secret médical, le secret des affaires ou le secret des délibérations du gouvernement, ou encore la protection de la défense nationale et la sûreté de l’État. Sont en outre considérées comme “sensibles”,les données “nécessaires à l’accomplissement des missions essentielles de l’État, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes”.
Autant de données dont la violation “devra être évaluée sous chaque angle des critères de sécurité élémentaires”, précise encore la circulaire, comme la confidentialité, l’intégrité, la disponibilité et la traçabilité des données, en prenant en compte différents types d’impacts, qu’ils soient opérationnels, politiques, économiques, juridiques ou environnementaux, par exemple. De quoi, peut-être, rassurer les directions informatiques et métiers sur les conditions d’application de la doctrine “Cloud au centre” et en faire, enfin, le mode privilégié de conduite et d’exploitation des projets numériques au sein de l’État.
